SolarWinds： 知っておくべきこと、 すべき対策

何が起きたのか、誰がやったのか？

12月13日、ワシントン・ポスト紙がロシアのグループAPT29（「コージーベア（Cozy Bear）」の名前でも知られる）が米国の財務省と商務省に不正侵入したと報じました。FBIによると攻撃は早ければ2020年3月から始まっていたのではとされています。FireEyeによると、侵害はSolarWinds社のOrionというソフトウェアを介したサプライチェーン攻撃を原因とし、SUNBURSTという名前のマルウェアを配信していたと報告しています。SolarWinds社のOrionは、Fortune500のうち425社、10大通信会社、米軍の各支部、NSA、国務省、国防総省、司法省、ホワイトハウスなどの米国政府機関を含む、世界中の30万以上の組織で使用されている人気のあるIT管理ツールです。そのため、米国政府のサイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は、「すべての米国連邦政府機関に対し、侵害の兆候がないかネットワークを見直し、直ちにSolarWinds社のOrion製品との接続を切断または電源を切るように」との緊急指令を出しました。

この国家の意を受けているとされる攻撃者は、SolarWinds社のOrionソリューションを侵害し、早ければ2020年3月にはOrionにバックドアを構築していました。これを利用して、アップデートの際にも感染したマルウェアをインストールさせることで、ターゲットをさらに感染させました。このソフトウェアはサプライヤーレベルで侵害されていたため、有効な署名でデジタル署名されており、アンチウイルスやオペレーティングシステムの保護機能では検出されませんでした。

SolarWindsは、2020年3月から2020年6月の間にリリースされたSolarWinds Orion Platformソフトウェアが影響を受けていることを開示するアドバイザリを公開しました。

どのようにして発生したのか、クラウドでのユーザーの監視が不可欠な理由

被害者が侵害されたソフトウェアをインストールすると、APTはさらにネットワークの侵害を進め、特権アカウントを使用してラテラルムーブし、最終的にはドメイン管理者アカウントまたはSAML Signing Certificateの資格情報を取得します。これにより攻撃者は、オンプレミスのデバイスやクラウド・インフラストラクチャへのラテラルムーブが可能となるのです。そしてアクセスレベルを利用し、新たな特権アカウントを作成し、組織内に強固な足場を築き上げたのです。この攻撃者は、先に述べた足掛かりを得るためのテクニックと同様に、ドメインフェデレーションの信頼アクティビティを実行していることがMicrosoftによって観測されています。

Vectra Cognitoは、この攻撃による侵害の調査や検知を行いたいお客様が利用できるいくつかの機能を持っています。

Vectraの検知機能の概要

APT29のツールとテクニックは非常に洗練されており、長期間にわたって気づかれずにいました。戦術は以前のAPTのセキュリティ侵害に類似しています。

1. ホストを侵害する    
2. ホストを使用して認証情報を盗む・特権を高いものに変更させる      
3. 新しい認証を使用して、ネットワークの様々な部分で足場を確立する      
4. クラウド環境での移動
5. データを盗む

Vectra AI社のお客様は、報告されている戦術やテクニックを利用した攻撃からすでに保護されています。以下は、TTPに基づいたVectraのAIによる検知の概要です。

ネットワークアクティビティに基づく検知

外部リモートアクセス／隠れたHTTPSトンネル／隠れたHTTPトンネル

• C2通信と感染したホストとの相互作用が予想されます。この検知は、ドメイン avsvmcloud[.]com にリンクされている可能性が高いです。

Vectra Threat Intel Match

• このキャンペーンに関与している悪意のある送信先は、Vectra Threat Intelligence Feedで監視されています。

RPCの偵察／標的型 RPC 偵察

• 攻撃者は、組み込みのMicrosoftツールを使用して偵察を実行し、ターゲットに対して攻撃を仕掛けます。 不審なリモート実行
• 攻撃者はインプラントなどの任意のリモートコード実行を利用して新たな足場を築きます。

特権アクセスの異常

• 攻撃者はサービスアカウント、特にSolarWindsのアカウントを利用して、インフラのサーバーに対してラテラルムーブを実施します。
• 攻撃者は、高い権限を持つ新しいアカウントを作成し、既存のホストやインフラに対して使用して、ネットワークを介して移動します。

Office 365とAzure ADアクティビティに基づいた検知

不審なサインオンアクティビティ

• 攻撃者は、組織のインフラストラクチャに対して管理アクションを実行するためにクラウドアカウントを使用することが知られています。したがって、この検知は、グループが組織外のどこかからアカウントを使用した場合にトリガーされます。

管理者アカウントの作成

• 攻撃者が管理者アカウントを作成するのが確認されています。

新しく作成された管理者アカウント

• 以前の検知と同様に、攻撃者が新たに作成したアカウントを使用していることを示しています。
• 不審なAzure ADの操作。
• 攻撃者は、足掛かりを維持するために、新しいフェデレーション信頼を作成したり、他のタイプの高レベルのAzure AD操作を行ったりすることが観測されています。

リスクの高いアプリケーション権限

• 攻撃者は、環境の永続性を維持するために、広範囲の権限を持つ悪意のあるアプリケーションを利用しています。

あなたの環境で探すべきもの

Cognito StreamもしくはCognitoRecallをご利用のお客様、およびネットワーク・メタデータを収集するツールを使用しているお客様は、すぐに自分の環境で以下を検索する必要があります。 iSessionメタデータ・ストリームのAPT29リンク・ドメインに関連するアクティビティを確認してください。

• resp_hostname:*.appsync-api.eu-west-1.avsvmcloud[.]com (Without the square brackets)
• resp_hostname:*.appsync-api.eu-west-2.avsvmcloud[.]com (Without the square brackets)

すべてのメタデータでSolarWindsシステムからの予期せぬ活動を確認します。

• orig_hostname:(solarwinds_01*OR SolarWinds_01*)

Kerberos_txnメタデータの管理者ADアカウントに関連するアクティビティを確認します。

• client:(*admin_account*OR *Admin_Account*) NTLM

メタデータ内の管理者アカウントに関連するアクティビティを確認します。

• username:(*admin_account*OR *Admin_Account*)

RDPメタデータ内の管理者アカウントに関連するアクティビティを確認します。（RDPクッキーは9文字に省略されていることをご注意ください。）

• cookie:(admin_accOR Admin_Acc)
• クッキーフィールドには、ユーザー名の前にドメイン名を含めることもできますが、その場合は、SolarWindsサーバーがソースとなっている検索を実行してください。

結論

SolarWindsは、お客様の環境のセキュリティを確保するために、できるだけ早くOrion Platformのバージョン2020.2.1 HF 1にアップグレードするか、Orion Platformのインターネットアクセスを無効にし、ポートや接続を必要なものだけに制限することを、すべてのお客様に強くお勧めしています。

今回のようなサイバー攻撃を迅速に検知して対応するためのアプローチを変えたい、VectraAI社のCognitoがどのように攻撃者のツールや侵害を見つけることができるのかをもっと詳しく知りたいとお考えの方は、ぜひデモのご予約もしくはお問い合わせください。

‍

‍