Tenable ブログ
ブログ通知を受信する
ランサムウェア攻撃からActive Directoryを保護
現在、多くのランサムウェアオペレーターが、攻撃経路の中核となるステップとして Active Directory (AD) を標的にしています。 詳細を理解することで、AD 環境の安全性を保護することができます。
ここ数カ月間、多くのランサムウェア集団が、攻撃経路の中核となるステップとして、Active Directory (AD) に焦点を絞ってきました。 2021 年 7 月の LockBit 2.0 に始まり、2021 年 9 月と 10 月の Conti と BlackMatter に至るまで、AD 経由のドメイン権限で、被害者のネットワークへの自由なアクセス (IT 環境の支配権) を得ることがいかに容易であるかを彼らは学習しているのです。残念ながら、AD のセキュリティとガバナンスの問題を適切に評価している企業はあまりにも少ないのが現状です。このブログでは、 Active Directoryを利用して攻撃を加速させる最近のランサムウェアの戦術を紹介し、脅威から企業を守る対策を説明します。
ランサムウェアのActive Directory(AD) 戦術を深く解析
セキュリティチームは Active Directoryという重要な攻撃経路を見過ごしがちですが、サイバーセキュリティインフラストラクチャセキュリティ庁 (CISA)、連邦捜査局 (FBI)、国家安全保障局 (NSA) は見逃していません。 脅威の活動が活発化し、高度化していることから、これら 3 つの米国政府機関はランサムウェア攻撃に関連する複数の共同アラートを発しており、各勧告では、攻撃のネットワーク内部への感染に AD が重要な役割を果たしていることが明記されています。
Conti
ランサムウェア Conti は、今年初め、多くの医療機関を含む数百の企業を攻撃し、極めて重要な業務を停止させたことで話題になりました。 Conti を利用した攻撃者は、AD で権限を得るために、パッチの適用されていない脆弱性に注目しています。CISA、FBI、NSA の共同アラートでは、次のように記述されています。
「最近流出した攻撃者の『プレイブック』によると、Conti の攻撃者は、以下のようなパッチが適用されていない資産の脆弱性なども利用して権限を昇格し、被害者のネットワークを探索するとされています。
- 2017 年 Microsoft Windows Server Message Block 1.0 サーバーの脆弱性
- Windows の印刷スプーラーサービスにおける『PrintNightmare』脆弱性 (CVE-2021-34527)
- Microsoft AD ドメインコントローラーシステムにおける『Zerologon』脆弱性 (CVE-2020-1472)」
BlackMatter
BlackMatter は、DarkSide、REvil、LockBit の様々なプレイブックの戦術をモデルとした新しいランサムウェア集団です。 また、CISA、FBI、NSA は、BlackMatter が 2 つの米国食糧農業企業を含む複数の米国の重要インフラ企業を標的にしているとの共同アラートを発しました。 BlackMatter は AD を利用してホストや共有フォルダーを検出して列挙します。 共同アラートでは次のように記述されています。
「BlackMatter は、過去に侵害されたことのある埋め込まれた認証情報を用いて、ライトウェイトディレクトリアクセスプロトコル (LDAP) とサーバーメッセージブロック (SMB) プロトコルを利用して Active Directory (AD) にアクセスし、ネットワーク上のすべてのホストを検出します。 BlackMatter はその後、ホストや共有ドライブを見つけ次第、リモートで暗号化します」
LockBit 2.0
最近の CISA 勧告では言及されていませんが、LockBit 2.0 は、2021 年 7 月時点ですでに活動が盛んでした。 IBM が運営するブログ『Security Intelligence』では、LockBit 集団が使用している新しい戦術を分析しています。その中には、AD をてこに、次のようにグループポリシーを使用してランサムウェアのペイロードを導入する手口も含まれています。
「今回の分析で明らかになった最も大きな変化の一つは、導入のための新しい技術の実装です。 グループポリシーオブジェクト (GPO) を介して Microsoft Active Directory クライアントに自動的に自己導入するペイロードです。 Active Directory Domain Controller 上に導入されると、LockBit 2.0 は、感染プロセスを実行するために複数の GPO を作成して、 Windows Defender の設定を変更して検知を回避します。さらにネットワーク共有の更新、特定のサービスの停止、プロセスの終了などを行い、 LockBit の実行ファイルをクライアントのデスクトップのディレクトリにコピーし、実行します。 PowerShell により、指定した組織単位 (OU) のドメインに結合したすべてのホストに新しい GPO が適用されます」
ランサムウェアの攻撃経路を複数のポイントで遮断しActive Directoryセキュリティを保護
ランサムウェアのAD に対する戦術を理解したところで、セキュリティ防御側は、攻撃経路の複数のステップに注目することが重要です。
ランサムウェアの初期エントリポイントの考察
攻撃者は、そもそも企業の IT 環境に侵入しなければ、標的に向かって探索を開始することはできません。Ryuk や REvil など、複数の例で見られたように、エントリポイントはフィッシング攻撃だけとは限りません。 むしろ、ユーザーの操作を必要としないデバイスやオペレーティングシステム、ソフトウェアの既知の問題を利用した攻撃が目立ってきています。 攻撃者がデバイス、オペレーティングシステム、ソフトウェアに侵入する際の主な戦術は、脆弱性を利用することと、設定ミスを利用することの 2 つです。
小規模な企業であっても、防御側は、セキュリティを保護しなければならない多くの脆弱性や設定ミスがあることを理解して、アタックサーフェス内のすべての潜在的なエクスポージャーを確認し、最も重要なセキュリティ上の問題に直ちに対処するために周到に用意する必要があります。 すべての脆弱性や設定ミスを保護することは不可能なので、ここでは優先順位をつけることが重要です。
エントリポイントの悪用
攻撃者がエントリポイントで足場を固めた後、認証情報を取得し、環境内を探索し、ネットワークに関する情報を収集するために利用している方法がいくつかあります。 主な手口として、侵害されたデバイスのローカル管理者権限を獲得する方法があります。ローカル権限があると、攻撃者は悪意のあるソフトウェアをインストールしたり、ローカルにキャッシュされた認証情報をマイニングしたりすることができます。
デバイスにインストールされた悪意のあるソフトウェアは、通常、ネットワークや AD の詳細を列挙するために使用されます。このレベルの列挙は、ネットワークと AD への読み取りアクセスのみを必要とするため、列挙される前に、ネットワークデバイスとソフトウェア、そして AD の両方が安全に保護されていることが不可欠です。
キャッシュされた認証情報を取得した攻撃者は、ドメインの特権ユーザーがデバイスにログインしている場合、即時にドメイン権限を取得することが可能です。 この場合、攻撃者はこのアカウントになりすますだけで、バックドアを仕掛け、目的のデータをコピーして、ネットワーク全体にランサムウェアを導入することができます。 このような状況を避けるために、管理者をワークステーションに直接ログオンさせないような、階層化されたモデルを確実に導入することが非常に重要です。管理者がログオンすると、認証情報がキャッシュされる可能性があるので、それが原因で攻撃者に簡単にアクセスされてしまうことが考えられるからです。
攻撃者が権限のある認証情報を得られなかった場合、攻撃者はその認証情報を使って他のデバイスへの移動を試み、侵害したすべてのデバイスで同じ手口を繰り返して使います。攻撃者の探索を阻止するには、Microsoft の LAPS のような技術と、強固なパスワードポリシーを実装する必要があります。
攻撃者がドメイン権限を獲得していなくても、AD を列挙していれば、ドメイン権限のあるアカウントを侵害することを目的に、ドメインアカウントを攻撃する手段が手の内にあるということになります。
ランサムウェアからActive Directoryセキュリティを保護する
AD は、年中無休のセキュリティとメンテナンスが必要です。 攻撃されやすいユーザーやコンピューターの設定は、Nessus、Tenable.io、Tenable.sc の簡単な Active Directory スタータースキャンで検出できます。 スタータースキャンを使えば、AD のセキュリティを高レベルでチェックすることができ、潜在的な設定ミスを示してくれます。
AD スタータースキャンは出発点としては適切ですが、以下のような AD における他の一般的なセキュリティ問題にもできるだけ早く対処する必要があります。
- 特権ユーザーと関連する属性の保護
- 特権グループとそのメンバーの検証
- AD と SYSVOL の権限の見直しと確保
- すべての信頼関係が正しいかどうかの確認
- 公開されている脆弱性のパッチ適用
詳しくはこちらから
- Tenable のお客様は、Active Directory スタータースキャンを実行することで、一般的に悪用されている AD の弱点を検出し、認証情報を保護して権限昇格を防ぐことができます。
- AD のセキュリティ対策については、eBook 現代のランサムウェア攻撃を解明する、Active Directory をランサムウェア攻撃から守る方法、Active Directory セキュリティを強化してランサムウェア攻撃を防止する 5 つの方法 に詳しい解説があります。
- 最後に、より包括的な AD セキュリティプログラムを開始する準備ができたら、Tenable.ad のデモを予約して、ソリューションが実際の AD 環境にどのように役立つかをご確認いただけます。
関連記事
Cybersecurity Snapshot: CISA Shines Light on Cloud Security and on Hybrid IAM Systems’ Integration
March 15, 2024Check out CISA’s latest best practices for protecting cloud environments, and for securely integrating on-prem and cloud IAM systems. Plus, catch up on the ongoing Midnight Blizzard attack against Microsoft. And don’t miss the latest CIS Benchmarks. And much more!
Poor Identity Hygiene at Root of Nation-State Attack Against Microsoft
February 1, 2024The latest breach suffered by Microsoft shows once again that detection and response are not enough. Because the source of an attack almost always boils down to a single overlooked user and permission, it’s critical for organizations to have strong preventive security.
Cybersecurity Snapshot: What’s in Store for 2024 in Cyberland? Check Out Tenable Experts’ Predictions for OT Security, AI, Cloud Security, IAM and more
December 29, 2023The new year is upon us, and so we ponder the question: What cybersecurity trends will shape 2024? To find out, we asked Tenable experts to read the tea leaves. Their 2024 forecasts include: A bigger security role for cloud architects; a focus by ransomware gangs on OT systems in critical industries; an intensification of IAM attacks; and much more!
Shifting the Paradigm: Why the Cyber Insurance Industry Should Focus on Preventive Security
May 13, 2024As claims and losses climb, it’s clear that preventive security should be prioritized more when designing a cyber insurance policy. Here’s why preventive security investments are cost effective and can lead to lower premiums.
Cybersecurity Snapshot: New Guide Explains How To Assess if Software Is Secure by Design, While NIST Publishes GenAI Risk Framework
May 10, 2024Is the software your company wants to buy securely designed? A new guide outlines how you can find out. Meanwhile, a new NIST framework can help you assess your GenAI systems’ risks. Plus, a survey shows a big disconnect between AI usage (high) and AI governance (low). And MITRE’s breach post-mortem brims with insights and actionable tips. And much more!
CVE-2024-21793, CVE-2024-26026: Proof of Concept Available for F5 BIG-IP Next Central Manager Vulnerabilities
May 9, 2024Researchers disclose multiple vulnerabilities in F5 BIG-IP Next Central Manager and provide proof-of-concept exploit code, which could lead to exposure of hashed passwords.
- Active Directory
- Threat Intelligence
- Threat Management