CrowdStrike Blog:攻撃者の十八番~認証情報の盗取 | ScanNetSecurity
2024.03.29(金)

CrowdStrike Blog:攻撃者の十八番~認証情報の盗取

CrowdStrikeの調査では、フィッシングの成功、ブルートフォース攻撃、あるいは認証情報ダンプが最もよく使われる認証情報詐取の手法であることが確認されています。

国際 海外情報
CrowdStrike Blog:攻撃者の十八番~認証情報の盗取
CrowdStrike Blog:攻撃者の十八番~認証情報の盗取 全 2 枚 拡大写真
密かに実行される威力ある攻撃

 攻撃のライフサイクルにおいて、攻撃者がアカウントの正当な認証情報を使用しているケースをCrowdStrikeは頻繁に発見しています。実際に、CrowdStrikeによる2019年のグローバル脅威レポートでも、攻撃者による最も一般的な手口の1つとして「認証情報ダンピング」(アカウントの認証情報を不正に取得すること)を挙げています。認証情報を取得すると、リモートからのログインが可能になり、システムやネットワークに簡単にアクセスできるようになるため、攻撃者にとって非常に有利です。

 認証情報を手に入れた攻撃者はアカウントの所有者になりすまし、従業員、請負業者、またはサードパーティのサプライヤーなど、正当なアクセス権を持つ人物のように見せかけることができます。攻撃者が正当なユーザーのように見えるため、このタイプの攻撃は、検知が非常に困難です。また、この種の攻撃ではマルウェアが存在しないため、アンチウイルス製品などの従来の防御技術では太刀打ちできません。

MITRE ATT&CKフレームワーク

 攻撃者が認証情報を使ってシステムに侵入すると、そのアカウントに許可されたすべての機能にアクセスできるようになります。そのため、攻撃者が認証情報を詐取しようと躍起になるのも不思議ではありません。MITRE社による攻撃行動のナレッジフレームワーク(ATT&CK)では、攻撃者が使用する認証情報への19通りのアクセス手法を明らかにしています。CrowdStrikeのプロアクティブな脅威ハンティングチームであるFalcon OverWatchは、攻撃者がフィッシングメールを介してユーザーのシステムに侵入するケースが多く、その後、ブルートフォース攻撃または認証情報ダンピングの手口で認証情報を奪取することを確認しています。以下のヒートマップは、攻撃者が認証情報にアクセスする手段を示しています。セルの色が濃いほど、よく使われる手段であることを意味します。

「攻撃者が使用する認証情報へのアクセス手段」を示すヒートマップ(MITRE ATT&CK提供)
「攻撃者が使用する認証情報へのアクセス手段」を示すヒートマップ(MITRE ATT&CK提供)

広範な適用方法

 詐取した認証情報によって得られたアクセスは非常に有効に機能するため、攻撃者らはマルウェアを使った攻撃から標的型攻撃まで、できるだけ多くの使い方を求めていました。

 たとえば、ランサムウェアのNot Petyaは、人の手を介さずに拡大するために認証情報へのアクセスを行っていました。ランサムウェアは感染したコンピューターの認証情報を抽出するために、認証情報盗取用モジュールをドロップします。その後は盗んだ認証情報を使用して、ネットワーク中のコンピューターに接続し、自動的に拡散します。

 また別の悪質なマルウェアTrickBotバンキング型トロイの木馬は、バンキングサイトにログインするための認証情報を盗むために使用されます。このモジュール型のトロイの木馬には、認証情報の収集に使用される「pwgrab」と呼ばれるパスワード取得用モジュールが含まれています。Trickbotはレジストリの「UseLogonCredential」値を「1」に設定します。すると、Windows OSは、認証情報をクリアテキストとしてメモリに保存します。その後、別の認証情報ダンプツールを使用して、メモリからその認証情報を盗みます。

 CrowdStrikeの調査では、フィッシングの成功、ブルートフォース攻撃、あるいは認証情報ダンプが最もよく使われる認証情報詐取の手法であることが確認されています。以下は最近最も多く確認されている手口です。

・攻撃者は、リモートデスクトッププロトコル(RDP)を介して有効な認証情報を使用してサーバーにログインし、ドメインコントローラーへの最初のアクセスを可能にします。

・次に、GPP(グループポリシー設定)ファイルをコピーします。そこから認証情報などの情報を取得します。また、Windowsで提供されるActive Directory(AD)Explorerユーティリティを使用して、ADデータベースのスナップショットを保存してオフラインで確認できるようにします。

・その後、有効な認証情報を使用してRDP経由でSQLサーバーにアクセスし、ProcDumpユーティリティをデプロイしてLSASSプロセスからメモリをダンプし、追加の認証情報を獲得します。

・また、Kerberoastingと呼ばれる攻撃手法も確認されています。この手法では、有効なTicket-granting Ticketを使用して、ドメインコントローラーに1つ以上のTicket-granting Service Ticketをリクエストします。それらのチケットにオフラインのブルートフォース攻撃を行うと、プレーンテキストの認証情報が得られる可能性があり、攻撃者がこれを狙っています。

認証情報へのアクセスを試みる攻撃の防御・検知方法

MFAの使用

 パスワード、セキュリティトークン、生体認証などを組み合わせた多要素認証(MFA)の利用を強くお勧めします。MFAでは、複数の種類の認証が求められるため、攻撃を効果的に阻止できます。またそれにより、攻撃者が認証情報を入手・悪用して環境内に侵入することが難しくなります。

ITハイジーンの実行

 CrowdStrike Falcon DiscoverをはじめとするITハイジーンツールは、組織全体における認証情報の使用を可視化し、悪質な可能性のある管理者権限アクティビティを検出します。セキュリティチームがアカウント監視機能を使用すると、攻撃者がアクセス維持のために作成したアカウントの存在を確認できます。また、パスワードが定期的に変更されるようにするため、盗まれた認証情報が悪用され続けることはありません。

プロアクティブな脅威ハンティングの追加

 Falcon OverWatchをはじめとする真のプロアクティブな脅威ハンティング機能は、盗まれた認証情報を利用して正当なユーザーを装って行われる未知のステルス攻撃に対し、24時間365日のハンティングを可能にします。このようなタイプの攻撃は、一般的な対策では見逃される可能性があります。APT攻撃者グループとの日々の「接近戦」から得た専門知識を活用するOverWatchチームは、毎日何百万ものかすかな手掛かりを検知・追跡し、正当なものか悪意によるものかを検証して必要な場合はユーザーに警告します。

要(かなめ)は真の次世代型エンドポイントプロテクション

 認証情報へのアクセスは非常に効果的であるため、攻撃者らに好まれます。企業は認証情報の盗難がもたらすリスクを真剣に受け止め、被害の回避に向けた戦略を実施する必要があります。これには、多要素認証の確立や、CrowdStrikeFalconプラットフォームなどの次世代型エンドポイント保護ソリューションの採用が含まれます。このようなソリューションは、詐取された認証情報を悪用するような、あらゆる攻撃からの保護を念頭に設計されています。

追加のリソース

・CrowdStrikeの2019年グローバル脅威レポート『Adversary Tradecraft and the Importance of Speed』(攻撃者の手口とスピードの重要性)をご覧ください。

CrowdStrike Industry Validation Webページにアクセスして、Falconプラットフォームについて第三者機関のアナリストや評価者がどのような意見を述べているかご覧ください。

・MITREフレームワークに関する詳しい情報については、次のホワイトペーパーをご覧ください:『Faster Response with CrowdStrike and MITRE ATT&CK』

・CrowdStrikeの次世代型AVをお試しください:Falcon Preventの無料トライアル版

*原文はCrowdStrike Blog サイト掲載 :https://www.crowdstrike.com/blog/adversary-credential-theft/

《Jackie Castelli (CrowdStrike)》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

    富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

  2. ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

    ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

  3. 総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

    総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

  4. プロ e スポーツ選手のアカウントにハッキング

    プロ e スポーツ選手のアカウントにハッキング

  5. 日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

    日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

  6. 時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

    時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

  7. 脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術

    脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術PR

  8. UDP ベースのアプリケーション層プロトコル実装にサービス運用妨害(DoS)の脆弱性

    UDP ベースのアプリケーション層プロトコル実装にサービス運用妨害(DoS)の脆弱性

  9. 「サイバーセキュリティお助け隊サービス」制度に新たに 2 類を創設、価格要件を緩和

    「サイバーセキュリティお助け隊サービス」制度に新たに 2 類を創設、価格要件を緩和

  10. Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

    Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

ランキングをもっと見る