一般的にユーザーは、利便性のために Web ブラウザや電子メール、FTP クライアントのようなプログラムで自動ログイン機能を使用し、これは結果的に各プログラムが設定データにユーザーのアカウント情報を保存することに繋がる。このような機能はユーザーに利便性を提供するが、セキュリティ上の問題もある。攻撃者によってユーザーのアカウント情報が簡単に窃取される可能性があるからだ。
もし、マルウェアや攻撃者が感染システムの制御権を獲得した場合、様々なツールを利用してユーザーのアカウント情報を窃取することができ、このようなアカウント情報の窃取を主な目的とするインフォスティーラーマルウェアも存在する。マルウェアが既知のマルウェアの場合、エンドポイントにインストールされている既存のアンチウイルスで対応できる。しかし、不明なマルウェアに対応するには、AhnLab MDS(Malware Defense System)が必要である。
サンドボックスベースのファイル解析ソリューションである Ahnlab MDS は、仮想環境でファイルを実行した後、発生した振る舞いを解析する。新種ファイルにも既知の不正な振る舞いが含まれているため、AhnLab MDS で検知することができる。AhnLab MDS は、ファイルの振る舞いまたはファイル自体を解析するために多数の解析エンジンを搭載しており、これによって高度化された脅威を精密に検知する。
1. 概要
Web ブラウザは、PC を使用するユーザーが最も多く、そしてよく使用するプログラムの1つである。これは個人ユーザーだけでなく、企業で業務を遂行する従業員も同じだ。Web ブラウザは、Web サービスを使用するために使用するが、代表的なサービスには検索機能および電子メールの送受信がある。以外にも、ドキュメント作業を含む様々な業務も Web インターフェースが提供される場合、Web ブラウザだけで作業ができることが多い。
電子メールの場合、Web ブラウザを使用することもあるが、業務をする従業員は Outlook や Thunderbird のような専用の電子メールクライアントを PC にインストールして使用することもある。最近は、ファイル共有にクラウドサービスを多く使用する方だが、まだ FTP を利用する事例も多い。
このようなプログラムの共通点は、大半がユーザーがログインして本人のアカウントでサービスを利用するという点である。ログインは、毎回コンピューターを起動させる度に行うこともできるが、Web ブラウザを含む大半が自動ログインをサポートする。すなわち、一度ログインすると、その後からはアカウント情報が各アプリケーションの設定データに保存されて持続的なログインプロセスなしにこれを使用できるのである。
このような利便性の裏には、もし攻撃者がユーザーのシステムに対する制御権を獲得したり、システムにマルウェアがインストールされた場合、保存されていたアカウント情報は簡単に窃取されてしまうリスクも潜む。一般的にユーザーは、少数のアカウントのみを使用して様々なサービスに入会するため、少数のログインアカウント情報を窃取するだけでユーザーの様々な情報が攻撃者の手に入ってしまう。
また、ログイン時に電子メールアドレスを使用する場合には、そのメールアドレスも攻撃者が獲得することになり、攻撃者は脅迫メールの送信にこれを活用することができる。以下は、攻撃者がインフォスティーラーマルウェアに感染したシステムから収集したメールアドレスに送付した脅迫メールである。キャプチャーしたスクリーンショットと一緒に収集した情報を利用してポルノを製作し、電子メールおよび SNS を通して知人に送信するといった脅迫内容とともに、それを望まない場合は1,200ドルを攻撃者のビットコインウォレットアドレスに送るようにといった指示が書かれている。
2. 既知のマルウェア事例
インフォスティラーは情報窃取型マルウェアであり、Web ブラウザや電子メールクライアントのようなアプリケーションに保存されているアカウント情報や、履歴などのユーザー情報を窃取することを目的としたマルウェアである。もちろん、攻撃者は AntiVirus のファイル検知を回避するため、フレームワークをパックおよび難読化し、マルウェアを配布する。しかし、フレームワークが変更されたとしても、マルウェアの振る舞いは既知の不正な振る舞いを含んでいるため、AhnLab MDS で検知することができる。
ここでは、攻撃に使用されるインフォスティーラーマルウェアのうち、最も配布されている代表的なマルウェアについて AhnLab MDS を利用して情報窃取の振る舞いを検知する事例をまとめる。
A. AgentTesla
AgentTesla は、主にスパムメールを通して配布されるインフォスティーラーマルウェアである。既知の大半の Web ブラウザおよび電子メール、FTP クライアント、そして VNC プログラムなど、様々なアプリケーションを対象として情報を収集する。収集した情報は、その後、SMTP や FTP または Telegram API を通じて C&C サーバーに窃取される。[1]
ここでは、AgentTesla インフォスティーラーの様々な情報窃取の振る舞いのうち、Web ブラウザと VNC に保存されたユーザーのアカウント情報を窃取する振る舞いを MDS を利用して検知した結果をまとめる。
B. Lokibot
Lokibot も AgentTesla と同じく Web ブラウザ、電子メール、FTP クライアントだけでなく、ファイル、パスワードマネージャープログラム、ターミナルエミュレータなど、様々なアプリケーションに保存されたアカウント情報を窃取するインフォスティーラーマルウェアである。[2]
ここでは、Lokibot インフォスティーラーの様々な情報窃取の振る舞いのうち、電子メールおよび FTP クライアントに保存されたユーザーのアカウント情報を窃取する振る舞いを MDS を利用して検知した結果をまとめる。
3. APT 攻撃事例
ここまで、不特定多数に配布される既知のマルウェアを紹介した。しかし、ユーザーのアカウント情報を窃取するということは、攻撃段階の中でも攻撃者がたくさんの利点を得る重要なプロセスである。例えば、攻撃対象が一般のユーザーであっても、これを活用して後にさらなる情報を獲得することができ、企業のユーザーの場合には、感染システムだけでなく組織の内部ネットワークを掌握するためのラテラルムーブメントプロセスでも活用できる。
そのため、資格証明を獲得する振る舞いは APT 攻撃グループでも必須で使用する段階である。重要な点は、APT 攻撃者の特性上、上記のようなマルウェアを使用する代わり、不明なマルウェアを直接製作して攻撃に使用する事例が多いという点である。しかし、マルウェアをを新しく製作したとしても、情報を窃取する振る舞いは既知のマルウェアと類似した振る舞いが大半である。
仮想環境でファイルを実行した後、発生した振る舞いを解析する Ahnlab MDS は、AntiVirus とは違ってファイルのフレームワークに対する検知が不可能な場合にもこのような情報の窃取振る舞いを検知して不明なマルウェアに対しても対応できるようにサポートする。ここでは、過去に APT 攻撃グループがユーザーのアカウント情報を獲得するために使用した様々な情報窃取型マルウェアを AhnLab MDS を利用して検知した事例を紹介する。
A. Andariel
主に韓国国内企業および機関を攻撃対象とする Andariel 脅威グループは、Lazarus 脅威グループと協力する関係か、もしくは Lazarus グループの下位組織として知られている。2008年から韓国国内対象の攻撃が初めて確認されたが、主な攻撃対象は国防、政治機構、造船、エネルギー、通信など、安保に関連したところである。もちろん、それ以外にも大学や運送、ICT メーカーなど、韓国国内に位置した様々な企業および機関が攻撃対象となっている。
Andariel 脅威グループは、初期侵入プロセスで主にスピアフィッシング攻撃や水飲み場型攻撃(Watering Hole)、そしてサプライチェーン攻撃を利用し、以外にもマルウェアインストールプロセスで中央管理ソリューションを悪用する事例も存在する。[3] ここでは、過去に Andariel グループが TigerRAT を利用してインストールしたインフォスティーラーを紹介する。
TigerRAT は、バックドアであるため、情報の窃取に関連した機能が十分ではない。攻撃者は、追加の情報を収集するため、他のインフォスティーラーマルウェアのように Web ブラウザと Outlook クライアントに保存されているユーザーのアカウント情報を窃取するマルウェアを使用した。このマルウェアは Chrome、Firefox、Internet Explorer、Opera、Naver Whale などの Web ブラウザおよび Outlook クライアントでユーザーのアカウント情報を窃取した後、コマンドラインで出力するマルウェアである。
以下は、 Andariel グループの APT 攻撃に使用されたインフォスティーラーマルウェアが、Web ブラウザおよび Outlook クライアントに保存されたユーザーのアカウント情報を窃取する振る舞いを AhnLab MDS を利用して検知した結果である。すなわち、AhnLab MDS がインストールされた環境では、攻撃者がインフォスティーラーマルウェアを追加でインストールする際に情報窃取の振る舞いを検知するため、攻撃者が後にラテラルムーブメントを通して組織のネットワークを掌握し、内部情報を窃取する段階を事前にブロックすることができる。
B. Kimsuky
北朝鮮のサポートを受けていると知られている Kimsuky 脅威グループは、2013年から活動している。初期には、韓国の北朝鮮関連研究機関などに対する攻撃を行い、2014年には韓国のエネルギー機関に対する攻撃、2017年以降は韓国以外の国に対する攻撃も確認された。主にスピアフィッシング攻撃を通して国防、防衛産業、マスコミ、外交、国家機関、学術分野を攻撃中であり、組織の内部情報および技術窃取を目的とする。[4]
Kimsuky グループは、攻撃プロセスで AppleSeed、AlphaSeed など、直接製作したマルウェアの他にも TinyNuke(HVNC)や TightVNC のような遠隔操作のための様々なマルウェアを使用する。しかし、このようなマルウェアには、アカウント情報を窃取する直接的な機能は含まれていないため、これを担うインフォスティーラーマルウェアを一緒に使用することが多い。以下は、最近攻撃で使用されたインフォスティーラーマルウェアで、Web ブラウザに保存されたアカウント情報および Cookie、履歴など、様々なユーザー情報を窃取し、同じパスに json ファイルで作成する。
Kimsuky グループの APT 攻撃に使用されたインフォスティーラーマルウェアが Web ブラウザに保存されたユーザーのアカウント情報を窃取する振る舞いもまた、AhnLab MDS を利用して検知ができる。そのため、感染システムに存在するユーザー情報窃取の振る舞いを事前に検知およびブロックすることができ、これによって管理者が攻撃を認知し、次の段階の攻撃を事前に防ぐことができる。
4. 結論
攻撃者は、様々な方式を利用してユーザーの資格証明情報を窃取することができ、窃取した情報をベースにラテラルムーブメントで最終的にネットワークを掌握することができる。すなわち、資格証明情報は攻撃プロセスで必須段階の1つであり、そのため、攻撃者は既知のマルウェアだけでなく直接製作した情報窃取型マルウェアを使用することもある。
サンドボックスベースのファイル解析ソリューションである Ahnlab MDS は、仮想環境でファイルを実行した後、発生した振る舞いを解析する。既知のマルウェアだけでなく、APT 攻撃で攻撃者が直接製作した不明のマルウェアも結局、実行プロセスで情報窃取の振る舞いを実行することになる。AhnLab MDS は、このような情報の窃取振る舞いを検知するため、管理者は攻撃者を認知して攻撃者の次の攻撃を事前にブロックすることができる。
振る舞い検知
– Infostealer/MDP.Behavior.M10087
– CredentialAccess/MDP.infostealer.M10258
– CredentialAccess/MDP.infostealer.M10266
– CredentialAccess/MDP.Outlook.M11577
– CredentialAccess/MDP.IExplore.M11582
– Execution/MDP.Lokibot.M10952
– Execution/MDP.AgentTesla.M11002
サンドボックスベースの動的解析で未知の脅威を検知および対応する AhnLab MDS についての詳しい情報は AhnLab の公式 HP で確認できる。
Categories: AhnLab 検知