Log4j、2021 年第 3 四半期のランサムウェア、APT、および上位セクターのターゲットに関するインサイト
新しい脅威レポート、そして新しい会社へようこそ。
この新しい年を前にして、私たちは、2021 年の特に困難な年末から私たちすべてを疲労困憊させている脅威の状況を認識しなければなりません。新会社として初となる脅威レポートでは、メディアのみならず、セキュリティ企業や一般企業のセキュリティ チームからも大きな注目を集めた問題を取り上げています。2021 年の第 3 四半期と第 4 四半期についても振り返りますが、まずは Log4j の対策に利用できる豊富なリソースを詳しくご紹介します。
基本的に、Log4j の脅威の詳細が明らかになるにつれて、私たちの研究と最新のリソースにアクセスして助けを得ることが不可欠になります。本レポートでは、製品の状況だけでなく、この脆弱性を利用したキャンペーンを継続的に監視し、新しいペイロードの保護対応状況を詳しく説明しています。
Log4j の脆弱性の詳細が明らかになったとき、私たちは非常に迅速にネットワークベースの署名を提供し、脆弱性に関する記事を発表して対応しました。本レポートで詳述している追加資産を速やかに追跡調査しました。
現在の Log4j の脅威活動や、その他の拡散している脅威についてさらに理解するには、弊社の貴重な脅威ダッシュボードをご覧ください。
さらに、最新の脅威に関するコンテンツやビデオ、セキュリティ情報へのリンクが掲載されたTrellix 脅威ラボのブログも確認してください。
もちろん、企業のセキュリティに対する脅威は、Log4j だけではありません。本レポートでは、ランサムウェアの迫り来る影と混乱や、その他の流行している一般的な脅威や攻撃についても取り上げています。
2022 年を迎えましたが、新しく生まれ変わった弊社をどうぞよろしくお願いします。
脅威の伝統となりつつある Log4j において、広く使用されている Log4j ライブラリに影響を与える新しい脆弱性が、ホリデーシーズンに合わせて発表されました。この数十年で最も深刻なサイバーセキュリティの欠陥と評されたため、2021 年の第 4 四半期に、Trellix とサイバーセキュリティ業界を対策へと促しました。Log4j の脆弱性は、Apple iCloud、Steam、Samsung Cloud ストレージなどの製品やサービスを含む、アプリケーションや Web サイトに Log4j ライブラリを統合している製品に甚大な影響を及ぼす可能性があります。
弊社チームは、Log4j の検出以来、その動向を詳しく追跡してきました。そして、Network Security Platform (NSP) をご利用のお客様向けに、ネットワーク シグネチャ KB95088 をリリースしました。この署名は、LDAP 上で CVE-2021-44228 を悪用しようとする試みを検出します。他のプロトコルやサービスを含むように拡張される場合があり、対象範囲を補うために追加の署名がリリースされる可能性もあります。
Log4j と弊社の研究のタイムラインを簡潔に紹介します。
Log4j に対する防御に関する最新の調査については、脅威ラボのブログおよび脅威ダッシュボードを確認してください。弊社チームは、さまざまなオープン ソースとクローズド ソースから情報を収集および分析して、レポートを発信しています。
弊社チームは、一般的な Web ベースの Log4j 攻撃の実行時に発生する事柄を迅速に調査し、流れをまとめました。
Log4j のような攻撃から環境を保護するには、ネットワーク セキュリティと標的型エンドポイント メモリ スキャンで構成される多層型の戦略を採用することが効果的です。この戦略では、ネットワーク ベクトル経由で公開された、脆弱なシステムに対する攻撃の実行フローを効率よく検出し、防止することができます。弊社の ENS エキスパート ルールとカスタム スキャンによる対応は、こうした新たな脅威に対して的確な対応策を講じることができるように、防御側の能力を向上させる目的で設計されています。
また、CISA.gov は、Log4j の脆弱性の影響を受ける可能性のある Web サービスを組織が特定できるように、Log4j スキャナーを提供しています。
2021 年第 3 四半期に、知名度の高いランサムウェア グループは、姿を消しては再び現れ、改変を重ね、さらには名前まで変えながら、ますます多様化するセクターに対し、よく知られた破壊的な脅威として、影響力と蔓延性を保っています。
2021 年第 2 四半期にランサムウェアのアクティビティが多くのサイバー犯罪者フォーラムから非難され、禁止されたにもかかわらず、弊社チームは、いくつかのフォーラムで同じ攻撃者が別のペルソナを使用して活動しているのを観察しています。
2021 年 12 月に、Trellix は、REvil の関連者を逮捕し、身代金 200 万ドルを押収するために FBI と欧州警察を支援する研究を提供しました。
2021 年第 3 四半期の注目すべきランサムウェアのトレンドとキャンペーンは以下のとおりです。
第 3 四半期に、米国政府はランサムウェアの蔓延を抑えるため、予防的キャンペーンを開始し、StopRansomware.gov ハブを立ち上げました。このキャンペーンは、米国の重要なインフラストラクチャに対するサイバー活動に関与する国家的な脅威を識別または特定する情報に対して、最高 1,000 万ドルの報奨金を提供するというものです。
これらのランサムウェアや新たなキャンペーンが今後どのように企業を脅かすかについては、Trellix による 2022 年の脅威予測 をご覧ください。
企業が脅威状況におけるランサムウェア攻撃の理解を深め、それを防御できるように、弊社チームは、ファミリー、手法、国、セクター、ベクトルなど、さまざまなランサムウェア脅威の流行に関する研究と調査結果を紹介しています。
ランサムウェア クライアントの国、顧客セクター、および MITRE ATT&CK 手法に移動してください。
チームでは、APT キャンペーンとそれに関連する指標や手法を追跡および監視しています。弊社チームは、2021 年第 3 四半期から、APT 脅威の主体、ツール、クライアントの国、顧客セクター、および MITRE ATT&CK 手法を反映しています。
チームは、追跡された APT キャンペーンに属する侵害の指標と、それに関連する以下のツールを特定しました。APT グループは、一般的なシステム ユーティリティを使用して、セキュリティ制御をバイパスし、操作を実行することが知られています。
APT クライアントの国、顧客セクター、および MITRE ATT&CK 手法に移動してください。
弊社チームは、2021 年第 3 四半期に脅威のカテゴリを追跡調査しました。この調査では、使用された ATR マルウェアのタイプ、クライアントの国、顧客セクター、攻撃に使用された MITRE ATT&CK 手法、産業セクターでの検出率が反映されています。
ATR クライアントの国、顧客セクター、および MITRE ATT&CK 手法に移動してください。
2021 年第 3 四半期に公表されたインシデントのうち、注目すべき国および地域の増加傾向は以下のとおりです。
2022 年第 3 四半期に公表されたインシデントのうち、注目すべきセクターの傾向は以下のとおりです。
2021 年第 3 四半期に公表されたインシデントのうち、注目すべきベクトルの傾向は以下のとおりです。
サイバー犯罪者は、システム内の正規のソフトウェアや機能を利用し、そのシステム上で悪意のある行為を行う Living off the Land (LotL: 環境寄生) という手法を使用します。第 3 四半期の事象に基づいて、Trellix は、検知されずにいようとする攻撃者が使用するツールの傾向を特定しました。国家に支援された脅威グループや大規模な犯罪グループには、自社でツールを開発するためのリソースがありますが、多くの場合、明確な攻撃の段階を実行するために、ターゲット システムの既存のバイナリや管理上インストールされているソフトウェアに注目します。
主な標的に対する偵察段階でネイティブ バイナリや管理上使用されるソフトウェアを特定するために、攻撃者は求人サイト、ベンダーが公開するお客様の声、または内部の共犯者から、使用される技術に関する情報を収集することがあります。
PowerShell (41.53%)
T1059.001
PowerShell は、スクリプトや PowerShell コマンドを実行するためによく使用されます。
Windows Command Shell (CMD) (40.40%)
T1059.003
Windows Command Shell は、Windows の主要な CLI ユーティリティであり、代替データ ストリームでファイルやコマンドを実行するためによく使用されます。
Rundll32 (16.96%)
T1218.011, T1564.004
Rundll32 は、ローカルの DLL ファイル、共有からの DLL ファイル、インターネットから取得した DLL ファイル、および代替データ ストリームを実行するために使用される可能性があります。
WMIC (12.87%)
T1218, 1564.004
WMIC は、WMI のコマンドライン インターフェースで、攻撃者がローカルに、代替データ ストリーム内で、またはリモート システムでコマンドや vpayload を実行するために使用される場合があります。
Excel (12.30%)
T1105
ネイティブにインストールされているわけではありませんが、多くのシステムには表計算ソフトが含まれています。攻撃者は悪意のあるコードやスクリプトを含む添付ファイルをユーザーに送信し、それが実行されると、遠隔地からペイロードを取得するために使用される可能性があります。
Schtasks (11.70%)
T1053.005
攻撃者は、持続性を維持したり、追加のマルウェアを実行したり、あるいは自動化されたタスクを実行したりするタスクをスケジュールする可能性があります。
Regsvr32 (10.53%)
T1218.010
Regsvr32 は、攻撃者によって DLL ファイルの登録、悪意のあるコードの実行、アプリケーションのホワイトリストのバイパスに使用される可能性があります。
MSHTA (8.78%)
T1218.005
MSHTA は、攻撃者が JavaScript、JScript、および VBScript ファイルを実行するために使用される可能性があり、ローカルに、および代替データ ストリーム内の HTA ファイルに隠されているか、リモートロケーションから取得される可能性があります。
Certutil (4.68%)
T1105, 1564.004, T1027
Windows コマンド ユーティリティは、証明機関情報の取得や証明書サービスの設定に使用されます。また、攻撃者は certutil を使用して、リモート ツールやコンテンツを収集し、ファイルをエンコードおよびデコードするだけでなく、代替データ ストリームにアクセスすることもできます。
Net.exe (4.68%)
T1087 とサブ手法
攻撃者が脆弱なマシンのユーザー、ネットワーク、サービス機能を特定するなどの偵察タスクを実行できるようにする Windows のコマンド ライン ユーティリティ。
Reg.exe (4.10%)
1003.002, 1564.004
Reg.exe は、攻撃者がレジストリ値の追加、変更、削除、および代替データ ストリームに保存される可能性のあるレジストリ値のエクスポートを行うために使用される可能性があります。さらに、reg.exe は SAM ファイルから認証情報をダンプするために使用される場合もあります。
リモート サービス (15.21%)
T1021.001, T1021.004, T1021.005
AnyDesk
ConnectWise Control
RDP
UltraVNC
PuTTY
WinSCP
Windows にネイティブのリモート サービス ツールとサードパーティ ソフトウェアのリモート サービス ツールは、攻撃者によって、マシンやインフラストラクチャへのリモート アクセス、ツールやマルウェアの入力転送、データの漏えいなどに、有効なアカウントとともに使用される可能性があります。
アーカイブ ユーティリティ (4.68%)
T1560.001
7-Zip
WinRAR
WinZip
攻撃者は、アーカイブ ユーティリティを使用して、収集したデータを圧縮し、ファイルや実行可能ファイルを解凍して、漏えいさせる準備をする可能性があります。
PsExec (4.68%)
T1569.002
PsExec は、リモート システム上でコマンドやプログラムを実行するために使用されるツールです。
BITSAdmin (2.93%)
T1105, T1218, T1564.004
BiTSAdmin は、持続性の維持、成果物のクリーンアップ、設定された基準を満たした場合の追加アクションの起動によく使用されます。
fodhelper.exe (1.17%)
T1548.002
Fodhelper.exe は、攻撃者が脆弱なマシン上で昇格された特権を使用して悪意のあるファイルを実行するために使用される可能性がある Windows ユーティリティです。
ADFind (.59%)
T1016、T1018、T1069 とサブ手法、T1087 とサブ手法、T1482
攻撃者が信頼できるドメイン、権限グループ、リモート システム、設定などのアクティブ ディレクトリ情報を発見するために使用される可能性のあるコマンド ライン ユーティリティ。
世界が 2021 年の終わりまで全速力で駆け抜けようとしているとき、多くの「バグ」がいわばフロントガラスに飛び散りました。簡単に解決できるバグもあれば、染みのように残ってしまうものもありました。チームは、毎月、新しい脆弱性 (バグ) が公表されると、それらを追跡および評価し、その中から最も重要だと「思われる」ものを報告しています。重要なのは、CVSS スコアや OWASP ランキングではなく、長年の経験に基づく昔ながらの状況分析です。
過去数か月で報告された中で上位にいるバグを見ると、いくつか際立っているものがあります。Apache では、その Web サーバー (CVE-2021-41773) と Log4j コンポーネント (CVE-2021-44228) の両方が影響力の強いバグの被害に遭い、困難な年となりました。また、Palo Alto の GlobalProtect VPN に発見されたバグ (CVE-2021-3064) は、世界的なパンデミック時に深刻な影響を及ぼし、注目に値します。では、現実を見てみましょう。Apache Log4j の脆弱性は、間違いなく 2021 年最大のバグであり、今後何年にもわたってその地位を譲らない可能性があるため、「影響力が強い」以上の評価に値します。これらの情報をご存じないなら、弊社の12 月バグ レポートをお読みください。毎月、脆弱性に関する最新のニュースをお届けしていますので、ぜひご覧ください。
では、これらのバグが最悪と言えるのはなぜでしょうか。簡単に言えば、ネットワークの端にあるツールで認証を行うことなく、リモートで利用できるからです。これらのバグは、攻撃者がフィッシング詐欺を行うことなく、ネットワークへの最初の侵入口となり、それどころかより大規模な攻撃の玄関口ともなる可能性があります。
もし貴社の CISO がロシアン ルーレットで 1 つの製品にしかパッチを適用できないと言うのであれば、Log4j の脆弱性に優先的に適用することをお勧めします。なぜなら、これは実行が容易であり、悪意ある者によって積極的に悪用されているからです。Palo Alto の VPN の脆弱性は深刻で、2020 年以降 VPN での攻撃が増加しているものの、古いバージョンの VPN ソフトウェアに影響を与え、まだ攻撃が活発化していないため、Log4j や他の Apache の脆弱性に比べて目立たない存在となっています。
ターマイトのように、目立たないながらも壊滅的な影響を与えるバグがあります。
CVE-2021-41379 というラベルが付けられた Microsoft Windows インストーラー サービスのローカル特権昇格バグは、11 月のターマイトとしてよく知られていました。Microsoft は、このバグがローカル アクセスを必要とすることを明らかにし、公式パッチで修正したとしましたが、パッチが予想どおりに機能しなかったため、この戦略は期待外れに終わりました。
Insights にあるように、失敗したパッチと公開された POC とともに、攻撃者は時を待たずにこれを彼らのプレイブックにまとめました。問題をさらに悪化させるものとして、このエクスプロイトの改造版がダーク ウェブで販売されています。
最新の脅威や研究については、弊社チームのリソースをご覧下さい。
脅威センター— 弊社チームが現在の影響力の強い脅威についてご説明します。