Japan
サイト内の現在位置
MITRE ATT&CKサブテクニックでみるサイバー攻撃の手口
NECセキュリティブログ2020年5月8日
MITRE ATT&CK® Frameworkとは
注意事項
MITRE ATT&CK®、およびATT&CK®は、MITRE社のトレードマークです。執筆時点でのオフィシャルバージョンは2019年10月にリリースされたATT&CKであり、本記事では事前公開されているサブテクニックを含んだATT&CKベータ版を用いています。
COVID-19関連の脅威情報の抽出
私たちのチームで日々収集している脅威情報の中から、コロナウィルス(COVID-19)をキーワードとして抽出、さらに攻撃の手口が異なりそうな観点で選択し、下記6つの脅威レポート・記事・投稿を対象としました。
-
Based on Office 365 ATP data, Trickbot is the most prolific malware operation using COVID-19 themed lures(2020-04-18)
[6] -
Findings on coronavirus & online security threats(2020/04/22)[7]
-
Vietnamese Threat Actors APT32 Targeting Wuhan Government and Chinese Ministry of Emergency Management in Latest Example of COVID-19 Related Espionage[4]
-
Corona Locker - Max Kersten(2020/04/21)[8]
-
Gamaredon APT Group Use Covid-19 Lure in Campaigns(2020/4/17)[9]
-
PoetRAT: Python RAT uses COVID-19 lures to target Azerbaijan public and private sectors(2020/4/16)[10]
MITRE ATT&CKマッピング
![CSVファイル[12]の一部(Initial Accessの対応関係)](/cybersecurity/blog/200508/images/img01.png)
[12]の一部(Initial Accessの対応関係)![JSONファイル[13]の一部(ベータ版T1566と現行版T1192~1194の関係)](/cybersecurity/blog/200508/images/img02.png)
[13]の一部(ベータ版T1566と現行版T1192~1194の関係)ベータ版へ直接マッピングするには、ベータ版のATT&CK Navigator [11]を活用します。ATT&CK Navigatorを使うことで、攻撃の手口をATT&CKマトリクスで可視化しながら作業ができます。また、作成した攻撃の手口はJSONファイルへ出力することができるため、その後の活用にも有用です。
なお、現行版のATT&CK Navigator [16]と見比べてみると、現行版とベータ版との違いが分かりやすいです。
サブテクニックが追加されるのに伴い、テクニックのカテゴリー分けが一部見直されています。変わらないテクニック、名前が変更となったテクニック、サブテクニックとして新たに定義されたもの、などがあります。これらの変換の際の手順や注意点などは、MITREから情報[14]が提供されていますので、そちらを参考にするのがよいでしょう。
それでは、6つの脅威情報に対して攻撃の手口をサブテクニックとしてマッピングした結果を記載します。
1. Based on Office 365 ATP data, Trickbot is the most prolific malware operation using COVID-19 themed lures [6]
| Tactics | Technique : Sub-Technique (ベータ版) | (現行版) |
|---|---|---|
| Initial Access | Phishing : Spearphishing Attachment (T1566.001) | T1193 |
| Defense Evasion | Virtualization/Sandbox Evasion: Time Based Evasion(T1497.003) | T1497 |
2. Findings on coronavirus & online security threats [7]
| Tactics | Technique : Sub-Technique (ベータ版) | (現行版) |
|---|---|---|
| Initial Access | Phishing : Spearphishing Attachment (T1566.001) | T1193 |
| Phishing : Spearphishing Link (T1566.002) | T1192 | |
| Phishing : Spearphishing via Service (T1566.003) | T1194 |
3. Vietnamese Threat Actors APT32 Targeting Wuhan Government and Chinese Ministry of Emergency Management in Latest Example of COVID-19 Related Espionage [4]
| Tactics | Technique : Sub-Technique (ベータ版) | (現行版) |
|---|---|---|
| Initial Access | Phishing: Spearphishing Attachment (T1566.001) | T1193 |
| Phishing: Spearphishing Link (T1566.002) | T1192 | |
| Execution | Signed Binary Proxy Execution: Regsvr32 (T1218.010) | T1117 |
| User Execution: Malicious Link (T1204.001) | T1204 | |
| Defense Evasion | Signed Binary Proxy Execution: Regsvr32 (T1218.010) | T1117 |
| Command and Control | Encrypted Channel: Symmetric Cryptography (T1573.001) | T1032 |
| Standard Non-Application Layer Protocol (T1095) | T1094 |
4. Corona Locker - Max Kersten [8]
| Tactics | Technique : Sub-Technique (ベータ版) | (現行版) |
|---|---|---|
| Defense Evasion | Indicator Removal on Host: File Deletion (T1551.004) | T1107 |
| Modify Registry (T1112) | T1112 | |
| Impact | System Shutdown / Reboot (T1529) | T1529 |
| Defacement: Internal Defacement (T1491.001) | T1491 |
5. Gamaredon APT Group Use Covid-19 Lure in Campaigns [9]
| Tactics | Technique : Sub-Technique (ベータ版) | (現行版) |
|---|---|---|
| Initial Access | Phishing: Spearphishing Attachment (T1566.001) | T1193 |
| Execution | Command and Scripting Interpreter: Bash (T1059.004) | T1064 |
| User Execution: Malicious File (T1204.002) | T1204 | |
| Persistence | Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder (T1547.001) | T1060 |
| Defense Evasion | Deobfuscate/Decode Files or Information (T1140) | T1140 |
| Indicator Removal on Host: File Deletion (T1551.004) | T1107 | |
| Template Injection (T1221) | T1221 | |
| Discovery | System Information Discovery (T1082) | T1082 |
| Command and Control | Data Obfuscation: Protocol Impersonation (T1001.003) | T1001 |
| Non-Standard Port (T1571) | T1043 | |
| Application Layer Protocol: Mail Protocols (T1071.001) | T1071 | |
| Ingress Tool Transfer (T1105) | T1105 |
6. PoetRAT: Python RAT uses COVID-19 lures to target Azerbaijan public and private sector [10]
| Tactics | Technique : Sub-Technique (ベータ版) | (現行版) |
|---|---|---|
| Execution | Command and Scripting Interpreter: VBScript (T1059.005) | T1064 |
| Persistence | Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder (T1547.001) | T1060 |
| Privilege Escalation | Abuse Elevation Control Mechanism: Bypass User Access Control (T1548.002) | T1088 |
| Defense Evasion | Deobfuscate/Decode Files or Information (T1140) | T1140 |
| Use Alternate Authentication Material: Application Access Token (T1550.001) | T1527 | |
| Indicator Removal on Host: File Deletion (T1551.004) | T1107 | |
| Virtualization/Sandbox Evasion: System Checks (T1497.001) | T1497 | |
| Discovery | File and Directory Discovery (T1083) | T1083 |
| System Information Discovery (T1082) | T1082 | |
| System Owner/User Discovery (T1033) | T1033 | |
| Network Service Scanning (T1046) | T1046 | |
| Collection | Data from Local System (T1005) | T1005 |
| Video Capture (T1125) | T1125 | |
| Input Capture: Keylogging (T1056.001) | T1056 | |
| Exfiltration | Exfiltration Over Alternative Protocol: Exfiltration Over Unencrypted/Obfuscated Non-C2 Protocol (T1048.003) | T1048 |
おまけ
MITREが開発中のツールTRAM [15]を使うと今回行った脅威情報からのマッピングを省力化することができます。精度を高めるには人手での分析を必要としますが、すべて人手でマッピングするよりはずっと効率化が図れると思います。ベータ版のATT&CKにはまだ対応していないようですが、現行版でいったんATT&CKへのマッピングを作成し、その後、上記で挙げたCSVファイル、もしくはJSONファイルを活用してベータ版へ変換することは複雑ではないでしょう。
まとめ
本記事では、新型コロナウィルス(COVID-19)がおとり文書やテーマとして利用されている脅威情報に対して、MITREがベータ版として提供しているサブテクニックが加わったバージョンのATT&CKを用いて、攻撃の手口をマッピングした結果をご紹介しました。
ベータ版がオフィシャルになるのはもう少し先になることが見込まれますが、実際に観測された情報に基づきブラッシュアップされているとのことで、使いやすさは向上しているように感じました。ぜひ皆さんも活用してみてはいかがでしょうか。
参考資料
- [1]
- [2]
- [3]
- [4]
- [5]
- [6]
- [7]
- [8]
- [9]
- [10]
- [11]
- [12]
- [13]
- [14]
- [15]
- [16]
執筆者プロフィール
角丸 貴洋(かくまる たかひろ)
セキュリティ技術センター インテリジェンスチーム
インテリジェンスチームリード、技術戦略の立案・推進、グローバル連携の推進を担う。CISSP、GIAC(GCTI)を保持。FIRST, SANS THIR Summitなどで講演。
アイスホッケーをこよなく愛し、理論派指導者としてTTP(徹底的にパクる)をモットーに研究に没頭する日々を送る。
執筆者の他の記事を読む
アクセスランキング
2025年4月13日~4月19日に読まれた記事のランキング
