サイト内の現在位置

MITRE ATT&CKサブテクニックでみるサイバー攻撃の手口

NECセキュリティブログ

2020年5月8日

NECサイバーセキュリティ戦略本部セキュリティ技術センターの角丸です。昨今のサイバー脅威に関する記事 new window[1] new window[2]にあるように、様々な攻撃キャンペーンで新型コロナウィルス(COVID-19)がおとり文書やテーマとして利用されているという報告があります。そこで、私たちのチームで日々収集している脅威情報の中からCOVID-19をキーワードとして抽出し、MITREがベータ版として提供しているサブテクニックが加わったバージョンのATT&CKを用いて、COVID-19に関するサイバー攻撃の手口を整理してみましたのでご紹介します。

MITRE ATT&CK® Frameworkとは

MITRE ATT&CK®は、サイバー攻撃の手口を体系化した知識ベースで、米国の政府系非営利団体であるMITREが開発しています new window[3]
ここ数年、ATT&CKを活用するシーンが見られるようになってきており、セキュリティベンダーから発行される脅威レポートでも、ATT&CKの情報を目にするようになりました new window[4]。そのATT&CKですが、2019年10月リリースの現行バージョンに対し、攻撃の手口がより細分化されたサブテクニックが加わった体系化が検討されており、ベータ版が事前公開されています new window[5]

注意事項

MITRE ATT&CK®、およびATT&CK®は、MITRE社のトレードマークです。執筆時点でのオフィシャルバージョンは2019年10月にリリースされたATT&CKであり、本記事では事前公開されているサブテクニックを含んだATT&CKベータ版を用いています。

COVID-19関連の脅威情報の抽出

私たちのチームで日々収集している脅威情報の中から、コロナウィルス(COVID-19)をキーワードとして抽出、さらに攻撃の手口が異なりそうな観点で選択し、下記6つの脅威レポート・記事・投稿を対象としました。

  1. Based on Office 365 ATP data, Trickbot is the most prolific malware operation using COVID-19 themed lures(2020-04-18)new window[6]
  2. Findings on coronavirus & online security threats(2020/04/22) new window[7]
  3. Vietnamese Threat Actors APT32 Targeting Wuhan Government and Chinese Ministry of Emergency Management in Latest Example of COVID-19 Related Espionage new window[4]
  4. Corona Locker - Max Kersten(2020/04/21)new window[8]
  5. Gamaredon APT Group Use Covid-19 Lure in Campaigns(2020/4/17) new window[9]
  6. PoetRAT: Python RAT uses COVID-19 lures to target Azerbaijan public and private sectors(2020/4/16)new window[10]

MITRE ATT&CKマッピング

参照元の脅威情報にATT&CKとのマッピングが含まれている場合( new window[4], new window[9])は、それを基にサブテクニックのマッピングを行い、マッピングが含まれていない場合( new window[6],new window[7], new window[8], new window[10])は、提供される脅威情報を基に攻撃の手口を抽出した上でマッピングを行いました。

現行版のマッピングをATT&CKベータ版に変換するには、MITREから提供されているCSVファイル new window[12]、もしくはJSONファイル new window[13]を活用すると便利です。どちらも対応が記載されていますが、テクニック名の変更が追えるなどCSVファイルの方が情報量は多くなっています。

CSVファイル[12]の一部(Initial Accessの対応関係)
CSVファイル new window[12]の一部(Initial Accessの対応関係)
JSONファイル[13]の一部(ベータ版T1566と現行版T1192~1194の関係)
JSONファイル new window[13]の一部(ベータ版T1566と現行版T1192~1194の関係)

ベータ版へ直接マッピングするには、ベータ版のATT&CK Navigator new window[11]を活用します。ATT&CK Navigatorを使うことで、攻撃の手口をATT&CKマトリクスで可視化しながら作業ができます。また、作成した攻撃の手口はJSONファイルへ出力することができるため、その後の活用にも有用です。
なお、現行版のATT&CK Navigator new window[16]と見比べてみると、現行版とベータ版との違いが分かりやすいです。

サブテクニックが追加されるのに伴い、テクニックのカテゴリー分けが一部見直されています。変わらないテクニック、名前が変更となったテクニック、サブテクニックとして新たに定義されたもの、などがあります。これらの変換の際の手順や注意点などは、MITREから情報new window[14]が提供されていますので、そちらを参考にするのがよいでしょう。

それでは、6つの脅威情報に対して攻撃の手口をサブテクニックとしてマッピングした結果を記載します。

1. Based on Office 365 ATP data, Trickbot is the most prolific malware operation using COVID-19 themed lures new window[6]

Tactics Technique : Sub-Technique (ベータ版) (現行版)
Initial Access Phishing : Spearphishing Attachment (T1566.001) T1193
Defense Evasion Virtualization/Sandbox Evasion: Time Based Evasion(T1497.003) T1497

2. Findings on coronavirus & online security threats new window[7]

Tactics Technique : Sub-Technique (ベータ版) (現行版)
Initial Access Phishing : Spearphishing Attachment (T1566.001) T1193
Phishing : Spearphishing Link (T1566.002) T1192
Phishing : Spearphishing via Service (T1566.003) T1194

3. Vietnamese Threat Actors APT32 Targeting Wuhan Government and Chinese Ministry of Emergency Management in Latest Example of COVID-19 Related Espionage new window[4]

Tactics Technique : Sub-Technique (ベータ版) (現行版)
Initial Access Phishing: Spearphishing Attachment (T1566.001) T1193
Phishing: Spearphishing Link (T1566.002) T1192
Execution Signed Binary Proxy Execution: Regsvr32 (T1218.010) T1117
User Execution: Malicious Link (T1204.001) T1204
Defense Evasion Signed Binary Proxy Execution: Regsvr32 (T1218.010) T1117
Command and Control Encrypted Channel: Symmetric Cryptography (T1573.001) T1032
Standard Non-Application Layer Protocol (T1095) T1094

4. Corona Locker - Max Kersten new window[8]

Tactics Technique : Sub-Technique (ベータ版) (現行版)
Defense Evasion Indicator Removal on Host: File Deletion (T1551.004) T1107
Modify Registry (T1112) T1112
Impact System Shutdown / Reboot (T1529) T1529
Defacement: Internal Defacement (T1491.001) T1491

5. Gamaredon APT Group Use Covid-19 Lure in Campaigns new window[9]

Tactics Technique : Sub-Technique (ベータ版) (現行版)
Initial Access Phishing: Spearphishing Attachment (T1566.001) T1193
Execution Command and Scripting Interpreter: Bash (T1059.004) T1064
User Execution: Malicious File (T1204.002) T1204
Persistence Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder (T1547.001) T1060
Defense Evasion Deobfuscate/Decode Files or Information (T1140) T1140
Indicator Removal on Host: File Deletion (T1551.004) T1107
Template Injection (T1221) T1221
Discovery System Information Discovery (T1082) T1082
Command and Control Data Obfuscation: Protocol Impersonation (T1001.003) T1001
Non-Standard Port (T1571) T1043
Application Layer Protocol: Mail Protocols (T1071.001) T1071
Ingress Tool Transfer (T1105) T1105

6. PoetRAT: Python RAT uses COVID-19 lures to target Azerbaijan public and private sector new window[10]

Tactics Technique : Sub-Technique (ベータ版) (現行版)
Execution Command and Scripting Interpreter: VBScript (T1059.005) T1064
Persistence Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder (T1547.001) T1060
Privilege Escalation Abuse Elevation Control Mechanism: Bypass User Access Control (T1548.002) T1088
Defense Evasion Deobfuscate/Decode Files or Information (T1140) T1140
Use Alternate Authentication Material: Application Access Token (T1550.001) T1527
Indicator Removal on Host: File Deletion (T1551.004) T1107
Virtualization/Sandbox Evasion: System Checks (T1497.001) T1497
Discovery File and Directory Discovery (T1083) T1083
 System Information Discovery (T1082) T1082
System Owner/User Discovery (T1033) T1033
Network Service Scanning (T1046) T1046
Collection Data from Local System (T1005) T1005
Video Capture (T1125) T1125
Input Capture: Keylogging (T1056.001) T1056
Exfiltration Exfiltration Over Alternative Protocol: Exfiltration Over Unencrypted/Obfuscated Non-C2 Protocol (T1048.003) T1048

おまけ

MITREが開発中のツールTRAM new window[15]を使うと今回行った脅威情報からのマッピングを省力化することができます。精度を高めるには人手での分析を必要としますが、すべて人手でマッピングするよりはずっと効率化が図れると思います。ベータ版のATT&CKにはまだ対応していないようですが、現行版でいったんATT&CKへのマッピングを作成し、その後、上記で挙げたCSVファイル、もしくはJSONファイルを活用してベータ版へ変換することは複雑ではないでしょう。

まとめ

本記事では、新型コロナウィルス(COVID-19)がおとり文書やテーマとして利用されている脅威情報に対して、MITREがベータ版として提供しているサブテクニックが加わったバージョンのATT&CKを用いて、攻撃の手口をマッピングした結果をご紹介しました。
ベータ版がオフィシャルになるのはもう少し先になることが見込まれますが、実際に観測された情報に基づきブラッシュアップされているとのことで、使いやすさは向上しているように感じました。ぜひ皆さんも活用してみてはいかがでしょうか。

参考資料

執筆者プロフィール

角丸 貴洋(かくまる たかひろ)
セキュリティ技術センター インテリジェンスチーム

インテリジェンスチームリード、技術戦略の立案・推進、グローバル連携の推進を担う。CISSP、GIAC(GCTI)を保持。FIRST, SANS THIR Summitなどで講演。
アイスホッケーをこよなく愛し、理論派指導者としてTTP(徹底的にパクる)をモットーに研究に没頭する日々を送る。