“LockBit: A Global Wakeup Call for Least Privilege“ June 28, 2023 by James Maude より
LockBitを使用する脅威の行為者らによる容赦ないランサムウェア攻撃の波に対応して、米国サイバーセキュリティ・社会基盤安全保障庁(CISA) からサイバー・セキュリティー勧告 (CSA) が発行されました。 これは、CISA、連邦捜査局 (FBI)、多国間情報共有分析センター (MS-ISAC) および国際パートナー間の共同の取り組みに基づくものです。
- オーストラリア サイバーセキュリティセンター (ACSC)
- カナダ サイバーセキュリティセンター (CCCS)
- 英国 国家サイバーセキュリティセンター (NCSC-UK)
- フランス 国家情報システムセキュリティ庁(ANSSI)
- ドイツ 連邦情報セキュリティ局(BSI)
- ニュージーランド コンピュータ緊急対応チーム (CERT NZ) と国立サイバーセキュリティセンター (NCSC NZ)
この、まさに国際的な勧告の理由は、LockBitとその協力者らが世界中の大小の組織に影響を与え続けることに成功を収めているためです。過去12か月間のLockBitの著名な被害者には、The Royal Mail (イギリス)、Hospital for Sick Children (カナダ)、Manated Care of North America (アメリカ)、Center Hospital Sud Francilien (フランス) が含まれます。米国だけでも2020 年以降、LockBitの被害者は 9,000 万ドル以上の身代金を支払ったと言われています。
LockBitとは何者か?
LockBitは急速に最も成功したサイバー犯罪活動の1つとなり、2022年にはすべてのランサムウェア活動の44%を占めたとされています。LockBitの最初のバージョンが2019年末に発見されたばかりであることを考えると急速に悪名が高まったと言えます。彼らが国際治安機関の注目を集めたことは誰も驚かないでしょう。LockBit のランサムウェア・アズ・ア・サービス (RaaS)の操業者としての成功は、その革新的な技術で推進されてきました。このグループは、データを盗むだけでなく、被害者のシステム上で暗号化する「二重恐喝」手法をよく利用します。これにより身代金が支払われない場合、Lockbitは自らのデータ漏洩サイトにデータを公開すると脅すことが可能になります。
技術面では、LockBit は、ランサムウェアやインフラの欠陥を発見したり、業務の効率化を支援することができる「倫理的および非倫理的なハッカー」に1,000ドルから100万ドルを支払い、運営をさらに強化するバグ報奨金プログラムの立ち上げに成功しました。
LockBitの攻撃はなぜそれほど手強いのか?
LockBitのようなRansomware as a Serviceの操業者らは、提供するランサムウェア ツールを使用するためにデポジットを支払い、身代金の支払いを共有することに同意する犯罪関連組織のネットワークを利用しています。伝えられるところによると、LockBit は一部の操業者が身代金の支払いの75%を取り分とすることに合意しており、これが彼らと協業する大きなインセンティブになっています。CISAが発した勧告で明らかになった、このモデルの課題の1つは、各加盟者が独自の優先戦術、技術、および手順 (TTP) を持っていることです。 これは、攻撃の最終段階では個々の使用者グループがLockBitランサムウェアを使用しているものの、そこに至るまでに使用した手法は使用者グループによって大きく異なることを意味します。このため、LockBit 攻撃を正確に防ぐ方法について明確なガイダンスを発行することが困難になります。
LockBitの戦術とテクニック
権限とアクセスの制御は、引き続き堅牢な多層防御でのランサムウェア対策戦略の中核になる 2つの要素です。簡単に言うと組織内での攻撃の権限とアクセスが少なくなるほど、攻撃が与えるダメージは少なくなり、攻撃が容易なターゲットに移る可能性が高くなります。 この勧告に記載されている戦術とテクニックを読むと、これらの核となる防御コンポーネントがなぜ非常に効果的であるのかがわかります。
初期アクセス
| 手法 | MITRE ID | LockBit での使われ方 | 主な緩和策 |
|---|---|---|---|
| ドライブバイ侵害 | T1189 | LockBit関係者は、通常のブラウジングの過程でユーザーがウェブサイトを訪れることでシステムへのアクセスを獲得する |
|
| 公開されているアプリケーションの脆弱性の悪用 | T1190 | LockBit関係者側は、Log4Shellなどのインターネットに面したシステムの脆弱性を悪用して、被害者のシステムにアクセスすることがある | システム内の他の部分への悪用されたプロセスの権限を制限するための特権管理 |
| 外部リモートサービス | T1133 | LockBit関係者がRDPを悪用して被害者のネットワークにアクセスする | 安全なリモートアクセスにより、悪用される可能性のあるRDPやVPN アクセスを排除 |
| フィッシング | T1566 | LockBit関係者は、フィッシングやスピアフィッシングを使用して被害者のネットワークにアクセスする |
|
| 有効なアカウント | T1078 | LockBit関係者は、初期アクセスを取得する手段として既存のアカウントの認証情報を詐取し、悪用する |
|
実行
| 手法 | MITRE ID | LockBit での使われ方 | 主な緩和策 |
|---|---|---|---|
| 実行 | TA0002 | LockBit 3.0は実行中にコマンドを起動する |
|
| コマンドおよびスクリプトのインタープリター:Windowsコマンドシェル | T1059.003 | LockBit関係者はバッチスクリプトを使用して悪意のあるコマンドを実行する |
|
| ソフトウェア展開ツール | T1072 | LockBit関係者は、Windows用のコマンドラインパッケージマネージャーであるChocolateyを使用する可能性がある |
|
| システムサービス:サービスの実行 | T1569.002 | LockBit 3.0 は、PsExec を使用してコマンドまたはペイロードを実行する | 攻撃者がシステム サービスを操作したり、リモート システムで PsExec を使用したりすることを防ぐための特権管理 |
永続化
| 手法 | MITRE ID | LockBit での使われ方 | 主な緩和策 |
|---|---|---|---|
| ブートまたはログオン時の自動起動実行 | T1547 | LockBit関係者により、永続化のために自動ログオンが有効になりる |
|
| 有効なアカウント | T1078 | LockBit関係者は、ターゲット ネットワーク上での永続性を維持するために、侵害されたユーザーアカウントを使用する可能性あり |
|
LockBit関係者が初期アクセス、実行、永続化の技術に焦点を当てて、どのようにして被害者のネットワークに最初の足掛かりを得るのか、そしてそれらをどのように軽減できるのかを見てみましょう。攻撃チェーンの早い段階で攻撃者を阻止できれば組織へのリスクが低くなるため、これらの領域に重点を置くことが重要であることに留意してください。
上の表からわかるように、Windows/Mac用の権限管理などのエンドポイント権限管理ツールと、特権リモートアクセスやリモートサポートなどの、安全なリモートアクセスツールを組み合わせることで、権限とアプリケーションの実行を制御することができます。LockBitやその他の脅威アクターが環境内で最初の足掛かりを得るために使用する手法に対する非常に効果的なリスク軽減策です。
これに加えて、攻撃の後半段階のほとんどでは、過剰な権限、広範なアクセス、アプリケーション制御の欠如が認められる環境も悪用されます。これは、これらの環境が最も大きな損害を与える可能性があるためです。
追加可能な戦術
権限昇格 – 多くの場合、ローカル管理者権限を使用して昇格制御メカニズムを悪用します。 LockBitは、システムレベルの自動起動の実行とグループポリシーの変更を使用してUACバイパス手法を実行していることが観測されています。これらはすべて特権管理で軽減できます。
防御的回避 – LockBitは検出を回避するためセキュリティツールを無効にし、Windowsイベントログをクリアします。これらのアクションを実行するには、攻撃者が少なくともエンドポイントに対するローカル管理者権限とコードを実行できる権限を持っている必要があります。特権管理とアプリケーション制御は、エンドポイント上のセキュリティツールが無効にならないように保護するための効果的な緩和策です。
認証情報へのアクセス – LockBit関係者は、ProcDump、ExtPassword、LostMyPasswordなどのOS認証情報のダンピングツールを使用して、エンドポイントにアクセスする他のユーザーの認証情報にアクセスします。 これにより、特権を持つ可能性のあるドメイン ユーザーの資格情報を詐取してアクセスをエスカレートできます。OS資格情報ダンプにはローカル管理者権限、特にSeDebugPrivilegeとSeDriverLoadPrivilegeが必要です。権限管理は、不正なツールの使用を防ぐアプリケーション制御との組み合わせで、攻撃者によるこれらの権限へのアクセスを防ぐ非常に効果的な軽減策です。
ラテラルムーブメント(水平展開) – LockBit関係者が、Splashtop などのツールと組み合わせて、ラテラルムーブメントのために管理者アカウントと、SMB (サーバーメッセージブロック) を使用していることが観測されています。 次のアプローチを組み合わせて使用すると、攻撃者の水平方向の移動能力が大幅に制限されます。
- 攻撃者が管理者アカウントにアクセスする能力を軽減する権限管理
- 不要なツールの使用を防ぐアプリケーション制御
- 安全なリモート アクセスで、RDPおよびVPNアクセスが不要に
LockBitの攻撃を軽減する方法
CISAによる勧告では幅広い緩和策が提供されていますが、多層防御アプローチの一環として緩和策の優先順位を付けるために、これらをいくつかの主要な領域に絞り込むことは価値があります。
パッチ適用 – OS とソフトウェアにパッチを適用し続けることは、特に公開システムでは不可欠です。既知の脆弱性は、攻撃者にシステム上でコードを実行する手段を提供することがよく起きます。楽しくないかもしれませんが、効果はあります。
最低特権:
- ユーザーエクスペリエンスに影響を与えずローカル管理者権限を削除できる Endpoint Privilege Management 技術を使用し、常に最小権限での運用を確保します。またプロセス (または最悪の場合はアプリケーション) のみが昇格されて、ユーザーアカウントは昇格されません。
- 特権アクセス管理ツールを使用して、管理者アカウントを検出して管理下に置き、パスワードを自動的に更新し、ポリシーに基づくアクセス制御をします。
アクセスの制御:
- 攻撃者にネットワークへの広範なアクセスを提供するVPNや、RDPソリューションから離れて、ゼロトラストアーキテクチャに移行します。制御された監査可能な方法で、必要なアクセスのみをユーザーに提供することに重点を置きます。
- MFAも強く推奨されていますが、単独で使用すべきではありません。多くの組織が MFA 疲労やトークンハイジャック攻撃の被害に遭い、攻撃者はこれを利用してネットワークやシステムへの広範なアクセスを取得できます。
実行の制御 – アプリケーション制御は、ほとんどの脅威に対する十分に確立された防御手段です。権限管理と組み合わせるのは困難な作業のように思えますが、実際には実現可能です。ユーザーはネイティブツールやデプロイされたソフトウェアを改ざんできないため、広範な信頼ルールを適用して、ユーザー (または攻撃者) が導入したアプリケーションだけに集中できます。PowerShellなどリスクの高いネイティブアプリケーションの場合、影響を制限する特権管理と、MFAでブロックまたはゲートするアプリケーション制御を組み合わせることで、攻撃者が「常駐」して組み込みツールを悪用することを防ぐことができます。
まとめ
LockBit は、ほとんどの組織にとって明らかに大きな脅威です。 ランサムウェアに対する彼らの革新的なアプローチと、技術的に熟練した関連組織の小規模な部隊が組み合わさることで、明らかに危険が存在します。注目を集める被害者のリストが増え続けており、国際治安機関からの警告もあることから、被害に遭うかどうかではなく、いつ被害に遭うかということを感じてしまいがちです。 ただし、戦術の理解と堅牢な多層防御アプローチがあれば、これらの脅威はほぼ完全に防止可能であるという事実を見失わないことが重要です。
ランサムウェアは魔法ではありません。ランサムウェアは、それを起動するユーザーまたはアプリケーションの権限でのみ実行できます。そこにその弱点があり、それが始まる前にツールを活用して封じ込めるチャンスがあります。
G Mark Hardy、National Security Corporation社 社長
あらゆるサイバー脅威から防御するには、最小権限の強固な基盤を構築することが重要です。 これは、LockBitを含む、脅威の行為者らが利用する戦術やテクニックの多くを直接軽減するだけでなく、セキュリティ階層の残りの部分が侵害されるのを防ぐのにも役立ちます。
ネットワークに最小権限アプローチを実装する方法の詳細については、ここをクリックするか、今すぐお問い合わせください。
James Maude、主任サイバーセキュリティ研究者
James Maudeは、BeyondTrustの英国マンチェスターオフィスのサイバーセキュリティ主任研究者です。James はセキュリティ研究において幅広い経験を持ち、進化するセキュリティ環境における攻撃ベクトルと傾向を特定するために、マルウェアとサイバー脅威の詳細な分析を行っています。 フォレンジックコンピューティングのバックグラウンドと、セキュリティリサーチコミュニティへの積極的な関与でサイバーセキュリティの専門家としての発信をしています。彼は定期的に国際イベントに出席して、ウェビナーを通して脅威と防御戦略について議論しています。