Japan
サイト内の現在位置
MITRE ATT&CK v10のアップデートについて
NECセキュリティブログ2021年11月12日
はじめに
カテゴリ | ドメイン | v8 | v9 | v10 |
---|---|---|---|---|
Tactics | Enterprise | 14 | 14 | 14 |
Mobile | 14 | 14 | 14 | |
Techniques | Enterprise (Sub-Techniques) |
178 (352) |
185 (367) |
188 (379) |
Mobile | 86 | 89 | 92 | |
Data Sources | 38 | |||
Mitigations | Enterprise | 42 | 42 | 43 |
Mobile | 13 | 13 | 13 | |
Groups | 110 | 122 | 129 | |
Software | 518 | 585 | 638 |
今回の記事では、新たに追加されたテクニックをいくつか見ていきます。また、v10へのアップデートに関連するセキュリティ技術センターの活動について紹介します。
ATT&CK v10で新たに追加されたテクニック
ATT&CK v10では、以下に示す15個(重複を含まず)のテクニック、またはサブテクニックが新たに追加されました。戦術で分類すると、Persistence(永続化)が2件、Privilege Escalation(権限昇格)が1件、Defense Evasion(防御策の回避)が9件、Discovery(発見)が3件、Collection(収集)が1件となっています(T1547.015は、PersistenceとPrivilege Escalationの両方に属します)。
- Persistence(永続化)
- T1547.015 - Boot or Logon Autostart Execution: Login Items
- T1505.004 - Server Software Component: IIS Components
- Privilege Escalation(権限昇格)
- T1547.015 - Boot or Logon Autostart Execution: Login Items
- Defense Evasion(防御策の回避)
- T1564.008 - Hide Artifacts: Email Hiding Rules
- T1564.009 - Hide Artifacts: Resource Forking
- T1562.010 - Impair Defenses: Downgrade Attack
- T1562.009 - Impair Defenses: Safe Mode Boot
- T1036.007 - Masquerading: Double File Extension
- T1027.006 - Obfuscated Files or Information: HTML Smuggling
- T1620 - Reflective Code Loading
- T1218.014 - Signed Binary Proxy Execution: MMC
- T1218.013 - Signed Binary Proxy Execution: Mavinject
- Discovery(発見)
- T1619 - Cloud Storage Object Discovery
- T1615 - Group Policy Discovery
- T1614.001 - System Location Discovery: System Language Discovery
- Collection(収集)
このうちのいくつかをピックアップして、見てみましょう。
T1562.010 - Impair Defenses: Downgrade Attack
T1562.010は、Defense Evasion(防御策の回避)の戦術に属するテクニックであるImpair Defenses(防御策の妨害)のサブテクニックで、システム機能を脆弱性のあるバージョンにダウングレードして使用するというものです。例として、PowerShellに対するダウングレード攻撃が挙げられています。PowerShellは攻撃者がよく利用する正規ツールの一つですので、私用のPCでは使わない場合に無効化するなどの対策を検討するのがよさそうです。
T1562.009 - Impair Defenses: Safe Mode Boot
T1562.009もImpair Defenses(防御策の妨害)のサブテクニックで、Windowsのセーフモードを悪用するというものです。セーフモードでは、必要最小限のドライバやサービスのみを使用してWindowsを起動します。そのため、Windowsをセーフモードで起動するとEDR(Endpoint Detection and Response)やサードパーティのセキュリティ対策ソフトが起動しない可能性があります。攻撃者はセーフモードを悪用することで、エンドポイントの防御策を無効化できます。このテクニックは、REvilランサムウェアが使用した例が挙げられています[3]。その他にも、Snatchランサムウェア[4]やMedusaLockerランサムウェア[5]がこのテクニックを使用したことが確認されています。
T1619 - Cloud Storage Object Discovery
T1619はDiscovery(発見)の戦術に属するテクニックで、攻撃者がクラウドストレージ内のオブジェクト(ファイル)を列挙するというものです。目的の情報や、後続の攻撃で必要となる情報をクラウドストレージ上で探す際に使用されます。Mitigationsにも書かれている通り、クラウドストレージ内のオブジェクトに適切なアクセス権を付与するなどの対策が有効になります。
Procedure Examples (テクニックの具体的な使用方法)は本記事の執筆時点で挙げられていませんが、クラウドの設定ミスによる情報漏えいや、設定ミスを狙った攻撃が増加していることが話題となっており、注目すべきテクニックの一つであるといえるでしょう。業務やプライベートでクラウドストレージを利用する機会は多いと思いますので、皆さんもアクセス権などの設定には十分気をけるようにしてください。
T1213.003 - Data from Information Repositories: Code Repositories
T1213.003はCollection(収集)の戦術に属するテクニックで、攻撃者がコードリポジトリから重要なデータを収集するというものです。ソフトウェアの開発などでは、GitHubやGitLab、SourceForge、BitBucketなどを使用してソースコードを内部で共有することはよくあると思います。攻撃者が標的組織の内部ネットワークに侵入後、これらのリポジトリにアクセスしてソースコードやハードコードされた認証情報などを窃取する際に使用されます。このテクニックは、ロシアの攻撃者グループであるAPT29が使用した例が挙げられています[6]。
また、GitHubの公開リポジトリにソースコードをアップロードしてしまい、流出する事例を見かけることもあります。企業や個人でこのようなサービスを利用する際は、公開範囲をきちんと確認することが重要です。
ATT&CK v10のアップデートに関連するNECの活動
私の所属するセキュリティ技術センターのインテリジェンスチームでは、国内外で公開されたオープンソースの脅威レポートを収集し、それぞれのレポートに対して独自にATT&CKテクニックのマッピングを行っています(マッピングの方法については過去のブログ記事[7]も参考にしてください)。これにより、それぞれの脅威レポートに関連するテクニックIDのデータを蓄積することができます。なお、マッピングにより得られたデータは半期ごとに集計し、頻出攻撃手口と題して本ブログにて公開しています[8, 9]。今後も引き続き公開していく予定ですので、都度ご確認いただければと思います。
脅威レポートを分析していると、新しく発見された攻撃者グループやソフトウェアに関するレポートや、新たな攻撃手法に関する記述を含むレポートに遭遇することがよくあります。当然ですが、これらの新たな情報はその時点でのATT&CKには含まれていません。そこで、インテリジェンスチームでは、NEC Corporation Indiaのメンバーと協力してこれらの情報をまとめてMITRE ATT&CKへ提供する活動も行っています。これまでに提供した脅威情報のうち1件がATT&CK v9で、8件がATT&CK v10で採用されました。以下で簡単に紹介します。
- ATT&CK v9で採用されたテクニック(1件)
- T1614 – System Location Discovery
攻撃者が、被害者のシステム上でタイムゾーンやキーボードレイアウト、言語設定などを確認し、システムがある地理的情報を推測するテクニックです。
- T1614 – System Location Discovery
- ATT&CK v10で採用されたグループとソフトウェア(8件)
- S0638 – Babuk
2021年に新たに確認されたRansomware-as-as-Service (RaaS)です。 - G0136 - Indigo Zebra
2014年頃から活動している、中国に関連するとみられるサイバースパイグループです。 - S0651 - BoxCaon
IndigoZebraが使用したWindowsのマルウェアです。C2通信にDropBoxを使用するなどの特徴があります。 - S0653 - xCaon
IndigoZebraが使用するマルウェアで、BoxCaonの亜種です。こちらはC2通信にHTTPを使用します。 - G0137 - Ferocious Kitten
2015年頃から活動している、イランを拠点とするとみられる攻撃者グループです。 - S0652 - MarkiRAT
Ferocious Kittenが使用するリモートアクセス型トロイの木馬(RAT)です。 - 残りの2件は、次回のマイナーアップデートで反映される予定です。
- S0638 – Babuk
今後も新たな脅威情報の提供を引き続き行い、ATT&CKの発展に貢献していければと考えています。情報提供は誰でも可能だと思いますので、この記事を読んでいる皆さんも一度挑戦してみてはいかがでしょうか。なお、必要な情報や情報提供の方法などについては、MITRE ATT&CKのContributeページ[10]でご確認いただけます。
おわりに
今回は、ATT&CK v10へのアップデートをテーマとして取り上げてみました。今回のアップデートでは、NECが情報提供したものを含むいくつかのテクニックやグループ、ソフトウェアが追加されました。このような新しい脅威にも十分注意を払い、必要に応じてしっかりと対策を実施することが重要です。
インテリジェンスチームでは、今後もATT&CKの活用をさらに進めていこうと思います。また、引き続きATT&CKへ貢献できるよう、日々の情報収集や分析に励みます。
最後までお読みいただき、ありがとうございました。
参考文献
- [1]Introducing ATT&CK v10: More Objects, Parity, and Features
https://medium.com/mitre-attack/introducing-attack-v10-7743870b37e3 - [2]Updates - October 2021
https://attack.mitre.org/resources/updates/updates-october-2021/ - [3]REvil ransomware has a new ‘Windows Safe Mode’ encryption mode
https://www.bleepingcomputer.com/news/security/revil-ransomware-has-a-new-windows-safe-mode-encryption-mode/ - [4]セーフモードで再起動後にデータを暗号化するランサムウェア「Snatch」
https://nakedsecurity.sophos.com/ja/2019/12/10/snatch-ransomware-pwns-security-using-sneaky-safe-mode-reboot/ - [5]サイバーリーズン vs. MedusaLocker ランサムウェア
https://www.cybereason.co.jp/blog/ransomware/5546/ - [6]Microsoft Internal Solorigate Investigation Update
https://msrc-blog.microsoft.com/2020/12/31/microsoft-internal-solorigate-investigation-update/ - [7]Best Practices for MITRE ATT&CK® Mappingの紹介
https://jpn.nec.com/cybersecurity/blog/210702/index.html - [8]MITRE ATT&CK® 頻出手口 トップ10(2020年度下期)
https://jpn.nec.com/cybersecurity/blog/210402/index.html - [9]MITRE ATT&CK 頻出手口 トップ10 Vol.2(2021年10月版)
https://jpn.nec.com/cybersecurity/blog/211015/index.html - [10]Contribute | MITRE ATT&CK®
https://attack.mitre.org/resources/engage-with-attack/contribute/
執筆者プロフィール
長濱 拓季(ながはま ひろき)
セキュリティ技術センター インテリジェンスチーム
インテリジェンスチームで脅威情報の収集・発信・分析やデータ分析業務を担当
GIAC (GOSI)を保持
執筆者の他の記事を読む
アクセスランキング