Japan
サイト内の現在位置
MITRE ATT&CK 頻出手口 トップ10 Vol.2(2021年10月版)
NECセキュリティブログ2021年10月15日
はじめに
こんにちは。サイバーセキュリティ戦略本部セキュリティ技術センターインテリジェンスチームのTwo(ハンドルネーム)です。今回は、MITRE ATT&CK 頻出手口 トップ10の2021年10月版をご紹介したいと思います。なお、前回(2020年度下期)のトップ10はこちら[1]から参照頂けます。合わせてご覧ください。
なお、過去のブログ記事[2]でも紹介していますが、MITRE ATT&CKは4月にv9 
[3] [4] [5]を発表しています。MITRE ATT&CK v9リリース後は、v9で追加された新しいテクニックID(Technique ID)も含めて、私の所属するインテリジェンスチームによる分析でもID付与を行いました。
サマリー
2021年度上期(2021年4月~9月)にインテリジェンスチームで収集・分析した脅威情報の中で、MITRE ATT&CK に基づくサイバー攻撃の手口(Technique)の出現回数トップ10は下記のような結果となりました。
| No | ID | テクニック名 | 出現回数 | 前回順位 |
|---|---|---|---|---|
| 1 | T1059 | Command and Scripting Interpreter [6] |
159 | 1 |
| 2 | T1027 | Obfuscated Files or Information [7] |
129 | 2 |
| 3 | T1036 | Masquerading [8] |
110 | 3 |
| 4 | T1105 | Ingress Tool Transfer [9] |
109 | 4 |
| 5 | T1070 | Indicator Removal on Host [10] |
85 | 10 |
| 6 | T1140 | Deobfuscate/Decode Files or Information [11] |
79 | - |
| 7 | T1071 | Application Layer Protocol [12] |
77 | 6 |
| 8 | T1041 | Exfiltration Over C2 Channel [13] |
72 | 8 |
| 9 | T1055 | Process Injection [14] |
71 | - |
| 10 | T1566 | Phishing [15] |
70 | 7 |
(表1:2021年度上期頻出手口トップ10)※NEC独自調査
第1位~4位までは前回の2020年度下期の集計結果と同じになりました。
このことから、攻撃者が継続的に使用している攻撃手口であると考えられます。
第5位以下には、新たにランクインしたものとして
「Deobfuscate/Decode Files or Information(T1140)」や「Process Injection(T1055)」があります。
まずは、これら2つに関して注目したいと思います。
ファイルまたは情報の難読化解除/デコード
(Deobfuscate/Decode Files or Information(T1140))
上期中、毎週本テクニックが検出されています。
このテクニックは、言葉通り、ファイルや情報がデコード(復号)されることに着目します。
第2位の「Obfuscated Files or Information(T1027)」とも深く関連しています。「Obfuscated Files or Information」は、ファイルや情報が難読化されることに着目しています。
この2つのテクニックは組み合わされて使用されるケースがあります。
例えばマルウェアを送り込む時、検出を回避するために難読化を行い、難読化マルウェアを送り込んだ先でデコードし実行する、といったようなシナリオです。
このテクニックが付与された脅威情報には、攻撃者グループ「FIN7」によるJavaScriptバックドアの配信 [16]などがありました。
プロセスインジェクション(Process Injection(T1055))
プロセスインジェクションとは、プロセスにコードを挿入(別プロセスのアドレス空間で任意のコードを実行)します。プロセスインジェクションによる実行は、正当なプロセスの下で実行されるため、攻撃検出を回避する可能性があります。
プロセスインジェクションを付与した71件の内、サブテクニック(Sub-Technique)は「Process Injection: Dynamic-link Library Injection(T1055.001)」が17件、
「Process Injection: Process Hollowing(T1055.012)」が12件でした。
特定の手法に偏っているというよりは、様々な手法が幅広く使用されている印象です。
例えばこのテクニックが付与された脅威情報には、 攻撃者グループ「SparklingGoblin」が用いた新しいバックドア「SideWalk」[17]などがありました。
それでは次に、攻撃手口ランキング第1位「Command and Scripting Interpreter [6]」、第2位「Obfuscated Files or Information [7]」と、今回大きく順位が上昇したテクニック「Indicator Removal on Host [10]」について考察します。
コマンドとスクリプトインタプリタ(Command and Scripting Interpreter(T1059))
前回同様、第1位にランクインしました。
コマンドとスクリプトインタプリタでは、攻撃者は、コマンドおよびスクリプトインタプリタを悪用して、コマンド、スクリプト、またはバイナリを実行します。 例えば、macOSとLinuxディストリビューションに含まれるUnixシェルや、Windowsに含まれるPowerShell等を悪用します。
ID付与された159件の内、サブテクニックとして「Command and Scripting Interpreter: PowerShell(T1059.001)」が39件、
「Command and Scripting Interpreter: Windows Command Shell(T1059.003)」が34件、
「Command and Scripting Interpreter: JavaScript/JScript(T1059.007)」が18件と出現回数が多かったサブテクニックに関しても前回の傾向が継続しています。
このテクニックが付与された脅威情報には、攻撃者グループ「UNC215」に関する情報 [18]などがありました。
難読化されたファイルや情報(Obfuscated Files or Information(T1027))
難読化されたファイルや情報は、システム上または転送中のコンテンツを暗号化等による方法で難読化することにより、ファイルの検出・分析を困難にします。
こちらも前回同様、第2位にランクインしました。
サブテクニックでは「Obfuscated Files or Information: Software Packing(T1027.002)」が22件検出されていますが、
前回から引き続き、どのサブテクニックにも分類されていないものが多数を占めています。
今後も様々な脅威レポートから新しい手法が使われていないか、継続的な分析が有効と考えられます。
このテクニックが付与された脅威情報には、攻撃者グループ「APT41」が使用したローダー「StealthVector」[19]などがありました。
ホスト上の痕跡消去(Indicator Removal on Host(T1070))
ホスト上の痕跡消去は、ログファイルなど、ホストシステムで生成された情報を削除・変更します。
前回第10位でしたが、今回は第5位に上昇しています。
ID付与した件数は71件から85件に増加しました。
サブテクニックでは「Indicator Removal on Host: File Deletion(T1070.004)」が47件と約半数を占めています。
また、ログに関連するサブテクニック「Indicator Removal on Host: Clear Windows Event Logs(T1070.001)」は8件検出されています。
攻撃の痕跡の保全といった観点では、とかくログの保護に意識が集中してしまいがちですが、幅広くファイルの保全を実践していく必要性が伺えます。
このテクニックが付与された脅威情報には、ランサムウェア「Hive」[20]などがありました。
最後に
今回のブログでは、2021年度4月~9月の情報を基にしたMITRE ATT&CK 頻出手口 トップ10を紹介しました。
上位にランクインした手口に大きな変化はないものの、日々攻撃手口も変化していきますので、今後も継続的に脅威動向を分析していきたいと思います。
最後までお読みいただき、ありがとうございました。
参考情報
- [1]MITRE ATT&CK® 頻出手口 トップ10(2020年度下期)
https://jpn.nec.com/cybersecurity/blog/210402/index.html - [2]MITRE ATT&CK v9の注目更新ポイントをご紹介
https://jpn.nec.com/cybersecurity/blog/210528/index.html/ - [3]MITRE ATT&CKhttps://attack.mitre.org/
- [4]MITRE ATT&CK v9https://attack.mitre.org/versions/v9/
- [5]Updates - April 2021https://attack.mitre.org/resources/updates/updates-april-2021/
- [6]Command and Scripting Interpreterhttps://attack.mitre.org/techniques/T1059/
- [7]Obfuscated Files or Informationhttps://attack.mitre.org/techniques/T1027/
- [8]Masqueradinghttps://attack.mitre.org/techniques/T1036/
- [9]Ingress Tool Transferhttps://attack.mitre.org/techniques/T1105/
- [10]Indicator Removal on Hosthttps://attack.mitre.org/techniques/T1070/
- [11]Deobfuscate/Decode Files or Informationhttps://attack.mitre.org/techniques/T1140/
- [12]Application Layer Protocolhttps://attack.mitre.org/techniques/T1071/
- [13]Exfiltration Over C2 Channelhttps://attack.mitre.org/techniques/T1041/
- [14]Process Injectionhttps://attack.mitre.org/techniques/T1055/
- [15]
- [16]Cybercrime Group FIN7 Using Windows 11 Alpha-Themed Docs to Drop Javascript Backdoorhttps://www.anomali.com/blog/cybercrime-group-fin7-using-windows-11-alpha-themed-docs-to-drop-javascript-backdoor
- [17]The SideWalk may be as dangerous as the CROSSWALKhttps://www.welivesecurity.com/2021/08/24/sidewalk-may-be-as-dangerous-as-crosswalk/
- [18]UNC215: Spotlight on a Chinese Espionage Campaign in Israelhttps://www.mandiant.com/resources/blog/unc215-chinese-espionage-campaign-in-israel
- [19]
- [20]FBI Flash - Hive Ransomware IoCshttps://www.documentcloud.org/documents/21049431-fbi-flash-hive-ransomware-iocs
執筆者プロフィール
Two(トゥー)※ハンドルネーム
セキュリティ技術センター インテリジェンスチーム
入社以来、セキュリティソフトウェアの設計開発業務に従事。
2019 年より、セキュリティ技術センターに着任し、インテリジェンスチームの一員として脅威情報収集, 分析, 活用を推進中。
また、PSIRT として脆弱性ハンドリング業務にも従事。情報処理安全確保支援士 (RISS)を保持。
執筆者の他の記事を読む
アクセスランキング