Microsoft DART ランサムウェアのケース スタディ

人間が操作するランサムウェアは、世界中で最も影響を受けるサイバー攻撃の傾向の1つとしてメイン立場を維持し続け、近年多くの組織が直面している重大な脅威です。 これらの攻撃は、ネットワークの構成ミスを利用し、組織の脆弱な内部セキュリティで成功します。 これらの攻撃は、組織とその IT インフラストラクチャとデータに明確で現在の危険をもたらしますが、予防可能な 災害です

Microsoft Detection and Response Team (DART) は、セキュリティ侵害に対応して、お客様がサイバー回復力を持つよう支援します。 DART は、オンサイトの事後対応型インシデント対応とリモートプロアクティブ調査を提供します。 DART は、世界中のセキュリティ組織や Microsoft 製品グループとの Microsoftの戦略的パートナーシップを活用して、可能な限り完全かつ徹底的な調査を提供します。

この記事では、DART が最近のランサムウェア インシデントを調査し、攻撃戦術と検出メカニズムの詳細について説明します。

詳細については、人間が操作するランサムウェアと戦うためのDARTのガイドのパート1パート2を参照してください。

攻撃

DART では、インシデント対応ツールと戦術を活用して、人間が操作するランサムウェアの脅威アクターの動作を特定します。 ランサムウェア イベントに関する公開情報は、最終的な影響に焦点を当てていますが、操作の詳細と、脅威アクターが検出されずにアクセスをエスカレートして検出、収益化、および強要を行った方法を強調することはほとんどありません。

ここでは、MITRE ATT&CK の戦術に基づいて、攻撃者がランサムウェア攻撃使用する一般的な手法をいくつか示します。

Common techniques that attackers use for ransomware attacks.

DART では、Microsoft ディフェンダー for Endpointを使用して、環境を通じて攻撃者を追跡し、インシデントを示すストーリーを作成した後、脅威を根絶して修復しました。 配置されると、ディフェンダー for Endpoint はブルート フォース攻撃からの成功したログオンの検出を開始しました。 これを検出すると、DART はセキュリティ データを確認し、リモート デスクトップ プロトコル (RDP)を使用して、いくつかの脆弱なインターネットに接続されたデバイスを見つけました。

最初のアクセスが取得された後、脅威アクターは Mimikatz 資格情報収集ツールを使用してパスワード ハッシュをダンプし、プレーンテキストで格納されている資格情報をスキャンし、スティッキー操作でバックドアを作成し、リモート デスクトップ セッションを使用してネットワーク全体を横方向に移動しました。

このケース スタディでは、攻撃者が行った重要なパスを次に示します。

The path the ransomware attacker took for this case study.

次のセクションでは、MITRE ATT&CK の戦術に基づく追加の詳細について説明し、Microsoft Defender ポータルで脅威アクターアクティビティがどのように検出されたかの例を示します。

初期アクセス

ランサムウェア キャンペーンでは、初期エントリに既知の脆弱性が使用されます。通常は、フィッシングメールや、インターネット上で公開されているリモート デスクトップ サービスが有効になっているデバイスなどの境界防御の弱点を使用します。

このインシデントでは、RDP 用の TCP ポート 3389 がインターネットに公開されているデバイスを、DART が見つけることができました。 これにより、脅威アクターはブルート フォース認証攻撃を実行し、最初の足がかりを得ることができました。

Defender for Endpoint では、脅威インテリジェンスを使用して、既知のブルート フォース ソースからのサインインが多数存在することを確認し、Microsoft Defender ポータルに表示しました。 次に例を示します。

An example of known brute-force sign-ins in the Microsoft Defender portal.

偵察

最初のアクセスが成功すると、環境の列挙とデバイスの検出が開始されます。 これらのアクティビティにより、脅威アクターは組織の内部ネットワークに関する情報を特定し、doメイン コントローラー、バックアップ サーバー、データベース、クラウド リソースなどの重要なシステムを対象とすることができました。 列挙とデバイス検出の後、脅威アクターは同様のアクティビティを実行して、脆弱なユーザー アカウント、グループ、アクセス許可、ソフトウェアを特定しました。

脅威アクターは、環境で使用される IP アドレスを列挙し、以降のポート スキャンを実行するために、IP アドレス スキャン ツールである Advanced IP Scannerを利用しました。 開いているポートをスキャンすることで、脅威アクターは、最初に侵害されたデバイスからアクセス可能なデバイスを検出しました。

このアクティビティは ディフェンダー for Endpoint で検出され、さらなる調査のために侵害の兆候 (IoC) として使用されました。 次に例を示します。

An example of port scanning in the Microsoft Defender portal.

資格情報の盗用

最初のアクセスを取得した後、脅威アクターは、Mimikatz パスワード取得ツールを使用し、最初に侵害されたシステムで "password"を含むファイルを検索することで、資格情報の収集を実行しました。 これらのアクションにより、脅威アクターは正当な資格情報を使用して追加のシステムにアクセスできました。 多くの場合、脅威アクターはこれらのアカウントを使用して追加のアカウントを作成し、侵害された最初のアカウントが特定されて修復された後に永続化をメインします。

Microsoft Defender ポータルで Mimikatz の使用が検出された例を次に示します。

An example of Mimikatz detection in the Microsoft Defender portal

侵入拡大

エンドポイント間の移動は組織によって異なる場合がありますが、脅威アクターは通常、デバイスに既に存在するさまざまなリモート管理ソフトウェアを使用します。 IT 部門が日常的なアクティビティで一般的に使用するリモート アクセスの方法を利用することで、脅威アクターはレーダーの下を長時間飛行できます。

MICROSOFT ディフェンダー for Identityを使用して、DART は脅威アクターがデバイス間で取得したパスをマップし、使用およびアクセスされたアカウントを表示することができました。 次に例を示します。

The path that the threat actor took between devices in Microsoft Defender for Identity.

防御回避

検出を回避するために、脅威アクターは防御回避手法を使用して識別を回避し、攻撃サイクル全体にわたって目標を達成しました。 これらの手法には、ウイルス対策製品の無効化または改ざん、セキュリティ製品または機能のアンインストールまたは無効化、ファイアウォール規則の変更、難読化手法を使用してセキュリティ製品やサービスからの侵入のアーティファクトを非表示にする方法が含まれます。

このインシデントの脅威アクターは、PowerShellを使用して、Windows 11 および Windows 10 デバイスおよびローカル ネットワーク ツールで Microsoft ディフェンダーのリアルタイム保護を無効にして、TCP ポート 3389を開き、RDP 接続を許可しました。 これらの変更により、悪意のあるアクティビティを検出してアラートを生成するシステム サービスが変更されたため、環境内での検出の可能性が低下しました。

ただし、ディフェンダー for Endpoint はローカル デバイスから無効にできず、このアクティビティを検出できました。 次に例を示します。

An example of detecting the use of PowerShell to disable real-time protection for Microsoft Defender.

永続化

永続化手法には、セキュリティ スタッフが侵害されたシステムの制御を取り戻すための取り組みが行われた後メインシステムへの一貫したアクセスを維持するための脅威アクターによるアクションが含まれます。

このインシデントの脅威アクターは、認証なしで Windows オペレーティング システム内のバイナリをリモートで実行できるため、スティッキー ハックを使用しました。 その後、この機能を使用してコマンド プロンプトを実行し、さらに攻撃を実行しました。

Microsoft Defender ポータルでのスティッキー のハッキングの検出例を次に示します。

An example of detecting the Sticky Keys hack in the Microsoft Defender portal.

影響

脅威アクターは、通常、環境内に既に存在するアプリケーションまたは機能を使用してファイルを暗号化します。 PsExec、グループ ポリシー、および Microsoft エンドポイント構成管理の使用は、アクターが通常の操作を中断することなく、エンドポイントとシステムにすばやく到達できるようにする配置方法です。

このインシデントの脅威アクターは PsExecを利用して、さまざまなリモート共有から対話型 PowerShell スクリプトをリモートで起動しました。 この攻撃方法では、配布ポイントがランダム化され、ランサムウェア攻撃の最終段階で修復がより困難になります。

ランサムウェアの実行

ランサムウェアの実行は、脅威アクターが攻撃を収益化するために使用する主要な方法の1つです。 実行手法に関係なく、個別のランサムウェア フレームワークは、配置後に一般的な動作パターンを持つ傾向があります。

  • 脅威アクターアクションを難読化する
  • 永続性を確立する
  • Windows エラーの回復と自動修復を無効にする
  • サービスの一覧を停止する
  • プロセスの一覧を終了する
  • シャドウ コピーとバックアップを削除する
  • ファイルを暗号化し、カスタム除外を指定する可能性がある
  • ランサムウェアのメモを作成する

ランサムウェアに関するメモの例を次に示します。

An example of a ransomware note.

その他のランサムウェア リソース

Microsoft からの重要な情報:

Microsoft 365:

Microsoft Defender XDR:

クラウド向けのMicrosoftディフェンダー Apps:

Microsoft Azure:

Microsoft セキュリティ チームのブログ記事: