2017年のトレンドは”ファイルレス”。潜伏期間の減少も確認。CloudStrikeによる調査結果

f:id:nanashi0x:20171211223320p:plain

こんにちは。Ichi(@0x31_nose)です。

本日もセキュリティニュース記事をまとめていきます。

早速参りましょう。

“Malware-free” attacks mount in big breaches, CrowdStrike finds | Ars Technica

CrowdStrikeが100のケースを分析

セキュリティ企業のCrowdStrikeは、2017年に発生したセキュリティインシデントサイバー攻撃の内、100件を分析して"Intrusion Services Casebook"を公開した。

そこで本記事では、そのレポートで報告されていた内容に関してまとめていく。

半数以上が”ファイルレス”のサイバー攻撃

そのレポートによれば、半数以上のサイバー攻撃が”ファイルレス”のサイバー攻撃だったようだ。

攻撃者は、ターゲットの端末に予めインストールされているプログラムと、メモリ上で動作するマルウェア、過去に盗まれた認証情報を組み合わせてターゲット端末に攻撃を仕掛ける。

CrowdStrikeが調査したサイバー攻撃、100ケースの平均持続期間は86日間だったという。

このレポートに関して、CrowdStrikeのセキュリティ研究者Bryan York氏は、Ars Technicaのインタビューに以下のように回答したようだ。

CrowdStrikeが調査したケースのうち、66%はファイルレス、又はマルウェアフリーの攻撃だった。攻撃者の殆どは過去に漏洩して不正入手された認証情報を悪用したか、メモリ上で動くマルウェアを利用している。

今年はWannaCry、Petya、NotPetyaといったランサムウェアによる攻撃や被害が相次いだ一年だったと言えるが、全体の発生件数で言えば”ファイルレス”のサイバー攻撃が相次いだ一年だったといえるだろう。

メモリ上で実行されるマルウェア

攻撃者は、ターゲットのシステムに存在する脆弱性をエクスプロイトするか、Webサーバーの設定ミスを突く。

あるケースでは、攻撃者はWindowsにデフォルト搭載されているPowerShellWindows Management Instrumentation(WMI)等を利用して、ターゲット端末が接続しているネットワークへ潜伏した。

メモリ上で細工されたコードが実行されるので、マルウェアが実行されたログが残らない。

ArsTechnicaとのインタビューの中でYork氏は、

メモリ・オンリーのマルウェアからユーザーを守るのは非常に難しい。

と語っている。

”国・政府機関”レベルのサイバー攻撃も発生

WannaCryやPetyaが代表例となるが、国・政府機関がインテリジェンス目的で作成したマルウェアが個人ハッカー集団よって使用されたケースが相次いだ。

これはサイバー攻撃集団であるShadowBrokersがNSAが使用していたツールをリークさせた事に起因する。

ファイルはDropperとして機能

CrowdStrike社の調査では、とあるファイルレス・マルウェアのケースではマルウェアがDropperとしてのみ機能したサイバー攻撃があったようだ。

そのケースでは、攻撃者がターゲットに標的型メールを送信し、ターゲットがメール内のURLに書かれているリンクをクリックすると悪意のあるコードが含まれたAdobe Flash Playerをダウンロードする。

ターゲットがインストーラを起動すると、裏でバックドアとして攻撃者と通信するPwerShellコマンドが実行される。

CrowdStrike社のレポートによれば、とある企業のPOSシステムをターゲットにPowerShellコードを使ったキャンペーンが展開され、ターゲットが参加するネットワークにつながれた14,000のPOSシステムと160のコントローラにバックドアコードが仕込まれたケースもあったようだ。

漏洩した認証情報の悪用も確認

また、過去に何らかのウェブサービスから漏洩したMicrosoftのOffice 365やOutlook Web Accessの認証情報が悪用されて発生したインシデントも確認されたようだ。

ちょうど先週(2017年12月初め)、CrowdStrikeのクライアントが標的型メールの被害に遭い、たった3回の攻撃者とのやり取りだけで300万ドルを失ってしまったという。

マルウェア検知までの期間に短縮が見られた

CrowdStrikeの分析では、攻撃者がターゲット端末に侵入してから、発見されるまでの期間が従来よりも短くなったようだ。

去年までは、平均100日以上も経ってから発見されていたのに対して、今年は平均86日間で発見されたと報告している。

期間短縮に加えて、企業自身がサイバー攻撃を検知したケース数も増えており、68%の企業が企業自身がサイバー攻撃の検知をしたと報告されている。(昨年と比べて+11%)

以上の、

  • マルウェア検知及び攻撃の発見までの期間が短縮された事
  • 企業自身が検知出来るようになった事

の2つから読み取れるのは、企業の情報セキュリティに対する投資が報われてきた事を判断するファクターといってよい。