2021/10/14

ランサムウェアCONTIについてのアラート / Alert (AA21-265A):Conti Ransomware(転載)

 

Alert (AA21-265A)

要約

注:このアラートは、MITRE Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK®) framework, version 9 を使用しています。参照されているすべての脅威行為者の戦術と技術については、ATT&CK for Enterpriseを参照してください。

Cybersecurity and Infrastructure Security Agency(CISA)とFederal Bureau of Investigation(FBI)は、米国および国際的な組織を対象とした400件以上の攻撃において、ランサムウェア「Conti」の使用が増加していることを確認しました。(FBI Flash: Conti Ransomware Attacks Impact Healthcare and First Responder Networksを参照)。典型的なContiランサムウェアの攻撃では、悪意のあるサイバーアクターがファイルを盗み、サーバーやワークステーションを暗号化して、身代金の支払いを要求します。

Contiランサムウェアからシステムを保護するために、CISA、FBI、NSAは、本アドバイザリに記載されている緩和策を実施することを推奨します。この緩和策には、多要素認証(MFA)の義務付け、ネットワークセグメンテーションの実施、オペレーティングシステムとソフトウェアの最新化などが含まれます。

技術詳細

Contiは、RaaS(ransomware-as-a-service)モデルのランサムウェアの亜種と考えられていますが、その構造には、一般的なアフィリエイトモデルとは異なるバリエーションがあります。Contiの開発者は、アフィリエイトのサイバーアクターが使用する収益の一定割合ではなく、ランサムウェアのデプロイ担当者に賃金を支払い、攻撃が成功した場合には収益の一部を受け取っていると考えられます。

コンティのアクターは、多くの場合、ネットワークへの最初のアクセス[TA0001]を通じて得ることができます。

  • 悪意のある添付ファイル[T1566.001]や悪意のあるリンク[T1566.002]を含むカスタマイズされた電子メールを使用したスピアフィッシングキャンペーン。

    • 悪意のあるWordの添付ファイルには、TrickBotやIcedID、Cobalt Strikeなどの他のマルウェアをダウンロードしたり、ドロップしたりするためのスクリプトが埋め込まれていることが多く、最終的にはランサムウェア「Conti」を展開することを目的とした、横方向への移動や攻撃ライフサイクルの後半の段階で使用されます。

  • リモートデスクトッププロトコル(RDP)の認証情報の盗難または脆弱性[T1078]
  • 電話(ソーシャルエンジニアリング)
  • 検索エンジン最適化で宣伝された偽物のソフトウェア。
  • その他のマルウェア配布ネットワーク(ZLoaderなど)、等
  • 外部資産に共通する脆弱性

実行段階[TA0002]では、ウイルス対策エンジンが作動するリスクを減らすために、より攻撃的なペイロードを使用する前にgetuidペイロードを実行します。CISAとFBIは、Contiのアクターが侵入テストツールであるRouter Scanを使用して、ウェブ・インターフェースを備えたルータ、カメラ、ネットワーク接続ストレージ・デバイスを悪意を持ってスキャンし、ブルートフォース攻撃[T1110]を行っているのを確認しています。さらに、アクターはKerberos攻撃[T1558.003]を使用してAdminハッシュを取得し、ブルートフォース攻撃を行おうとしています。

Contiのアクターは、被害者のネットワーク上で永続性を維持するために、正規のリモート・モニタリング・管理ソフトウェアやリモート・デスクトップ・ソフトウェアをバックドアとして悪用することが知られています[TA0003]。アクターは、被害者のネットワーク上ですでに利用可能なツールを使用し、必要に応じてWindows SysinternalsやMimikatzなどのツールを追加して、ユーザーのハッシュや平文の認証情報を取得します。これにより、アクターはドメイン内で特権を拡大したり[TA0004]、その他のポストエクスプロイトやラテラル・ムーブメント[TA0008]のタスクを実行することができます。いくつかのケースでは、行為者は侵入後のタスクを実行するためにTrickBotマルウェアを使用します。

最近流出した脅威アクターの「プレイブック」によると、Conti社のアクターは、以下のようなパッチが適用されていない資産の脆弱性を利用して、特権を拡大し[TA0004]、被害者のネットワークを横に移動する[TA0008]こともあります。

  • 2017年 Microsoft Windows Server Message Block 1.0サーバの脆弱性。
  • Windows Print spooler サービスにおける「PrintNightmare」の脆弱性(CVE-2021-34527)
  • Microsoft Active Directory Domain Controller システムにおける「Zerologon」の脆弱性(CVE-2020-1472)。

このプレイブックと一緒に流出した資料には、コンティ社のアクターがコマンド&コントロール(C2)サーバーとの通信に使用していた4つのCobalt Strikeサーバーのインターネットプロトコル(IP)アドレスが記載されています。

  • 162.244.80[.]235
  • 85.93.88[.]165
  • 185.141.63[.]120
  • 82.118.21[.]1

CISAとFBIは、Contiのアクターが被害者ごとに異なるCobalt StrikeサーバのIPアドレスを使用しているのを確認しています。

Contiは、オープンソースのコマンドライン・プログラム「Rclone」を使用してデータを流出させます[TA0010]。また、被害者の機密データを盗み出して暗号化した後、暗号化されたデータを公開するために身代金の支払いを要求し[T1486]、身代金が支払われない場合はデータを公開すると被害者を脅すという二重の恐喝手法を採用しています。

MITRE ATT&CKテクニック

Contiランサムウェアは、表1に示したATT&CK技術を使用しています。

Table 1: Conti ATT&CK techniques for enterprise
Initial Access
Technique TitleIDUse
Valid AccountsT1078Conti actors have been observed gaining unauthorized access to victim networks through stolen Remote Desktop Protocol (RDP) credentials. 
Phishing: Spearphishing Attachment T1566.001Conti ransomware can be delivered using TrickBot malware, which is known to use an email with an Excel sheet containing a malicious macro to deploy the malware.
Phishing: Spearphishing Link T1566.002Conti ransomware can be delivered using TrickBot, which has been delivered via malicious links in phishing emails.
Execution
Technique TitleIDUse
Command and Scripting Interpreter: Windows Command Shell T1059.003Conti ransomware can utilize command line options to allow an attacker control over how it scans and encrypts files.
Native Application Programming Interface (API) T1106Conti ransomware has used API calls during execution.
Persistence
Technique TitleIDUse
Valid AccountsT1078Conti actors have been observed gaining unauthorized access to victim networks through stolen RDP credentials. 
External Remote ServicesT1133Adversaries may leverage external-facing remote services to initially access and/or persist within a network. Remote services such as virtual private networks (VPNs), Citrix, and other access mechanisms allow users to connect to internal enterprise network resources from external locations. There are often remote service gateways that manage connections and credential authentication for these services. Services such as Windows Remote Management can also be used externally.
Privilege Escalation
Technique TitleIDUse
Process Injection: Dynamic-link Library InjectionT1055.001Conti ransomware has loaded an encrypted dynamic-link library (DLL) into memory and then executes it. 
Defense Evasion
Technique TitleIDUse
Obfuscated Files or Information T1027Conti ransomware has encrypted DLLs and used obfuscation to hide Windows API calls.
Process Injection: Dynamic-link Library InjectionT1055.001Conti ransomware has loaded an encrypted DLL into memory and then executes it.
Deobfuscate/Decode Files or Information T1140Conti ransomware has decrypted its payload using a hardcoded AES-256 key.
Credential Access
Technique TitleIDUse
Brute ForceT1110Conti actors use legitimate tools to maliciously scan for and brute force routers, cameras, and network-attached storage devices with web interfaces.
Steal or Forge Kerberos Tickets: KerberoastingT1558.003Conti actors use Kerberos attacks to attempt to get the Admin hash.
System Network Configuration Discovery T1016Conti ransomware can retrieve the ARP cache from the local system by using the GetIpNetTable() API call and check to ensure IP addresses it connects to are for local, non-internet systems.
System Network Connections Discovery T1049Conti ransomware can enumerate routine network connections from a compromised host.
Process DiscoveryT1057Conti ransomware can enumerate through all open processes to search for any that have the string sql in their process name.
File and Directory Discovery T1083Conti ransomware can discover files on a local system.
Network Share DiscoveryT1135Conti ransomware can enumerate remote open server message block (SMB) network shares using NetShareEnum().
Lateral Movement
Technique TitleIDUse
Remote Services: SMB/Windows Admin Shares T1021.002Conti ransomware can spread via SMB and encrypts files on different hosts, potentially compromising an entire network.
Taint Shared ContentT1080Conti ransomware can spread itself by infecting other remote machines via network shared drives.
Impact
Technique TitleIDUse
Data Encrypted for ImpactT1486Conti ransomware can use CreateIoCompletionPort()PostQueuedCompletionStatus(), and GetQueuedCompletionPort() to rapidly encrypt files, excluding those with the extensions of .exe.dll, and .lnk. It has used a different AES-256 encryption key per file with a bundled RAS-4096 public encryption key that is unique for each victim. Conti ransomware can use "Windows Restart Manager" to ensure files are unlocked and open for encryption.
Service StopT1489Conti ransomware can stop up to 146 Windows services related to security, backup, database, and email solutions through the use of net stop.
Inhibit System RecoveryT1490Conti ransomware can delete Windows Volume Shadow Copies using vssadmin.

対策

CISA、FBI、NSAは、ランサムウェア「Conti」による攻撃の危険性を低減するために、ネットワーク防御者が以下の緩和策を適用することを推奨しています。

多要素認証を使用する

  • 外部からのネットワークへのリモートアクセスに多要素認証を要求する。

ネットワークセグメンテーションの導入とトラフィックのフィルタリング

  • ランサムウェアの拡散を抑えるために、ネットワークと機能の間に強固なネットワークセグメンテーションを導入・確保する。ネットワーク間の無秩序な通信を排除する非武装地帯を定義する。

  • ネットワークトラフィックをフィルタリングして、既知の悪意のあるIPアドレスとの出入りを禁止する。

  • フィッシングメールがエンドユーザに届かないよう、強力なスパムフィルタを導入する。ユーザーが悪意のあるウェブサイトにアクセスしたり、悪意のある添付ファイルを開いたりしないようにするためのユーザートレーニングプログラムを導入する。実行可能ファイルを含む電子メールをフィルタリングし、エンドユーザに届かないようにする。

  • ユーザーが悪意のあるWebサイトにアクセスするのを防ぐために、URLブロックリストや許可リストを導入する。

脆弱性をスキャンし、ソフトウェアを更新する。

  • アンチウイルス/アンチマルウェアプログラムを設定し、最新のシグネチャを使用してネットワーク資産の定期的なスキャンを行う。

  • ネットワーク資産のソフトウェア、オペレーティング・システム、アプリケーション、ファームウェアを適時にアップグレードする。一元化されたパッチ管理システムの使用を検討する。

不要なアプリケーションを削除し、コントロールを適用する。

  • 日常業務に必要ないと思われるアプリケーションを削除する。コンティの脅威アクターは、リモート監視・管理ソフトウェアやリモートデスクトップソフトウェアアプリケーションなどの正規のアプリケーションを利用して、組織の企業を悪意を持って搾取します。

  • 不正なソフトウェア、特にリモートデスクトップやリモート監視・管理ソフトウェアを調査すること。

  • アプリケーションの許可制を導入し、組織のセキュリティポリシーで認められたプログラムの実行のみをシステムに許可する。ソフトウェア制限ポリシー(SRP)やその他のコントロールを導入し、一般的なインターネットブラウザの一時フォルダや圧縮/解凍プログラムなど、ランサムウェアがよく使用する場所からプログラムが実行されないようにする。

  • 電子メールで送信されるMicrosoft Officeファイルのマクロスクリプトを無効にして実行を防止する。電子メールで送信されたMicrosoft Officeファイルを開く際には、Microsoft Officeスイートのフルアプリケーションではなく、Office Viewerソフトウェアの使用を検討してください。

  • CISAとオーストラリア、カナダ、ニュージーランド、イギリスのサイバーセキュリティ当局が共同で作成したアラート「Publicly Available Tools Seen in Cyber Incidents Worldwide」では、一般に公開されているツールが悪意を持って使用されていないかどうかを確認するためのガイダンスを掲載しています。

エンドポイントおよび検出対応ツールの導入 

  • エンドポイントおよび検知対応ツールは、エンドポイントのセキュリティ状態を高度に可視化し、悪意あるサイバーアクターから効果的に保護することができます。