AhnLab EDR を活用した IIS Web サーバー対象、初期侵入段階の検知 Posted By ATCP , 2024년 05월 14일 現代のインターネット社会では、SHODAN のようなネットワークおよびデバイス検索エンジンによりインターネットに接続された全世界のデバイス情報を獲得することができる。攻撃者は、このような検索エンジンを通じて攻撃対象の情報収集や、不特定多数のデバイスにポートスキャンなどの攻撃を実行することができる。攻撃者は情報収集の結果を活用し、対象システムの弱点を探して初期進入を試み、ラテラルムーブメントやランサムウェア配布などの目標を達成する。そのため、企業のセキュリティ担当者は外部に公開されている IT 資産が存在する場合、異常な振る舞いに対するモニタリングと持続的な管理を行う必要がある。 AhnLab EDR(Endpoint Detection and Response)は、韓国国内で唯一の振る舞いベース解析エンジンをもとにエンドポイント領域に対して強力な脅威モニタリングと解析、対応力を提供する次世代エンドポイント脅威検知および対応ソリューションである。AhnLab EDR は、疑わしい振る舞いに関するタイプ別情報を常時収集し、検知および解析、対応の観点からユーザーが脅威を正確に認識できる機能を提供し、これによって総合的な解析を通じ原因把握と適切な対応、再発防止プロセスを確立できる。 この記事では、攻撃者が…
Word ドキュメントで拡散している DanaBot マルウェアの EDR 検知 Posted By ATCP , 2024년 05월 14일 最近、電子メールで配布されるドキュメントマルウェアでは主に、数式エディターの脆弱性ドキュメントと外部 External 接続リンクが含まれているドキュメントが配布されている。この記事では、後者の方式の外部 External 接続リンクを含むドキュメントで配布される Danabot マルウェアの感染フローを説明し、当社 EDR 製品のダイアグラムを通じて確認できる証跡および検知について説明する。 [図1]は、External 接続リンクが含まれているWordドキュメントが添付されたスパムメールの本文である。本文の内容を見れば分かるように、受信者を騙すため、精巧に偽装された入社志願書の電子メールだ。添付されたドキュメント(.docx)は、External 接続リンクが含まれているワードドキュメントである。 [図1]…
グループウェアのインストーラに偽装した Rhadamanthys マルウェア(MDS 製品検知) Posted By ATCP , 2024년 04월 04일 最近、AhnLab SEcurity intelligence Center(ASEC)では、グループウェアのインストーラに偽装した Rhadamanthys マルウェアの配布を確認した。攻撃者は、実際のサイトと同じように偽のサイトを作り、検索エンジンの広告機能を利用してユーザーに露出させ配布した。検索エンジンの広告機能を利用したマルウェアの配布は、最近の ASEC ブログ<「えっ、ここじゃなかったの?」Google の広告トラッキング機能を悪用したマルウェアの配布>[1] で紹介した。このマルウェアは、セキュリティソリューション製品に検知されることを回避するため、indirect syscall 手法を使用する。Indirect…
AhnLab EDR を活用した Web ブラウザアカウント情報窃取マルウェアの検知 Posted By ATCP , 2024년 03월 20일 Web ブラウザは、PC を使用するユーザーが最も多く、そして頻繁に使用するプログラムの一つである。ユーザーは主に検索や電子メールの受信/送信、ネットショッピング等の Web サービスを利用するために使用し、これは個人のユーザーだけでなく企業で業務を遂行する従業員も同様である。 一般的に、これらのサービスを利用するためには自身のアカウントでログインするプロセスが必要だが、各サービスを毎回使用するたびにログインすることは不便さが伴うため、大半の Web ブラウザはオートログイン機能をサポートしている。すなわち、一度ログインすれば以降はアカウント情報が各アプリケーションの設定データに保存されるため、何度もログインする必要なくサービスを利用できるというものである。 しかし、このような利便性とは逆に、もし攻撃者がユーザーのシステムの操作権限を獲得したりシステムにマルウェアがインストールされると、保存されていたアカウント情報が容易に窃取される可能性がある。一般的にユーザーは数個のアカウントのみを使用して様々なサービスに登録するため、ログインした少数のアカウント情報を奪われただけでユーザーの様々な情報が攻撃者の手に簡単に渡される。 1. インフォスティーラーマルウェアの事例 インフォスティーラーは情報窃取型マルウェアであり、Web…
AhnLab EDR を活用した防御回避手法の検知 Posted By ATCP , 2024년 03월 18일 一般的に、機関や企業のなどの組織では、セキュリティの脅威を防ぐために様々なセキュリティ製品を使用している。エンドポイントを基準にしても、AntiVirus だけでなく、ファイアウォール、APT 防御ソリューション、そして EDR などの製品が存在する。セキュリティを担う組織が別に存在する環境でない、一般ユーザーの環境でも、ほとんどに基本的なセキュリティ製品がインストールされていることが多い。例えば、最新の Windows OS 環境では、ユーザが追加でインストールせずとも、すでに Microsoft Defender などの AntiVirus…
AhnLab EDR を活用した Kimsuky グループのスピアフィッシング攻撃の検知(AppleSeed、AlphaSeed) Posted By ATCP , 2024년 02월 14일 北朝鮮の支援を受けていることで知られている Kimsuky 脅威グループは、2013年から活動している。初期には韓国の北朝鮮関連の研究機関等に対する攻撃を行っており、2014年、韓国のエネルギー機関への攻撃が、そして2017年以降は韓国以外の国への攻撃も確認されている。[1](韓国語にて提供) 主にスピアフィッシング攻撃で国防、防衛産業、マスコミ、外交、国家機関、学術分野を攻撃しており、組織の内部情報および技術の窃取を目的としている。[2](韓国語にて提供) Kimsuky グループは、攻撃によって様々なマルウェアを使用するが、代表的なものとして AppleSeed と AlphaSeed マルウェアをインストールする事例がある。これらの攻撃は数年前から続いており、過去にも「Kimsuky グループの APT…
AhnLab EDR を活用したデータ流出段階の検知(ランサムウェアの攻撃者) Posted By ATCP , 2024년 02월 07일 ランサムウェアの攻撃者は、組織の内部ネットワークを掌握した後、ランサムウェアを配布し、システムを暗号化して復旧のための金銭を要求する方式で収益を得た。しかし最近では、システムを暗号化する以外にも組織の内部データを流出させたあとに、対価を支払わなければこれを公開するという脅迫方法を同時に使用している。 一般的にランサムウェアの攻撃者はデータを収集したあと、圧縮して外部に流出させる。データを流出させる際は、複数の正常なユーティリティが使われる。ファイルの暗号化に使用されるランサムウェアや初期侵入時に使用するマルウェアとは異なり、自ら制作しなくても、すでに大容量のデータを安定的に転送する機能をサポートするユーティリティが多数存在するためである。 数年間に渡り多数のランサムウェアの攻撃者が活動を続けてきたが、データ流出プロセスで使われたものと知られているツールは、数種類が大半を占めている。攻撃者たちは主に FTP プロトコルやクラウドを利用してデータを流出させるが、FTP 方式の場合 WinSCP、FileZilla が主に使用され、クラウドの場合は MegaSync および Rclone が多く使用される。これらのプログラムは、一般ユーザーや管理者が業務や個人的な目的で使用する有名なツールである。すなわち、企業内部のシステムに存在するデータを流出させる際は正常なツールを使用するため、AntiVirus…
AhnLab MDS を活用したアカウント情報窃取マルウェアの検知(Web ブラウザ、電子メール、FTP) Posted By ATCP , 2024년 02월 01일 一般的にユーザーは、利便性のために Web ブラウザや電子メール、FTP クライアントのようなプログラムで自動ログイン機能を使用し、これは結果的に各プログラムが設定データにユーザーのアカウント情報を保存することに繋がる。このような機能はユーザーに利便性を提供するが、セキュリティ上の問題もある。攻撃者によってユーザーのアカウント情報が簡単に窃取される可能性があるからだ。 もし、マルウェアや攻撃者が感染システムの制御権を獲得した場合、様々なツールを利用してユーザーのアカウント情報を窃取することができ、このようなアカウント情報の窃取を主な目的とするインフォスティーラーマルウェアも存在する。マルウェアが既知のマルウェアの場合、エンドポイントにインストールされている既存のアンチウイルスで対応できる。しかし、不明なマルウェアに対応するには、AhnLab MDS(Malware Defense System)が必要である。 サンドボックスベースのファイル解析ソリューションである Ahnlab MDS は、仮想環境でファイルを実行した後、発生した振る舞いを解析する。新種ファイルにも既知の不正な振る舞いが含まれているため、AhnLab…
EDR を利用した様々な LSASS 資格証明ダンプ方式の検知 Posted By ATCP , 2024년 01월 19일 AhnLab SEcurity intelligence Center(ASEC)は、「ドメイン環境における EDR を活用した資格情報窃取段階の検知」 [1] ブログにて攻撃者がアクティブディレクトリ環境に属しているシステムを掌握したあと、資格情報を窃取する様々な方式を紹介した。この記事では、資格情報を窃取する方式のうち、LSASS プロセスのメモリに保存されている NT Hash(NTLM 認証プロトコルで使用するハッシュ)をダンプする様々な手法についてより詳細に紹介する。…
ドメイン環境における EDR を活用した資格情報窃取段階の検知 Posted By ATCP , 2024년 01월 10일 「ドメイン環境における EDR を活用した内部偵察段階の検知」[1] の記事では、攻撃者がアクティブディレクトリ環境に属しているシステムを掌握したあと、内部ネットワークを偵察して情報を収集するプロセスを、EDR を利用して検知する事例を取り上げた。組織のインフラがアクティブディレクトリ(Active Directory)を使用する環境の場合、攻撃者は内部偵察段階を経てドメイン環境の情報を収集し、資格情報を窃取したあと、これをもとにラテラルムーブメントを実行し、最終的にドメイン環境を掌握できる。 ここでは、攻撃者がアクティブディレクトリ環境に属するシステムを掌握したあと、ラテラルムーブメントのために資格情報を窃取する攻撃段階を解説し、EDR を利用してこれを検知する方式を紹介する。攻撃者は資格情報の窃取のために Mimikatz を含む様々なツールも活用することがあり、管理者の不注意を悪用する可能性がある。 このような資格情報窃取の段階はドメインを掌握するための核心的なステップであるため、攻撃者はセキュリティ製品による検知を回避するために様々な手法を用いる。ファイル検知を回避するためにパッキングや難読化を施すことはもちろん、振る舞い検知を回避するために正常なユーティリティである ProcDump…
