「Sunburst」/ SolarWindsハッキングに関して現段階で明らかになっている事実

米国時間2020年12月21日に掲載されたフォーティネットセキュリティブログの抄訳です。

はじめに

最近の報道で、国家が支援する攻撃者が複数の米国政府機関を含む多数の組織に侵入したことがわかりました。これらの侵入には、Sunburstと呼ばれるバックドアソフトウェアが使用され、SolarWindsのIT監視 / 管理ソフトウェアアップデートシステムであるOrionが攻撃されました。SolarWindsのデータによると、Orionのソフトウェアを利用する組織は33,000にのぼり、18,000の組織がこの不正アップデートの直接的な影響を受けました。詳細が明らかになるにつれて、これまでのサイバー攻撃の中でも最も回避能力が高く、重大なものであることがわかってきました。

FortiGuard Labsの調査チームは先週、お客様の環境が確実に保護されることを保証するため、この攻撃の詳細な調査に集中的に取り組み、そこで明らかになった事実を脅威シグナルブログで公開しました。このブログ記事では、これまでに明らかになった事実と現段階でフォーティネットの製品によって提供される保護、さらには、お客様の環境を保護するためにFortiEDRプラットフォームを活用して我々がこれまでに実行してきたプロアクティブなステップについて解説します。

Sunburst攻撃の概要

この攻撃を理解するため、Sunburstマルウェアとこのマルウェアによる攻撃で最初の侵入後に実行されるステップの概要を説明します。

サプライチェーンへの侵入が成功すると、Sunburstのバックドア（SolarWinds.Orion.Core.BusinessLayer.dllという名前のファイル）がサプライチェーンのソフトウェア配布システムに挿入され、ベンダーからのアップデートパッケージの一部としてインストールされます。このバックドアは、ダウンロードから12～14日間の休眠期間を経た後に行動を開始します。休眠期間が終了すると、このバックドアは、実行中の環境が攻撃の標的とする価値のある環境なのか、あるいは、サンドボックスなどのマルウェア分析環境なのかを確認する手順を実行します。この攻撃者は、自らの目的を達成しつつ、業界のレーダーを逃れながら攻撃を進めたいと考えていたようです。

これらのステップで実行されるタスクを簡単にまとめると、次のようになります。

• マシンドメイン名の検証：侵入したマシンのドメイン名をチェックして、以下の点を確認します。
  
  • 特定の文字列が含まれていないこと
  • SolarWindsドメインではないこと
  • 文字列「test」が含まれていないこと
    
    
• WireSharkなどの分析ツールが実行中でないことを確認します。
• 攻撃者にとって不都合なセキュリティソフトウェアが実行中でないことも確認します。

すべての検証が完了すると、攻撃者に対するコールホームを実行し、攻撃した組織を特定するための情報を送信します。ただし、このマルウェアによって侵害された組織のほとんどは攻撃者の想定する標的でなかったため、この段階で攻撃が終了した場合が多かったようです。

このC2ドメイン名の先頭に、マシンのデータに基づいて生成される接頭辞が付加されています。ドメインの例を図1に示します。

攻撃者は次のステップで、TEARDROPと呼ばれるメモリのみのペイロードを利用して、CobaltStrike BEACONなどのいくつかのペイロードを送り込みます。CobaltStrikeは、「攻撃シミュレーションソフトウェア」と称して市販されている、あらゆる機能を備えた侵入テストツールキットですが、多くの攻撃者もこのツールを利用しています。FortiEDRはこれまでに、今回のものを含め、CobaltStrikeを悪用する多くの攻撃をリアルタイムでプロアクティブに検知し、ブロックしてきました。

Sunburst攻撃のプロアクティブな減災

FortiGuard Labsを始めとする複数のチームが、IOCが公開されたり、それ以外の調査によって事実が明らかになったりした段階で、「Sunburst」に関するすべてのデータの分析を直ちに開始し、プロアクティブな戦略を策定することで、攻撃を減災し、攻撃の影響を理解しようとする組織を支援してきました。

前述の通り、ほとんどの組織が最終的にこの攻撃の標的にならなかったため、不正DLLファイルの存在が必ずしも実際の被害を示すわけではありません。

お客様の環境を保護するためにフォーティネットが実施しているステップ

1. すべての公開されたIOCとそれに関連するIOCをフォーティネットのクラウドインテリジェンスとシグネチャデータベースに直ちに追加することで、FortiGate、FortiSIEM、FortiSandbox、FortiEDR、FortiAnalyzer、FortiClientを含むフォーティネットのセキュリティソリューションによって不正ファイルとして確実に検知されるようにしています。新しいIOCが発見された場合、フォーティネットのデータベースに直ちに追加されます。

2. 攻撃を再現し、より多くの実用的なインテリジェンスと指標を取得するため、FortiGuard Labsのリサーチチームとインテリジェンスチームは、最初に公開されたデータに基づき、さらに多くの指標を見つける作業を開始しました。そして、その過程でTEARDROPの新しい亜種を発見し、分析を実施しました。図2に示すように、このTEARDROP亜種によって偽のjpegヘッダとメインの解凍ルーチンが読み込まれることがわかりました。

3. 我々はさらに、FortiEDRクラウドデータレイクのプロアクティブなスキャンを実施することで、お客様が侵害された可能性を示す指標を探し、侵害された可能性があるお客様には、その旨を連絡させていただきました。

4. フォーティネットのMDRとFortiEDRのリサーチチームは、このサプライチェーン攻撃の影響を受けた組織が侵害の範囲を把握する際に役立つツールも作成し、希望されるお客様に提供させていただいています。前述のとおり、ほとんどの組織が最終的には標的になりませんでしたが、侵害の範囲を理解することは、追跡調査のステップを決定する上で非常に重要です。

TEARDROPとCobaltStrikeの検知

特定のIOCに基づく検知とフォーティネットのリサーチチームによる分析の結果、FortiEDRプラットフォームによってCobaltStrikeおよびTEARDROPからのデバイスの保護が可能であり、このプラットフォームのメモリコード追跡テクノロジーを使用することで、いかなる設定や脅威についての事前知識も必要とすることなく、デバイスを保護できることが確認されました。数え切れないほど多くの実例によって、FortiEDRがインシデントの進行中にリアルタイムでCobaltStrikeをブロックできることが証明されています。これらの検知の一例を図3に示します。

まとめと推奨事項

1. エンドポイント保護：フォーティネットをご利用いただいている、SolarWinds Orion 2019.4～2020.2.1 HF1のお客様

a. FortiClient、FortiEDR、およびFortiGateはすべて、これらの不正ファイルの実行を検知してブロックします。

b. FortiEDRのすべてのサポート対象バージョンは、この攻撃によって武器化され、実行されたすべての処理を検知し、保護するように設計されています。特別な設定は不要で、プラットフォームの変更やアップグレードも必要ありません。

i. 実行後ポリシーがブロッキングモードに設定されていることを確認してください。この設定によって、このサプライチェーン攻撃のように信頼されたソース経由でシステムがすでに侵害されてしまった場合も、悪意のある挙動をブロックできます。

ii. コンテキストに基づく非定型ポリシーを適用することで、悪意のある、もしくは非確定の活動があった場合のプロアクティブアクションを可能にします。具体的には、関連するDLLファイルを削除するなどのアクションがこれに該当します。

c. MDRサービスのサブスクリプションをご利用いただいているお客様や、この攻撃の発生時に保護モードに設定されていなかったことがわかった場合は、MDRチームと協力して脅威のプロアクティブな追跡を可能にする作業を進めてください。

2. エンドポイント保護：フォーティネットをご利用いただいていない、SolarWinds Orion 2019.4～2020.2.1 HF1のお客様

a. フォレンジックを実行して、公開されているIOC（SHA-1ハッシュ）に基づいて既知の不正ファイルが存在しないか検証します。

d130bd75645c2433f88ac03e73395fba172ef676
76640508b1e7759e548771a5359eaed353bf1eec
2f1a5a7411d015d01aaee4535835400191645023
395da6d4f3c890295f7584132ea73d759bd9d094
1acf3108bf1e376c8848fbb25dc87424f2c2a39c
e257236206e99f5a5c62035c9c59c57206728b28
6fdd82b7ca1c1f0ec67c05b36d14c9517065353b
bcb5a4dcbc60d26a5f619518f2cfc1b4bb4e4387
16505d0b929d80ad1680f993c02954cfd3772207
d8938528d68aabe1e31df485eb3f75c8a925b5d9
c8b7f28230ea8fbf441c64fdd3feeba88607069e
2841391dfbffa02341333dd34f5298071730366a
2546b0e82aecfe987c318c7ad1d00f9fa11cd305
e2152737bed988c0939c900037890d1244d9a30e 

b. メモリに対する脅威の追跡を実行し、TEARDROPまたはCOBALT STRIKEが存在しないか確認します。関連するYARAシグネチャについては、こちらを参照してください。

c. 自らの組織における初期感染のタイムラインに基づき、ドロップされた不審ファイルを追跡します。IOCの一例として、以下の不正DLLファイルが存在する可能性があります。

c:\WindowsSysWOW64\netsetupsvc.dllファイル

d. これらのいずれかのIOCが検知された場合、影響を受けたすべてのマシンとそれらのマシンのすべてのユーザーアカウントが侵害されたと考え、すべてのアカウントの認証情報を無効にし、さらなる調査のためにデバイスを分離してください。

ベストプラクティス

今回の攻撃によって我々は、ソフトウェアやシステムのメンテナンスにあたってのベストプラクティスの必要性を再認識することになりました。そこで、すべての組織が採用すべき3つの重要なセキュリティのベストプラクティスを以下に紹介します。

• すべての新しいアップデートとパッチをサンドボックスやそれに類似する分析ツールで実行してから導入することで、マルウェアやサプライチェーン攻撃を特定できるようにします。FortiSandboxをご利用いただいている環境であれば、今回の攻撃においてもそのようなDLLファイルが不正として特定され、ネットワークに影響する前に削除されていたはずです。
• 高度EDR（Endpoint Detection and Response）テクノロジーは、あらゆるセキュリティ戦略に不可欠のコンポーネントとなりました。FortiEDRがエンドポイントやサーバーに導入されている環境であれば、CobaltStrikeやTEARDROPなどのマルウェアが実行されることはなかったはずです。
• ネットワークセグメンテーションは、今日の高度なネットワークの保護に不可欠なもう一つの重要なセキュリティ戦略です。セグメンテーションファイアウォールがFortiGateプラットフォームなどのゼロトラストネットワーク戦略の一部として導入されている環境であれば、マルウェアのネットワークでの拡散を防止できていたはずです。

その他の役に立つ情報

今回のサイバー攻撃の標的になる可能性を把握するための支援を必要とされる組織や、同様の攻撃の予防や検知にFortiEDRソリューションの利用を検討されている企業は、FortiGuard Incident ResponseサービスのWebページからお問い合わせください（期間限定で、無料でご利用いただけます）。

FortiGuard Labsの脅威リサーチ、およびFortiGuardセキュリティサブスクリプション / サービスのポートフォリオの詳細については、こちらをご覧ください。FortiGuard Labs Weekly Threat Brief（英文）の購読は、こちらからお申込みいただけます。 

フォーティネットの無償サイバーセキュリティトレーニングについて、またフォーティネットのネットワーク セキュリティ エキスパート プログラム、ネットワーク セキュリティ アカデミー、およびFortiVetプログラムについて、詳細をご覧ください。