Tenable ブログ
ブログ通知を受信するランサムウェア攻撃からActive Directoryを保護
現在、多くのランサムウェアオペレーターが、攻撃経路の中核となるステップとして Active Directory (AD) を標的にしています。 詳細を理解することで、AD 環境の安全性を保護することができます。
ここ数カ月間、多くのランサムウェア集団が、攻撃経路の中核となるステップとして、Active Directory (AD) に焦点を絞ってきました。 2021 年 7 月の LockBit 2.0 に始まり、2021 年 9 月と 10 月の Conti と BlackMatter に至るまで、AD 経由のドメイン権限で、被害者のネットワークへの自由なアクセス (IT 環境の支配権) を得ることがいかに容易であるかを彼らは学習しているのです。残念ながら、AD のセキュリティとガバナンスの問題を適切に評価している企業はあまりにも少ないのが現状です。このブログでは、 Active Directoryを利用して攻撃を加速させる最近のランサムウェアの戦術を紹介し、脅威から企業を守る対策を説明します。
ランサムウェアのActive Directory(AD) 戦術を深く解析
セキュリティチームは Active Directoryという重要な攻撃経路を見過ごしがちですが、サイバーセキュリティインフラストラクチャセキュリティ庁 (CISA)、連邦捜査局 (FBI)、国家安全保障局 (NSA) は見逃していません。 脅威の活動が活発化し、高度化していることから、これら 3 つの米国政府機関はランサムウェア攻撃に関連する複数の共同アラートを発しており、各勧告では、攻撃のネットワーク内部への感染に AD が重要な役割を果たしていることが明記されています。
Conti
ランサムウェア Conti は、今年初め、多くの医療機関を含む数百の企業を攻撃し、極めて重要な業務を停止させたことで話題になりました。 Conti を利用した攻撃者は、AD で権限を得るために、パッチの適用されていない脆弱性に注目しています。CISA、FBI、NSA の共同アラートでは、次のように記述されています。
「最近流出した攻撃者の『プレイブック』によると、Conti の攻撃者は、以下のようなパッチが適用されていない資産の脆弱性なども利用して権限を昇格し、被害者のネットワークを探索するとされています。
- 2017 年 Microsoft Windows Server Message Block 1.0 サーバーの脆弱性
- Windows の印刷スプーラーサービスにおける『PrintNightmare』脆弱性 (CVE-2021-34527)
- Microsoft AD ドメインコントローラーシステムにおける『Zerologon』脆弱性 (CVE-2020-1472)」
BlackMatter
BlackMatter は、DarkSide、REvil、LockBit の様々なプレイブックの戦術をモデルとした新しいランサムウェア集団です。 また、CISA、FBI、NSA は、BlackMatter が 2 つの米国食糧農業企業を含む複数の米国の重要インフラ企業を標的にしているとの共同アラートを発しました。 BlackMatter は AD を利用してホストや共有フォルダーを検出して列挙します。 共同アラートでは次のように記述されています。
「BlackMatter は、過去に侵害されたことのある埋め込まれた認証情報を用いて、ライトウェイトディレクトリアクセスプロトコル (LDAP) とサーバーメッセージブロック (SMB) プロトコルを利用して Active Directory (AD) にアクセスし、ネットワーク上のすべてのホストを検出します。 BlackMatter はその後、ホストや共有ドライブを見つけ次第、リモートで暗号化します」
LockBit 2.0
最近の CISA 勧告では言及されていませんが、LockBit 2.0 は、2021 年 7 月時点ですでに活動が盛んでした。 IBM が運営するブログ『Security Intelligence』では、LockBit 集団が使用している新しい戦術を分析しています。その中には、AD をてこに、次のようにグループポリシーを使用してランサムウェアのペイロードを導入する手口も含まれています。
「今回の分析で明らかになった最も大きな変化の一つは、導入のための新しい技術の実装です。 グループポリシーオブジェクト (GPO) を介して Microsoft Active Directory クライアントに自動的に自己導入するペイロードです。 Active Directory Domain Controller 上に導入されると、LockBit 2.0 は、感染プロセスを実行するために複数の GPO を作成して、 Windows Defender の設定を変更して検知を回避します。さらにネットワーク共有の更新、特定のサービスの停止、プロセスの終了などを行い、 LockBit の実行ファイルをクライアントのデスクトップのディレクトリにコピーし、実行します。 PowerShell により、指定した組織単位 (OU) のドメインに結合したすべてのホストに新しい GPO が適用されます」
ランサムウェアの攻撃経路を複数のポイントで遮断しActive Directoryセキュリティを保護
ランサムウェアのAD に対する戦術を理解したところで、セキュリティ防御側は、攻撃経路の複数のステップに注目することが重要です。
ランサムウェアの初期エントリポイントの考察
攻撃者は、そもそも企業の IT 環境に侵入しなければ、標的に向かって探索を開始することはできません。Ryuk や REvil など、複数の例で見られたように、エントリポイントはフィッシング攻撃だけとは限りません。 むしろ、ユーザーの操作を必要としないデバイスやオペレーティングシステム、ソフトウェアの既知の問題を利用した攻撃が目立ってきています。 攻撃者がデバイス、オペレーティングシステム、ソフトウェアに侵入する際の主な戦術は、脆弱性を利用することと、設定ミスを利用することの 2 つです。
小規模な企業であっても、防御側は、セキュリティを保護しなければならない多くの脆弱性や設定ミスがあることを理解して、アタックサーフェス内のすべての潜在的なエクスポージャーを確認し、最も重要なセキュリティ上の問題に直ちに対処するために周到に用意する必要があります。 すべての脆弱性や設定ミスを保護することは不可能なので、ここでは優先順位をつけることが重要です。
エントリポイントの悪用
攻撃者がエントリポイントで足場を固めた後、認証情報を取得し、環境内を探索し、ネットワークに関する情報を収集するために利用している方法がいくつかあります。 主な手口として、侵害されたデバイスのローカル管理者権限を獲得する方法があります。ローカル権限があると、攻撃者は悪意のあるソフトウェアをインストールしたり、ローカルにキャッシュされた認証情報をマイニングしたりすることができます。
デバイスにインストールされた悪意のあるソフトウェアは、通常、ネットワークや AD の詳細を列挙するために使用されます。このレベルの列挙は、ネットワークと AD への読み取りアクセスのみを必要とするため、列挙される前に、ネットワークデバイスとソフトウェア、そして AD の両方が安全に保護されていることが不可欠です。
キャッシュされた認証情報を取得した攻撃者は、ドメインの特権ユーザーがデバイスにログインしている場合、即時にドメイン権限を取得することが可能です。 この場合、攻撃者はこのアカウントになりすますだけで、バックドアを仕掛け、目的のデータをコピーして、ネットワーク全体にランサムウェアを導入することができます。 このような状況を避けるために、管理者をワークステーションに直接ログオンさせないような、階層化されたモデルを確実に導入することが非常に重要です。管理者がログオンすると、認証情報がキャッシュされる可能性があるので、それが原因で攻撃者に簡単にアクセスされてしまうことが考えられるからです。
攻撃者が権限のある認証情報を得られなかった場合、攻撃者はその認証情報を使って他のデバイスへの移動を試み、侵害したすべてのデバイスで同じ手口を繰り返して使います。攻撃者の探索を阻止するには、Microsoft の LAPS のような技術と、強固なパスワードポリシーを実装する必要があります。
攻撃者がドメイン権限を獲得していなくても、AD を列挙していれば、ドメイン権限のあるアカウントを侵害することを目的に、ドメインアカウントを攻撃する手段が手の内にあるということになります。
ランサムウェアからActive Directoryセキュリティを保護する
AD は、年中無休のセキュリティとメンテナンスが必要です。 攻撃されやすいユーザーやコンピューターの設定は、Nessus、Tenable.io、Tenable.sc の簡単な Active Directory スタータースキャンで検出できます。 スタータースキャンを使えば、AD のセキュリティを高レベルでチェックすることができ、潜在的な設定ミスを示してくれます。
AD スタータースキャンは出発点としては適切ですが、以下のような AD における他の一般的なセキュリティ問題にもできるだけ早く対処する必要があります。
- 特権ユーザーと関連する属性の保護
- 特権グループとそのメンバーの検証
- AD と SYSVOL の権限の見直しと確保
- すべての信頼関係が正しいかどうかの確認
- 公開されている脆弱性のパッチ適用
詳しくはこちらから
- Tenable のお客様は、Active Directory スタータースキャンを実行することで、一般的に悪用されている AD の弱点を検出し、認証情報を保護して権限昇格を防ぐことができます。
- AD のセキュリティ対策については、eBook 現代のランサムウェア攻撃を解明する、Active Directory をランサムウェア攻撃から守る方法、Active Directory セキュリティを強化してランサムウェア攻撃を防止する 5 つの方法 に詳しい解説があります。
- 最後に、より包括的な AD セキュリティプログラムを開始する準備ができたら、Tenable.ad のデモを予約して、ソリューションが実際の AD 環境にどのように役立つかをご確認いただけます。
関連記事
- Active Directory
- Threat Intelligence
- Threat Management