Tutorials Brawte nfaq 0 Comments

Mandiant の最大のフォレンジック侵害との戦いの内幕: これは Anthem か?

Table of Contents

Mandiant の最大のフォレンジック侵害との戦いの内幕: これは Anthem か?

サイバー防衛サミットアメリカのサイバーセキュリティ企業マンディアントの研究者4人が、今年最大の侵害事件の一つを起こしたハッカーたちと8か月に及ぶ壮大な戦いを繰り広げた。

4人は被害者や攻撃者の身元を明らかにしていない。しかし、これは今年初めに医療保険会社アンセムやプレメラが受けた攻撃と同レベルであり、実際にそうなる可能性は十分にある。

侵入調査は非常に複雑かつ大規模だったため、ハッカー対策を担うフォレンジックチームは、おそらく同社史上最も困難な調査だったと述べています。これは、同社がアメリカで最も著名なフォレンジック会社の一つであることを考えると、特筆すべき点です。

捜査官のニック・カーとマシュー・ダンウッディは、自分たちが戦ったハッカー集団に対する技術的な賞賛を隠さない。ハッキングと追放の応酬が繰り広げられる中で、捜査チームはハッカーをネットワークから追い出す従来の手法の多くを検証しなければならなかった。

マンディアント社と親会社ファイア・アイ社が秘密にしているこの犯罪グループは、非常に複雑でカスタマイズされたマルウェア、バックドア、そして科学捜査班のツールベルトの多くを無駄にするほどのツールを使っていた。

「これは私がこれまで手がけた中で最も困難な調査でした」とカー氏はエル・レグ紙に語った。「8~9ヶ月かかり、非常に個人的な仕事でした。」

1,000台以上のエンドポイントが侵害を受けました。絶えず変化するマルウェアには、約7,000個のMD5ハッシュが割り当てられました。侵害された各エンドポイントには、ハッキングされたサードパーティのサイトにほぼ限定的にホストされた独自のコマンド&コントロールサーバーが搭載されていました。

「彼らは1日に10台のシステムに感染していました」とダンウッディ氏は述べた。「特に挑発されると、感染が拡大しました。」

捜査官のマシュー・ダンウッディ(左)とニック・カー

そして彼らは挑発された。社内セキュリティスタッフを含む、ごく稀な社内業務を担うチームは、あるエリアを掃討したと思ったら、背後に再びバックドアが現れた。彼らはそれを遮断し、週7日体制で活動するプロのハッカー集団が組織内に張り巡らせていた多くの触手を、また一つ断ち切ったのだ。

敵に盗聴されないように、彼らも通信を最小限に抑える必要がありました。しかし、彼らは敵が自分たちの行動を知っているという前提で妥協を強いられたため、そのように行動したのです。

ダンウッディ氏は、ハッカーの運用セキュリティの遂行能力を「驚異的」と評した。彼らのステルス能力は「極めて優れていた」。彼らのバックドアは「これまで見た中で最もクールなものの一つ」だった。

形を変えるハッカー集団は、Windows Management Instrumentation、カスタムツール、Kererbos、PowerShellを使用していました。認証情報は独自に割り当て可能だったため、盗む必要はありませんでした。

彼らは「奇妙な一回限りのこと」も行っていたが、それは、ハッキング組織の特徴を特定するために科学捜査研究者が必要とする必須のツール、戦術、手順が欠如した砂漠の中のオアシスだった。

「私たちは、未知の活動を行っているシステムの分析に時間を費やし、既知のツール、戦術、手順と一致する攻撃者の活動を行っているシステムの分析は限定的でした」とカー氏は述べた。

通常の侵害の場合、Mandiantは通常12台のコントローラーを配備し、約5日間でネットワーク全体をスキャンします。今回の作業では、40台のコントローラーが全システムのあらゆる部分を同時にスキャンする必要がありました。「安定性に問題がありました」とCarr氏は述べ、「お勧めできる方法ではありません」と続けました。

4人からなるチームが行った作業の多くは、Mandiantのマニュアルでは推奨されていませんでした。彼らのMIRツールセットはデジタルのドアストッパーと化しました。マルウェアは環境から摘出され、FireEyeのFLAREリバースエンジニアリングチームに送られ、詳細な分析が行われました。

大きな成果の一つは、シンプルなアップグレードから生まれました。チームはPowerShellバージョン4にアップグレードし、より強力なログ機能を搭載しました。これが敵の不意を突いたようで、彼らの匿名性は十分に破られ、ログを残すようになりました。

ハッキングを受けた組織は大規模なセキュリティ強化を実施したため、再びハッカーや新たな交戦者が防御によって動きを止められ、あらゆる種類の警報を回避できるようになった。

4人組は今や敵に対して優位に立っている。カー氏によると、彼らはこれまで多くの侵入を受けた顧客環境で謎のハッキングチームと遭遇し、迅速に排除することができたという。

彼は、現時点で少なくとも6つの組織が打撃を受けていると考えている。

「何もない時は…相手の弱点を強みに変えなければなりません」とダンウッディは言った。「攻撃側のペース、展開、視界、高度なテクニック、そして激しさに匹敵するか、それを上回らなければなりません。」®

Darren Pauli 氏は、FireEye のゲストとしてワシントン DC を訪れました。

Tutorials

Smart Recommendations

Discover More