組織のネットワークアクセスは王様です:レポートについて何をすべきか

Insikt Groupは、Recorded Future(R)プラットフォームを使用して、不正アクセスの収益化メカニズムに関するより深い洞察を提供し、セキュリティインテリジェンスを使用して不正アクセスに対抗するための広範なリスク軽減戦略を示しました。このレポートは、不正アクセスとそれに対応するリスク軽減の方法論に関心のある企業にとって興味深いものです。

Executive Summary

歴史的に、 PPI(Pay-Per-Install )サービスは、コモディティボットネット事業者にとって、アンダーグラウンドエコノミー(UE)における主要な収益化ルートでした。ボットネットがPPIサービスに供給され続ける一方で、Recorded Futureのデータによると、アンダーグラウンドフォーラムでの直接販売やオークションによる収益化の機会が拡大していることが明らかになっています。

Insikt Groupは、Recorded Futureの分析に基づき、UEにおける直接的な不正アクセスの需要は増加し続け、日和見攻撃や標的型攻撃の拡大につながると中程度の確信度で評価しています。 Insikt Groupは、UE内のフォーラムでの販売やオークションを観察し、脅威アクターと連絡を取り合った結果、初期の不正アクセス(アンダーグラウンドフォーラムでの販売)は、主にフィッシング、認証情報の再利用、Webシェルの配置、または設定ミスや脆弱なソフトウェアの悪用によって行われると評価しています。

主な判断

ペイ・パー・インストール(PPI)サービスの広告と不正アクセスの直接販売は、2017年に3倍以上に増加し、時間の経過とともに増加し続けています。
同様に、PPIサービスや不正アクセスを宣伝するユニークなモニカの数は、2017年には3倍以上に増加し、前年比で増加しています。
不正アクセスの販売が年々増加していることから判断すると、犯罪者は、個々の販売またはオークションを通じて他の犯罪者に販売することで利益を最大化すると結論付けています。
公共機関や企業の組織は、特定の不正なネットワークアクセスの需要を満たそうとする攻撃者が増えるため、標的型攻撃や日和見攻撃が増加する可能性があります。
情報セキュリティの専門家は、フィッシング、認証情報の再利用、Webシェルの配置、既知のソフトウェアの脆弱性の悪用という、最初の不正アクセスを取得するための4つの主要なメカニズムの防止と検出に焦点を当てる必要があります。

背景

アンダーグラウンドエコノミー(UE)は、犯罪商品やサービスの売買、取引を促進するオンラインアクターとテクノロジーの集合体です。UEは、利益を最大化し、訴追を回避するために、継続的に革新し、成熟してきました。歴史的に、UE の多くは盗まれた支払いカードデータの取得と収益化に重点が置かれていましたが、2007 年に Zeus のような多機能の HTTP ベースのボットネットの出現により、ペイパーインストール (PPI) として知られる人気の家内産業が誕生しました。

インストール課金制 (PPI) エコシステム。
PPI は、購入者が被害者のコンピューターへの不正アクセスに対して料金を支払って、マルウェアペイロードやその他の望ましくない可能性のあるアプリケーション (PUA) をインストールする自動化されたプラットフォームに依存しています。各侵害、ハッキングコンピュータに請求される価格は、通常、被害者のコンピュータが所在する国の購入者の需要に依存します。 PPIプラットフォーム(アフィリエイトネットワークとも呼ばれます)は、大規模な感染(ボットネットまたはエクスプロイトキット)の収益化のための自然なサードパーティのパイプです。PPI モデルは単純ですが、PPI プラットフォームを使用すると、意図的に不正確なインストール統計が PPI プラットフォーム所有者の利益を増加させるため、ボットネットオペレーターにリスクが生じます。
同様に、PPIプラットフォームは、購入者が大量の侵害にすばやくアクセスし、コンピューターを攻撃し、バンキング型トロイの木馬、ランサムウェア、アドウェア、スパイウェアなどのペイロードをさらにインストールするための便利なメカニズムです。 PPIモデルは、すべての感染/侵害、ハッキングを、政府、企業、住宅などの被害組織に関係なく、一般的な商品として扱います。伝統的に、価格の差別化要因は地理的要因だけです。

地下犯罪組織でのインストール課金制 (PPI) サービスの広告。(情報源: Recorded Future)
逆に、UE 関係者は、特定の種類のシステムへの不正アクセスが収益化の可能性の増加につながる可能性があることを認識しています。攻撃者はUEフォーラムを通じて不正アクセスを直接販売(またはオークションにかけている)しており、これにはより多くの時間と忍耐が必要になる可能性がありますが、コモディティPPIサービスよりも収益性が高くなります。
収益化の可能性の違いは顕著です。1,000台のデバイスにマルウェアをインストールできる攻撃者は、PPIサービスが感染ごとに0.05ドルから0.20ドルを支払うことを期待できます(感染したホストの地理的な場所によって異なります)。範囲の上限であっても、毎日のPPI収入は200ドル(月額6,000ドル)です。このモデルでは、感染が発生した場所に関係なく、あらゆる感染症を一般的な商品として扱います。
逆に、1 つのシステムまたはネットワーク (多くの場合、有名ブランドの企業または政府機関) へのアクセスを直接販売またはオークションにかけると、収益が最大化されます。たとえば、Fxmsp Group は不正アクセスを多用しており、多くの場合、1 つの組織へのアクセスに対して 20,000 ドルを確保しています。

特定のネットワークアクセスをより高い価格帯で販売する。 (出典:Recorded Future)

脅威分析

PPIと不正アクセス広告の増加

Recorded Futureの過去のUEデータによると、2016年からPPIと不正アクセス広告の両方で前年比で増加しています。以下のグラフは、2019年まで続くと予想される広告の増加傾向を示しています(今年のデータは8月に測定されました)。この指標は、広告コンテンツで測定した場合と、一意の著者名で測定した場合に一貫しています。
アンダーグラウンド・フォーラムの参照と著者に関するデータを収集するために、Insikt Groupは、Recorded Futureプラットフォーム上で「PPI」と「不正アクセス」への言及に関するクエリを構築しました。クエリは、PPIまたはシステムへの不正アクセスの販売に関する共通のエンティティと、複数の言語でのさまざまな販売用語のテキスト一致に基づいて実施されました。誤検知は、既存のクエリを変更することでデータセットから除外されました。たとえば、カード検証値の「アクセス」に関する営業言語は、複数のクエリで一般的な誤検知でした。したがって、クエリは、これらの参照を意図的に除外するように変更されました。

不正アクセスクエリの例。 (出典:Recorded Future)

PPI 英語クエリの例。(情報源: Recorded Future)
さらに、PPI または不正アクセスのいずれかに言及するアクターの数をカウントし、誤検知をできるだけ制限するために、 Insikt Group 複数のフォーラムにわたる作成者モニカーの自動集計を実施しました。 5文字以上の文字(一般的な辞書の単語ではない)を含む類似の著者のあだ名と、PPIまたは不正アクセスについてのみ複数のフォーラムに投稿したものが集計されました。集計されたこれらの名前の一部は、実際には同じアクターではない可能性がありますが、Insikt Group は、重複するアクターの名前とコンテンツに基づいて、これらの名前の大部分が真陽性であると中程度の信頼度で評価しました。さらに、誤った重複はカウントされなくなったため、データセットは、PPI と不正アクセスの販売投稿の実際の数の潜在的な下限を表します。

地下犯罪のフォーラムで不正アクセスまたはPPIについて言及している著者の年ごとの数。
このデータに基づいて、2014年1月から2019年9月にかけて、アンダーグラウンドフォーラムで不正アクセスとPPIについて言及している著者の数を抽出することができました。PPIと不正アクセスを宣伝するユニークなモニカは大幅に増加しており、2019年1月から9月までの著者数は、同様の9か月間の過去数年間の著者数と同等です。

犯罪アンダーグラウンドフォーラムでの不正アクセスまたはPPIを参照している年ごとの投稿の数。

同様に、Insikt Groupは、2014年1月から2019年9月にかけて、不正アクセスとPPIに関する投稿をアンダーグラウンドフォーラムに集めました。また、PPI広告や不正アクセス広告の数が着実に増加していることもデータから明らかです。

重要なグローバルアクセス

Insikt Groupは、フォーラムで宣伝された不正アクセスのRecorded Futureコレクションに基づいて、ターゲティングが主に公共部門や民間部門の企業に焦点を当てており、世界中の組織に影響を与えていると中程度の信頼性で評価しています。 2016年12月にロシア語を話す犯罪者が米国選挙支援委員会(EAC) に不正アクセスを売ったというInsiktの前回の報道以来、Insikt Groupは犯罪者の地下での不正アクセスの販売を定期的に監視してきました。以下は、広告されているアクセスのレベルと組織に悪影響を与える可能性に基づいて、注目すべき販売またはオークションの選択です。ほとんどのアクターが宣伝しているアクセスは、通常、曖昧で、被害者組織の特定の名前は含まれていません。

以下のセールスポストの分析、脅威アクターの関与、および過去4年間にInsikt Groupが実施した不正アクセスオークションの分析により、Insikt Groupは、次の4つの攻撃ベクトルが、重要度の高い順不同で、最初の不正アクセスを達成するために使用された主要な方法であることを中程度の信頼性で評価できます。

フィッシング
資格情報の再利用
ウェブシェルの配置
既知のソフトウェア脆弱性の悪用

日付

俳優

アクセス

2016年12月号

ラスプーチン

米国選挙支援委員会(EAC)

2017年10月

A_violent_god

200万人の読者を持つ米国のニュースサイト

2017年12月号

キンドアンカインド

540の米国メディア企業のWebシェルとEUメディアリソースの15の管理パネル($ 22K)

2018年5月号

マクロード

モスクワ警察の交通データベース($ 25K)

2018年12月号

ジフス

300イタリアのeコマースWebシェル($ 3K)

2019年1月

タングステン

アジアのeコマースウェブサイト($ 10K)

2019年3月号

asadi64さん

米国の大手石油会社へのリモートデスクトッププロトコル (RDP) アクセス

2019年3月号

ビッグペティア (fxmsp)

アジアの自動車メーカー

2019年4月号

ベストル

VNCは、米国の9つのホテルにある22台のコンピューターにアクセスできます

2019年4月号

アーアッコッカ

イタリアの銀行の内部ローンコンピューター($ 2K)

2019年5月

マルコポロ

武器工場へのウェブシェルアクセス

2019年6月号

トルニガー

イタリアの自治体への管理者権限を持つ RDP アクセス

2019年6月号

スティルス

ニュージーランドの投資会社の顧客関係管理(CRM)システム($ 10K)

2019年6月号

AD0

国際的なオンライン小売業者の企業ネットワーク($ 25K)

2019年6月号

アーアッコッカ

不特定の電力会社のサーバーへのアクセスを販売(600ドル)

2019年8月

シェリフ

オーストラリアの大手商業建設会社のデータベースへの管理者アクセス($ 12K)

2019年8月

B.募集

ルイジアナ州の 20 の診療所にある 19,000 台の PC を含むネットワークのドメイン管理者権限

2019年8月

bc.monster

米国エネルギー企業のネットワーク

2019年8月

ジョンシャーロック、インフォシェル

多国籍ヘルスケア企業のネットワークへのSSH(セキュアシェル)アクセス

2019年8月

-TMT-

ブラジルのハイパーマーケットチェーンのネットワークへの管理アクセス

2019年8月

ヴィンセントベガ

中国の大手金融会社(5BTC)

2019年9月

カタバシャ

ニュージーランドの銃器と弾薬アクセサリーの電子商取引サイト

2019年9月

アントニー・モリコン、(Fxmsp)

ドイツの装飾照明会社の企業ネットワーク(10のドメインコントローラーを含む)

2019年9月

ユベントス1

アジアの航空会社の管理Webパネル

2019年9月

ガブリー1

米国の石油およびガス探査会社のネットワーク(1,000台以上のコンピューターを含む)($ 24K)

2019年9月

0x4C37

トラフィックの多いウイルス対策Webサイト($ 8K)

不正アクセスの選定、オークション、販売 (2016–2019)

プロファイリング 2 不正アクセス販売者: VincentVega と fxmsp

次の 2 つのケーススタディは、ターゲット型アクセスと日和見型アクセスの両方の収益化の可能性を示しています。

ヴィンセントベガ

VincentVegaは、ロシア語で有名な犯罪アンダーグラウンドフォーラムのメンバーであり、日和見的なアクセスを利用するアクターの典型的な例です。この攻撃者は、インターネットに接続されたシステムに対して標的を絞らない方法でRDPをブルートフォース攻撃することで、中国最大の投資銀行およびセキュリティ企業の1つ(2015年の収益は376億人民元)にアクセスしました。

VincentVegaは、中国企業の内部ネットワークへのアクセスを広告で公開しています。 (出典:Recorded Future)

2019年8月、VincentVegaは、5ビットコインで中国の大企業のローカルネットワークへの外部リモートアクセスを宣伝しました。この投稿では、このアクターは、RDPアクセス権を持つIPをブルートフォース攻撃してネットワークにアクセスしたと主張しています。彼らは、ローカルネットワークには20,000の動作するローカルIPが含まれており、そのうち約865がRDPアクセス権を持ち、被害者ホストのうち500が管理者アクセス権も持っていると主張しました。彼らの投稿では、アクセスが価値があることは理解しつつも、それを収益化する方法を知らなかったため、アクセスを販売していると主張しました。

これらの未知数が認められているため、Insikt Groupは、VincentVegaがパスワードで保護されていないRDPサービスを持つIPを標的にしない試みで、同社に偶然出くわしたと高い自信を持って評価しています。しかし、企業のネットワーク自体に入ると、攻撃者は、ネットワークの規模と機能に基づいて、ネットワーク自体へのアクセスを収益化および販売する方法が複数あることに気付きました。

fxmspグループ

一方、Fxmsp Groupは、組織が大規模な不正侵入を行い、多額の利益を上げる方法を明確に示しています。このグループは、ロシア語と英語を話すサイバー犯罪集団で、金融、電子商取引、産業組織、政府機関など、世界中のさまざまな被害者を標的にして不正なネットワークアクセスを販売しています。 Fxmsp Groupは、他のサイバー犯罪者に転売する目的で、ネットワークを大量に侵害することがよくあります。 2017年以降、Fxmsp Groupは世界中の企業や政府のネットワークを侵害し、その後、数百ドルから10万ドル以上の金額で不正アクセスを販売してきました。

Fxmsp GroupのNikolayによる投稿は、さまざまな組織に属するネットワークへのアクセスを販売しています。

Fxmsp Groupは、チームメンバー間の忍耐力と調整力を発揮します。「Fxmsp」というあだ名を使用している俳優はネットワークを侵害した罪で起訴され、「Lampeduza」、「Antony Moricone」、「Nikolay」、「BigPetya」などのあだ名を使用している俳優は、不正アクセスの収益化を最大化する責任があります。

私たちは、Fxmsp Groupが、より多くのバイヤーのプールに対して販売スレッドまたはオークションを準公開する前に、プライベートな連絡先のネットワークを通じて不正アクセスを収益化しようとしていると中程度の信頼性で評価しています。これは、Fxmsp Groupが開始するフォーラムオークションは、Ffxmsp Groupがいつでも収益化しようとしている利用可能な不正アクセスのほんの一部にすぎないことを示唆しています。

今後の展望

私たちは、不正アクセスや被害者価値と認識される直接販売の量は、当面の間、増加し続けると確信しています。マルウェアに特化したPPIアフィリエイトサービスは、UE内で犯罪的な価値を提供し続けますが、マルウェア感染は、日和見的で標的を絞った不正アクセスよりもPPIシステムでの収益性が低くなります。

情報セキュリティの専門家は、フィッシング、認証情報の再利用、Webシェルの配置、脆弱性の悪用という4つの主要な初期不正アクセスの確立方法に関する内部のプロアクティブな検出の取り組みと併せて、予防的なベストプラクティスの実装とレビューに焦点を当てる必要があります。

リスクの軽減

セキュリティインテリジェンスは、脅威(脅威の)ハンティング手法による最初の不正アクセスを迅速に検出するために必要です。これらの方法論は、運用実務担当者が攻撃者、犯罪組織手口、戦術、および内部ネットワーク環境に関する知識を増やすにつれて、時間の経過とともに成長するはずです。新しい方法論は、自動化/オーケストレーション (SOAR) ワークフローを介した継続的な (脅威の)ハンティング実装につながるはずです。このセクションでは、Insikt Group が発見した 4 つの主要な初期アクセス手法に関する緩和策の推奨事項を提供します。

フィッシング

たとえば、電子メールセキュリティゲートウェイによって隔離された電子メールの内容と添付ファイルを確認することで、以前に失敗した攻撃者、犯罪組織の手口、戦術に関する基本的な認識が得られると同時に、将来的に派生技術の修正が成功する可能性のある貴重な例も示されます。電子メールセキュリティアプライアンスは、特定のインバウンドファイル添付ファイル¹ (たとえば、「hta」 — HTML 実行可能ファイル)をブロックするように設定できますが、サードパーティの Web サイトリンクを含む悪意のある電子メールをブロックできません。
したがって、この場合、フィッシング(脅威の)ハンティング手法の焦点は、多作なクラウドプロバイダードメイン(DocuSign、Googleメールサービス、Microsoft Office365、Amazonストレージなど)へのドメインの字句的近接性に基づいて、フィッシングに使用される可能性のある新しいドメイン(電子メール本文コンテンツ)を特定することになります。セキュリティインテリジェンスは、電子メールセキュリティゲートウェイのコンテンツ検査を改善するために使用する新しいドメイン候補を提供します。

新しいフィッシングドメインを特定するための記録された Future クエリ。

資格情報の再利用

資産管理に警戒し、多要素認証なしでアプリケーションを実行しているインターネットに接続するシステムを削除することは、認証情報の再利用、RDP の場合はブルートフォース攻撃を防ぐための優れた衛生方法です。 Security intelligence reduce risk of attackers, crimeorganization certification情報 reuse by surfacing 侵害、ハッキング認証情報 primarily from database 侵害、ハッキング. 対応する SOAR ワークフローでは、新しく検出された認証情報セットに一致するユーザーを Active Directory で検索する必要があります。認証情報セットで有効なユーザーが見つかるたびに、パスワードのリセットが開始されます。

Web シェルの配置

攻撃者、犯罪組織は通常、ソフトウェアの脆弱性または構成ミスを介してWeb サーバーにWebシェルを配置します。 Web シェルは多くの場合、Web アプリケーションファイアウォール (WAF) を回避し、1 つ以上の Web サーバーで長期的な永続化を可能にします。攻撃者、犯罪組織 Web シェルを使用して情報リソースを悪用したり、追加のシステムに不正にアクセスしたりします。セキュリティインテリジェンスは、新しい Web シェルの継続的な識別と関連する機能評価を必要とする Web シェル (脅威の)ハンティングの重要なコンポーネントです。たとえば、古い Web シェルは、ネットワークテレメトリで簡単に識別できる基本認証、フォーム認証、またはダイジェスト HTTP 認証を使用します (Zeek は貴重なオープン情報源ネットワークプロトコルの解析と分析のためのツール)。
さらに、 YARA ルールは、ファイル条件 (通常は文字列) に基づいて特定の Web シェルを識別するための別のオープン情報源リソースです。

新しいWebシェルの表面化。 (出典:Recorded Future)

既知のソフトウェア脆弱性の悪用

エンタープライズ環境での継続的なパッチ適用の優先順位付けと実行は困難ですが、セキュリティインテリジェンスは、 NVD以前の新しい脆弱性を特定し、特に「野放し」の証拠で既存の脆弱性を強化するのに役立ちます。

Recorded Future Intelligence Cards™によって提供される追加の脆弱性コンテキスト。 (出典:Recorded Future)

脚注

¹https://www.cyber.gov.au/publications/malicious-email-mitigation-strategies