BlackByte感染のケーススタディ:ProxyShell悪用による初期アクセスからランサムウェア展開までの5日間
マイクロソフトのインシデントレスポンスチームが、BlackByteの展開を伴うあるサイバー攻撃インシデントについて調査。この攻撃では、初期アクセス獲得から5日足らずの間にさまざまな技術・ツールを用いたC2通信、偵察、ラテラルムーブメント、データ窃取などの活動が実施され、最終的にBlackByte 2.0ランサムウェアが展開されて環境内のデバイスが暗号化された結果、被害企業の事業運営に大きな影響が出たのだという。
BlackByteの攻撃チェーン
マイクロソフトによれば、BlackByteの攻撃は以下のような流れで行われたという。
①初期アクセス・権限昇格
マイクロソフトの観測結果によると、攻撃者は、被害者環境への初期アクセスを獲得するため、未パッチのMicrosoft Exchange Serverにおける脆弱性ProxyShell (CVE-2021-34473、CVE-2021-34523、CVE-2021-31207)を悪用していたという。またこれらの脆弱性を使用することで、攻撃者は侵害したExchangeホスト上でsystem権限を入手することができた。
②living-off-the-landツールを用いた持続性確保・C2との通信
初期アクセス獲得後、攻撃者はバックドア展開のために複数のレジストリRunキーを作成。バックドアであると思われるファイル「api-msvc.dll」はシステム情報(インストールされているアンチウイルス製品、デバイス名、IPアドレスなど)を収集する性能を備えており、集められた情報はその後HTTP POSTリクエストを通じてC2(hxxps://myvisit[.]alteksecurity[.]org/t)へ送られるようになっているという。
また、持続性維持にはCobalt Strike BeaconとAnyDeskも使用された。
・Cobalt Strike Beacon:C2(109.206.243[.]59:443)と通信できるよう設定されたCobalt Strike Beacon(ファイル「sys.exe」)が、ファイル共有サービスのtemp[.]shから直接ダウンロードされた。
・AnyDesk:AnyDeskは正当なリモートアクセスツールだが、悪意あるアクターにも度々利用される。今回のBlackByteの攻撃でも持続性維持とネットワーク内でのラテラルムーブメントのためにAnyDeskが利用されていた。
③偵察
ネットワークのスキャンを行うツールNetScanを用いたネットワーク列挙が実施され、また偵察のためにAdFind(Active Directory環境の情報を収集するためのオープンソースツール)も実行された。
④認証情報へのアクセス
マイクロソフトの考えでは、攻撃者は特権アカウントの認証情報へアクセスするために、おそらく認証情報窃取ツール「Mimikatzwas」を使用したとみられるという。
⑤ラテラルムーブメント
ドメイン管理者の認証情報を入手した攻撃者は、これと併せてRDPおよびPowerShell Remoting(PowerShellのリモート処理機能)を使用し、被害者環境内の他のサーバー(ドメインコントローラー含む)へとアクセスした。
⑥データ窃取・抽出
「ExByte」と呼ばれるツールにより、ネットワークからファイルが盗み出された。ExByteはBlackByteランサムウェアの攻撃でよくファイル収集・抽出のためによく使用されるGo言語ベースのツール。今回マイクロソフトが観測したバージョンのExByteは、被害企業に属するデバイス名をハードコードしたものを含んでいたことから、この企業に合わせて特別に細工されたバージョンだったとみられるという。
⑦データ暗号化
BlackByte 2.0ランサムウェアバイナリ(ファイル「wEFT.exe」、「schillerized.exe」)が展開され、被害者環境内のデバイスが暗号化された。また暗号化のほか、BlackByte 2.0には、アンチウイルスのバイパス、Process Hollowing(プロセスハロウイング)、Windows Firewallルールの変更・無効化、ボリューム シャドウ コピーの変更、レジストリキー/値の変更といった機能が備わっているという。
推奨される対策
マイクロソフトは、BlackByteランサムウェアの攻撃から自組織を守るために以下のような対策を実施することを推奨している。
・適切なパッチ管理プロセスの導入と、インターネット接続されたデバイスへの優先的なパッチ適用。
・EDRソリューションの導入。
・クラウドベースの保護の有効化による、アンチウイルスが常時アップデートされる状態の確保。
・Microsoft Defender Antivirusなどが無効化されるのを防ぐための、改竄防止機能の有効化。
・マイクロソフトのブログ記事内IoCセクションに記載されているIPからの受信トラフィックのブロック。
・TOR 出口ノードからの受信トラフィックのブロック。
・許可されていないパブリック VPN サービスからの受信アクセスのブロック。
・管理者権限の制限。
Cobalt Strike、AnyDesk、AdFindはBlackCatランサムウェアの攻撃でも使われる
今回名前の挙がったツールのうち、Cobalt Strike、AnyDesk、AdFindはBlackCatランサムウェアの攻撃でも使用されていたことが報告されていることから、これらが攻撃者にとって非常に有用なツールであることが伺える。対策時にはこういった、さまざまなアクターが共通して用いるツールや手法などの点にも留意すべきかもしれない。
参考:BlackCatランサムウェアの新たな侵入ベクター:WinSCPをルアーに使ったマルバタイジングでCobalt Strikeを展開
(情報源:マイクロソフト “The five-day job: A BlackByte ransomware intrusion case study”)