Japan
サイト内の現在位置
MITRE ATT&CK® 頻出手口 トップ10(2020年度下期)
NECセキュリティブログ2021年4月2日
NECサイバーセキュリティ戦略本部セキュリティ技術センターの角丸です。インテリジェンスチームでは、変化し続けるセキュリティリスクに対して迅速に対応できるように、サイバー空間における脅威情報を収集し分析をしてきています[1]。
本レポートでは、2020年10月~2021年3月に収集した国内外の脅威分析レポートを対象にMITRE ATT&CK®フレームワーク(v8)へマッピングし分析した結果を、サイバー攻撃でよく使われる不正アクセスの手口トップ10として独自にまとめました。
頻出する手口が事例の中でどう使われているのかを調べたり、セキュリティ対策の優先度を決めたりするのに使ってみてはいかがでしょうか。
サマリー
2020年10月~2021年3月において、インテリジェンスチームで収集・分析した脅威情報の中で最も広く使われていたMITRE ATT&CK に基づくサイバー攻撃の手口(Technique)トップ10は次のような結果となりました。
| 順位 (出現数) |
サイバー攻撃の手口(Technique) | サイバー攻撃の手口(Tactic) |
|---|---|---|
| 1位 (180) |
コマンドとスクリプトインタプリタ T1059 Command and Scripting Interpreter |
実行 Execution |
| 2位 (146) |
難読化されたファイルや情報 T1027 Obfuscated Files or Information |
防御策の回避 Defense Evasion |
| 3位 (111) |
偽装 T1036 Masquerading |
防御策の回避 Defense Evasion |
| 4位 (109) |
侵入ツールの送り込み T1105 Ingress Tool Transfer |
C2 Command and Control |
| 5位 (85) |
開発能力 T1587 Develop Capabilities |
リソース開発 Resource Development |
| 6位 (82) |
アプリケーションレイヤープロトコル T1071 Application Layer Protocol |
C2 Command and Control |
| 7位 (79) |
フィッシング T1566 Phishing |
初期アクセス Initial Access |
| 8位 (76) |
C2チャネル上での持ち出し T1041 Exfiltration Over C2 Channel |
持ち出し Exfiltration |
| 8位 (同数) |
ユーザーによる実行 T1204 User Execution |
実行 Execution |
| 10位 (71) |
ホスト上の痕跡消去 T1070 Indicator Removal on Host |
防御策の回避 Defense Evasion |
表1:2020年度下期 MITRE ATT&CK 頻出手口 トップ10
(情報ソース:NEC独自調査)
このうちの3つが防御策の回避(Defense Evasion)に属し、実行(Execution)、C2(Command and Control)にそれぞれ2つずつが属しています。2020年12月に公表されたSolarWindsのサプライチェーン攻撃 
[2]では、検知されにくくするための仕組みがふんだんに組み込まれていたように、昨今の攻撃の動向が現れていると感じています。
次に、攻撃の手口(Tactics)の観点で先のTOP 10を整理したものがこちらになります。主要なサブテクニック(Sub-technique)を抽出し、攻撃の手口(Technique)全体における割合をあわせて示しています。すべてのサブテクニックを列挙していないため、必ずしも100%にはなりません。
| リソース開発 Resource Development | ||
|---|---|---|
| 開発能力 T1587 Develop Capabilities |
マルウェア(89%) T1587.001 Malware | |
| 初期アクセス Initial Access | ||
| フィッシング T1566 Phishing |
添付ファイル付きスピアフィッシング(44%) T1566.001 Spearphishing Attachment | |
| リンク付きスピアフィッシング(32%) T1566.002 Spearphishing Link | ||
| 実行 Execution | ||
| コマンドとスクリプトインタプリタ T1059 Command and Scripting Interpreter |
PowerShell(27%) T1059.003 PowerShell | |
| Windows Command Shell(14%) T1059.001 Windows Command Shell | ||
| JavaScript/JScript(9%) T1059.007 JavaScript/JScript | ||
| ユーザーによる実行 T1204 User Execution |
悪性のファイル(41%) T1204.002 Malicious File | |
| 悪性のリンク(33%) T1204.001 Malicious Link | ||
| 防御策の回避 Defense Evasion | ||
| 難読化されたファイルや情報 T1027 Obfuscated Files or Information |
ソフトウェアパッキング(17%) T1027.002 Software Packing | |
| 偽装 T1036 Masquerading |
正規の名称や場所に合致(50%) T1036.005 Match Legitimate Name or Location | |
| タスクやサービスの名前を偽装(14%) T1036.004 Masquerade Task or Service | ||
| ホスト上の痕跡消去 T1070 Indicator Removal on Host |
ホスト上の痕跡を消去(51%) T1070.004 File Deletion | |
| C2 Command and Control | ||
| 侵入ツールの送り込み T1105 Ingress Tool Transfer |
―(100%) | |
| アプリケーションレイヤープロトコル T1071 Application Layer Protocol |
ウェブプロトコル(82%) T1071.001 Web Protocols | |
| 持ち出し Exfiltration | ||
| C2チャネル上での持ち出し T1041 Exfiltration Over C2 Channel |
―(100%) | |
表2:Tacticsで分類した2020年度下期 MITRE ATT&CK 頻出手口 トップ10
(情報ソース:NEC独自調査)
守る側にとってはこれらの情報をいかに防御対策に活用していくかというのがポイントになってきますが、攻撃の手口をサブテクニックまで分析して見ていくとそのヒントが得られそうです。初期アクセス(Initial Access)ではPhishingの手口として、添付ファイル付きのスピアフィッシング(T1566.001)がやや多いもののリンク付きのスピアフィッシング(T1566.002)もあることがわかりますので、引き続き両方の注意が必要といえそうです。実行(Execution)でのユーザーによる実行(T1204)でも、悪性のファイル(T1204.002)と悪性のリンク(T1204.001)で同様な傾向が見られています。
また、防御策の回避(Defense Evasion)では偽装(T1036)の手口として、正規の名称や場所に合致させる手口(T1036.005)が半分を占めていますが、タスクやサービスの名前を偽装する手口(T1036.004)も見られていますので、ファイルだけではなくサービスも含め見た目だけで正しいかどうかを判断せずに振る舞いまで確認する必要がありそうです。さらに、ホスト上の痕跡を消去する手口(T1070)ではファイルの削除(T1070.004)が高い割合を占めているため、ファイルが削除されているかもしれないと疑いを立てて分析することは有効となるでしょう。
MITRE ATT&CK®について
MITRE ATT&CKトップ10の算出方法
本レポートで対象としているのは公開されている脅威分析レポートやブログで、期間は2020年10月~2021年3月の6ヶ月分、国内・海外で発行されたものを対象としており、攻撃手法やマルウェアの解析結果について記載された157つを分析対象として選定しました。各レポートに対してまずはツールTRAM[5]を使ってマッピングし、人手でATT&CK IDを精査して付け直すということを行っています。(ATT&CK IDのマッピングについてはこちらのブログも参照ください[6] 。)その結果、各レポートに対するATT&CKのSub-Technique(Sub-TechniqueがないものはTechnique)のリスト(ATT&CK IDのデータセット)が出来上がります。
なお、TRAMの正答率は我々の経験では6割~8割程度となっており、人手で不足分を追加し、違うと思われるものを削除することで最終的なATT&CK IDのデータセットを生成しました。
トップ10の算出方法ですが、上記ATT&CK IDのデータセットに対してATT&CKのSub-Techniqueを含めたTechnique単位で集計した上で、上位10つを抽出しました。例えば、フィッシング(T1566)の総数79は、T1566が16つ、T1566.001が35つ、T1566.002が25つ、T1566.003が3つ、これらの合計としています。一つのレポートに対して同じTechniqueに属するSub-Techniqueが複数マッピングされることもあるため、ここでの総数が必ずしも出現レポート数とはならないことには注意が必要です。
テクニック トップ10 の出現傾向と参考事例
それぞれの手口は個々に活用されるものではなく、攻撃の目的を達成するために複数の手口を組み合わせて一連の攻撃として行われるものですが、ここではそれぞれの手口ごとに出現傾向と、その手口を用いた代表的な事例を紹介していきます。
なお、参考事例を記載した囲みでは、該当の攻撃手口が使われている様子を例として示し、参照先の脅威レポートと概要を合わせて記載しています。
1位:コマンドとスクリプトインタプリタ
PowerShell(T1059.001)が用いられた報告はほぼ毎週収集しており、Windows Command Shell(T1059.003)やJavaScript/JScript(T1059.007)なども含めると、対象とする期間すべての週において出現した手口となり、1位となりました。PowerShellは依然として攻撃者にとって有用なビルトインツールであると言えるでしょう。
| T1059 Command and Scripting Interpreter(Execution) |
|---|
| 例)PowerShell(T1059.001)を用いた参考事例 ゼロデイ脆弱性をついて侵入後にWeb Shellを展開することで外部からコントロールできるようにした上で、PowerShellを使って情報の窃取や外部サーバとの接続などを実施していました。 |
|
2位:難読化されたファイルや情報
これも対象とする期間のすべての週において出現した手口となっていましたが、67%がどのSub-Techniqueにも分類されないものとなっていました。難読化が依然として攻撃者にとって有効な打ち手であり、難読化の対象とする範囲が広がってきているということかもしれません。
| T1027 Obfuscated Files or Information(Defense Evasion) |
|---|
| 例)Software Packing(T1027.002)を用いた参考事例 「Kobalos」のコードにはカスタムパッカーが用いられており、文字列は暗号化されていました。 |
|
3位:偽装
対象とする期間において出現しなかった週は1週間だけとなっており、正規の名称や場所に合致させる手口(T1036.005)が半分を占めていますが、タスクやサービスの名前を偽装する手口(T1036.004)も見られていました。ファイルだけではなくサービスも含め見た目だけで正しいかどうかを判断せずに振る舞いまで確認する必要がありそうです。
| T1036 Masquerading(Defense Evasion) |
|---|
| 例)Match Legitimate Name or Location(T1036.005)を用いた参考事例 マルウェアは、誤解を招くようなディレクトリ"Office 365__\Windows\Office"の下にactivateという不正なスケジュールされたタスクを作成することで、Windows Schedulerに15分ごとにドロップされたコードを実行するように指示することで、永続性を実現していました。 |
|
「APT37」による株式投資を標的としたサプライチェーン攻撃(ESTsecurity、2021年1月3日) |
4位:侵入ツールの送り込み
これも対象とする期間のすべての週において複数回出現した手口となっています。Sub-Techniqueは定義されていないため約70%のレポートで出現していたことになり、非常に高い割合を占めていました。必要な機能を後からペイロードやツールとして標的対象に対して送り込むことが一般的になっていると言えそうです。
| T1105 Ingress Tool Transfer(Command and Control) |
|---|
| 例)Ingress Tool Transfer(T1105)を用いた参考事例 デバイスの構成に成功すると、攻撃者はさまざまなバイナリ(lolol.sh、install.sh、nbrute.[arch]、combo.txt、dark.[arch])をドロップし、ジョブのスケジュール設定やフィルタリングルールの作成、ブルートフォース攻撃の実行、ボットネットマルウェアの伝播などを行います。 |
|
ネットワークセキュリティデバイスの脆弱性を悪用する「Mirai」の新たな亜種(Unit 42、2021年3月15日) |
5位:開発能力
こちらも対象とする期間において、観測されなかった週は1週間だけとなっています。約89%がマルウェア(T1587.001)となっており、Code Signing Certificates(T1587.002)とExploits(T1587.003)はそれぞれ1つずつしか出現していませんでした。これらはv8に統合される前はPRE-ATT&CKに分類されており、被害組織の分析からは現れにくく可視性が高くないことが影響している可能性があります。
| T1587 Develop Capabilities(Resource Development) |
|---|
| 例)Malware(T1587.001)を用いた参考事例 このキャンペーンでは、開発されたと思われる偽のFlashアプリケーションや.Netユーティリティが使用されていました。 |
|
中国APTグループによる5G技術の情報窃取を目的とした「Operation Dianxun」キャンペーン(McAfee、2021年3月16日) |
[11]6位:アプリケーションレイヤープロトコル
対象とする期間のすべての週において観測された手口となっており、8割以上をWeb Protocols(T1071.001)が占め、残りをMail(T1071.003)とDNS(T1071.004)が半分ずつという傾向が見られました。
| T1071 Application Layer Protocol(Command and Control) |
|---|
| 例)Web Protocols(T1071.001)を用いた参考事例 kupay_upgradeプログラムはマルウェアのロジック機能のほとんどを含むCheckUpdateを呼び出し、“Kupay Wallet 9.0.1 (Check Update Osx)”と名付けられた接続でC2サーバにPOSTを送信します。 |
|
CISAは「Lazarus Group」の「AppleJeus」マルウェアについて報告(CISA、2021年2月17日) |
7位:フィッシング
依然として安定して使われている一方で、2021年1月はやや見られない週も存在していました。手口としては、添付ファイル付きのスピアフィッシング(T1566.001)が44%とやや多いもののリンク付きのスピアフィッシング(T1566.002)も32%ありますので、引き続き両方の注意が必要といえそうです。一方では、SSL-VPN製品の脆弱性に起因する攻撃のように脆弱性をついた攻撃も2020年度下期には発生しており、そちらに注力していた可能性も一因として考えられそうです。
| T1566 Phishing(Initial Access) |
|---|
| 例)Spearphishing Attachment(T1566.001)を用いた参考事例 本キャンペーンでは、様々なMicrosoft 365 service updatesを装った方法、PDF/HTM/HTML での添付ファイル送付や高度なフィッシングキットが使用されていました。 |
|
幹部や財務部門のOffice 365資格情報の盗用を目的としたBEC(Business Email Compromise)攻撃(Area 1 Security、2021年3月18日) |
8位:C2チャネル上での持ち出し
こちらは対象とする期間において、観測されなかった週は1週間だけ、観測された週でもその多くで複数見られることが多いという傾向となっていました。
| T1041 Exfiltration Over C2 Channel(Exfiltration) |
|---|
| 例)Exfiltration Over C2 Channel(T1041)を用いた参考事例 FairFax.exeは、TAPモデル(タスク非同期プログラミングモデル)を使用して開発された.NetRATであり、ファイルをダウンロードする機能、ファイルをアップロードする機能、スクリーンショットを撮る機能を備えています。 |
|
アゼルバイジャンを標的にした新しいステガノグラフィ攻撃(Malwarebytes、2021年3月10日) |
8位(同数):ユーザーによる実行
安定して観測され続けており、Malicious File(T1204.002)がMalicious Link(T1204.001)より若干多いという状況でした。これは、6位のフィッシングと同じような割合となっていますが、ATT&CK IDをマッピングするにあたってフィッシングとユーザーによる実行の両方にマッピングされることに起因するものと考えています。
| T1204 User Execution(Execution) |
|---|
| 例)Malicious File(T1204.002)を用いた参考事例 javascriptを含むMHTMLファイルを研究者に送信していました。 |
|
セキュリティ研究者を狙った攻撃で使用されたIEのゼロデイ脆弱性(ENKI、2021年2月4日)[15] 韓国のサイバーセキュリティ企業であるENKI社は、攻撃者グループ「Lazarus」によるセキュリティ研究者などを狙ったソーシャルエンジニアリングキャンペーンで、Internet Explorerのゼロデイ脆弱性(メモリの二重解放)が使用されていたと報告しました。悪意あるMHTファイルが見つかっており、スクリプトが実行されるとゼロデイ攻撃を含むペイロードがダウンロードされるとのことです。 |
10位:ホスト上の痕跡消去
週毎に観測される数字に多少のばらつきがみられましたが、これは痕跡が消去されたという確証が必ずしも得られるとは限らないということも影響しているのではないかと思われます。
| T1070 Indicator Removal on Host(Defense Evasion) |
|---|
| 例)Indicator Removal on Host(T1070)を用いた参考事例 BumbleBee Webシェルを介して実行されたコマンドを解析した結果、一時的に作成したファイルや使用したファイルを削除していることが確認されています。 |
|
攻撃者グループ「xHunt」のスパイキャンペーンで使用される新たなWebシェル「BumbleBee」(Unit 42、2021年1月11日) |
MITRE ATT&CK頻出手口トップ10の活用
MITRE ATT&CKのサイトでは、それぞれの攻撃の手口に対する緩和策(Mitigations)と検知(Detection)のヒントが掲載されていますので、リスクが高いと判断した攻撃の手口を対策するときに参照してみるとよいでしょう。
今回取り上げた10つ以外にも観測されている攻撃の手口は存在します。現時点ではATT&CK Techniqueが178、Sub-Techniqueが352で合計530のATT&CK IDがEnterprise向けでは定義されていますが、このうち少なくとも1回は出現した攻撃の手口が311ありました。今回のような頻出手口トップ10を参考に優先度を付けて対策を考えていくのは悪くない方法だと考えています。
また、分析をしている中でMITRE ATT&CKではまだ表現されていない手口というのも複数見つかりました。常に新しい手口が出てくるというのは忘れないようにする一方で、わかっている手口に対してはきちんと対応していくことが大切だと感じています。特にトップ10を見ても目新しいものではないことから、従来と同じ手法だからと甘く見ずにきちんと対策ができているかを確かめることも有効な打ち手になるのではないでしょうか。
まとめ
本レポートでは、2020年10月~2021年3月に収集した国内外の脅威分析レポートを対象にMITRE ATT&CKフレームワーク(v8)にマッピングしたのち、サイバー攻撃でよく使われる不正アクセスの手口トップ10としてテクニックのレベルで独自にまとめた結果を紹介しました。何かしら皆さまのセキュリティリスク対策のお役に立てますと幸いです。
最後までお読みいただき、ありがとうございました。
本レポートの作成にあたり、調査・分析にご協力いただいたインテリジェンスチームのメンバーにお礼申し上げます。
参考資料
- [1]
- [2]
- [3]
- [4]
- [5]
- [6]
- [7]
- [8]
- [9]
- [10]
- [11]
- [12]
- [13]
- [14]
- [15]https://enki.co.kr/blog/2021/02/04/ie_0day.html
- [16]
執筆者プロフィール
角丸 貴洋(かくまる たかひろ)
セキュリティ技術センター インテリジェンスチーム
インテリジェンスチームリード、技術戦略の立案・推進、グローバル連携の推進を担う。CISSP、GIAC(GCTI)を保持。FIRST, SANS THIR Summitなどで講演。
アイスホッケーをこよなく愛し、理論派指導者としてTTP(徹底的にパクる)をモットーに指導方法の研究に没頭する日々を送る。
執筆者の他の記事を読む
アクセスランキング