セキュリティ侵害例からみるDarktraceリアルタイム異常検知
ランサムウェア・内部不正・サプライチェーンリスクなどのセキュリティ侵害例からDarktraceの異常検知動作
ケーススタディ
マルウェア
- [New]Emotetの攻撃
修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)
ランサムウェア
内部不正・情報漏えい関連
サプライチェーンリスク関連
マルウェア
| Squietdangerの攻撃 | |
|---|---|
| 事象の概要 | 従業員がPC上で個人の(社外の)Webメールに届いた電子メールに添付されていたWordファイルを開いたところ、実はランサムウェア(Squirtdanger)が含まれたZIPファイルであり、ランサムウェアに感染してしまった。 |
| 既存セキュリティツールの反応 |
・複数のエンドポイントソリューションが導入済みだったが、実行可能ファイルの識別に失敗していた。 ・オープンソースの脅威インテリジェンス(脅威の防止や検知に利用できる情報の総称)ではこのマルウェアが数日前には特定されていたが、この時点ではまだセキュリティ各社によるルールやシグネチャが提供されていなかった。 |
| Darktraceの異常検知トリガー |
・当該PCから接続実績のほとんどない外部ドメインへの接続が行われ、かつ怪しいexeファイルのダウンロードが開始されたこと。 ・侵入成功後にネットワーク内の他のデバイスへアクセスするためのスキャンにともなう大量のログイン失敗の異常な内部イベントが複数検出されたこと。 |
| Darktraceの異常検知後のアクション | ・Antigena(※Activeモード)により、暗号化されたファイルのSMBファイル共有サーバへの書き込みを数秒で遮断した。 |
| 攻撃が継続されていた場合の被害想定 | ・社内システム全体への感染拡大や、機密情報流出の恐れがあった。 |
| Sedinokibiの攻撃 | |
|---|---|
| Sedinokibiとは | バックアップファイルの削除、ローカル共有ファイルの暗号化、機密データを引出すランサムウェア |
| 事象の概要 |
・ITチームの高い権限を持つ従業員の認証情報が盗まれ、攻撃者はその情報を用いてドメインコントローラに侵入された。 ・その後、データを複数のクラウドストレージ、SSHサーバにアップロードし、ファイル暗号化が実施された。 ・一連の攻撃は約3週間に渡って展開されていた。 |
| 既存セキュリティツールの反応 |
・PsExec/RDPなどの一般的なツールを用いることで検知を回避されていた。 ・コードの難読化と暗号化の手法を多用しておりシグネチャベースのアンチウィルスソリューションによる検知をすり抜けていた。 |
| Darktraceの異常検知トリガー |
・SMB経由でドメインコントローラにログインし、疑わしいファイルを書き込み、ルートディレクトリのバッチスクリプトとログファイルを削除、痕跡消去が行われたこと。 ・ドメインコントローラがまれな外部エンドポイントへ接続したこと。 ・SQLサーバのネットワークスキャン、管理者の認証情報を用いた通常とは異なる内部RDP接続が行われたこと。 ・複数のクラウドストレージポイントとSSHサーバーにデータアップロードが行われたこと。 |
| Mazeの攻撃 | |
|---|---|
| Mazeとは | 重要なファイルの暗号化と合わせてそのコピーを攻撃者に送信する「二重脅威攻撃」が特徴のランサムウェア |
| 事象の概要 | ・某ヘルスケア企業にてスピアフィッシングによりMazeランサムウェアに感染し、研究開発部門のサブネットから大量の機密データが未知のドメインにアップロードされた。 |
| Darktraceの異常検知トリガー |
・研究開発部門のサブネットにてネットワークスキャンが実施されたこと。 ・Adminレベルの認証情報の侵害、珍しいRDP接続が行われたこと。 ・大量のデータがアップロードされたこと。 |
| Darktraceにより期待できる効果 |
・普段と異なる挙動を検知することで、ファイル暗号化が実施される前の段階で検知 ・Darktrace Antigenaの自動対処により攻撃の進行を妨害し被害拡大を抑制 ・Cyber AI analystの活用により一連のアラート解析に係る時間の短縮 ・Darktrace Antigena Emailによりフィッシングメールを検知し、攻撃初期段階で検知 |
| LockBitの攻撃 | |
|---|---|
| LockBitとは | 内部偵察・水平移動・ファイルの暗号化が同時にに行われ、攻撃者が介在する手法より早く拡散が可能なランサムウェア |
| 事象の概要 |
・特権資格情報を攻撃者側に取得され、この資格情報を使用することで最初の感染から数時間以内にファイル拡散・暗号化を実施された。 ・300,000を超えるファイルが暗号化され、4台のサーバ15台のデスクトップが影響を受けた。 |
| Darktraceの異常検知トリガー |
①DCE/RPC(Distributed Computing Environment / Remote Procedure Calls)を介して複数の内部端末に対しWMIコマンド実行されたこと。 ②SMBを介して実行可能ファイルを複数の宛先の共有へ書込みを開始したこと。(①発生から3分以内に検知) ③異常なファイル拡張子が追加されたこと(暗号化開始から1秒後に検知) |
| Darktraceにより期待できる効果 |
・普段と異なる挙動を検知することで、ファイル暗号化が実施される前の段階で検知 ・Darktrace Antigenaの自動対処によりWMI操作/SMBドライブ書込みをブロックし被害拡大を抑制 ・Cyber AI analystにより検出した全てアラートに対して短期間で自動調査を行うため、サイバー攻撃への早期対応を支援 ・(侵入方法がフィッシング攻撃であった場合)Darktrace Antigena Emailによりフィッシングメールを検知し、攻撃初期段階で検知 |
| WastedLockerの攻撃 | |
|---|---|
| WastedLockerとは | 2020年5月に発見された。拡散が早く、侵入確立から約2時間後に水平移動を開始し、急な身代金要求を行うランサムウェア |
| 事象の概要 |
・従業員が偽のブラウザアップデートをダウンロード行ってしまい、最初の感染が発生した。 ・最初の侵入から11分後にはICMPping等によるスキャン[偵察]、既存の管理者資格情報を使用しドメインコントローラに対して認証を行いSMBに対する書き込みを開始した。[横方向の動き] ・数時間後の早朝、一時的な管理者アカウントを使用しSMB経由で別のドメインコントローラにに移動し、他の内部デバイスへの管理者接続・リモート接続に成功し.csprojファイル転送が行われた。 |
| Darktraceの異常検知トリガー |
・仮想デスクトップデバイスがユーザにとって異常(宛先の希少性、JA3の異常性、頻度分析の組合せ)と見なされた外部の宛先へのHTTP/HTTPS接続を開始したこと。 ・異常なほど多数の接続失敗が発生したこと。 ・DCE/RPCリクエスト、まれなサービスコSMB書き込みを検知したこと。 ・一時的な管理者アカウントを使用して仮想デスクトップからドメインコントローラへの接続したこと。 |
| Darktraceにより期待できる効果 |
・Cyber AI Analystにより検出した全てアラートに対して短期間で自動調査を行うため、サイバー攻撃への早期対応を支援 ・セキュリティチームが不在にしている時間など対応が手薄になるときもDarktrace Antigenaの自動対処で攻撃を妨害し被害拡大を防ぐ。(最初の異常な外部宛先接続検知:ポート443でC2トラフィックをブロック) |
内部不正・情報漏えい関連
| 内部関係者によるネットワークスキャン | |
|---|---|
| 事象の概要 | 内部関係者が悪意を持って重要データへアクセスし、データの流出や操作を行おうとした。 |
| Darktraceの異常検知トリガー |
①あるノートPCから数百もの内部IPアドレスに対してpingが行われ、その後にpingに応答のあった端末の名前が検索されていたこと。(=ネットワークスキャンを行っていた。) ②(①を行った数時間後に)ネットワークスキャンをしていた範囲のIPアドレスの他のPCに対し、ファイルの書き込みなどが行われていたこと。 |
| Darktraceの異常検知後のアクション |
①に対するアクション: ・Antigena(※Activeモード)が、当該ノートPCのグループに対して従来の挙動パターンから逸脱する行動を1時間禁止した。 ②に対するアクション: ・Antigena(※Activeモード)が、SMBファイル転送チャネルを使ってそのノートPCの全ての外部接続をブロックした。 (その後、セキュリティチームはそのノートPCがどの従業員のものかを調べ、その従業員が不正なスキャンツールを使ってネットワークの脆弱性を探っていたことを突き止めた。) |
| 攻撃が継続されていた場合の被害想定 | ・悪意のある内部関係者が管理者権限やネットワークの知識を持っていた場合、周囲に気づかれずに重要なデータを外部流出や操作することが可能であるため、ビジネスに大きな影響を及ぼす恐れがあった。 |
| 退職予定社員による顧客データの不正な持ち出し | |
|---|---|
| 事象の概要 | 退職予定の従業員(旧IT管理者)が、退職前に顧客DBから顧客連絡先やクレジットカード番号の情報をダウンロードし、社内公認のデータ転送サービス(サードパーティによるクラウドベースのサービス)を使って自宅サーバへ転送していた。 |
| 既存のセキュリティツールによる反応 | クラウドベースのデータ転送サービス自体では、この不正な操作(=自宅へのデータ転送)を検出することはできなかった。 |
| Darktraceの異常検知トリガー |
・退職予定の従業員が、IT管理者の端末から外部へデータ転送を(社内公認データ転送サービスを使ってではあるが)行っていたこと。 ・それがDarktraceが学習していたユーザや機器の通常の挙動(生活パターン)から逸脱していたこと。 (通常はIT管理者がクラウドを介して外部へデータを送信するようなことはなかったため、かなり特異なことだった。) |
| 攻撃が継続されていた場合の被害想定 | 従業員が自宅に転送していた情報を外部の第三者に販売することにより、情報が流出してしまう恐れがあった。 |
サプライチェーンリスク関連
| Office365へのゼロディ攻撃 | |
|---|---|
| 事象の概要 |
・従業員のOffice365のメールアカウントへ、同僚からをよそおった”なりすましメール”が送られてきた。 ・メールには請求書が添付されていたが、そこにはマルウェアのダウンロードリンクが偽装され含まれていた。 |
| 既存セキュリティツールの反応 |
・Microsoftのセキュリティでは検出できなかった。 ・VirusTotal(ファイルやWebサイトのマルウェア検査を行うWebサイト)に当該マルウェアが掲載されたのもその翌日のことだった。 |
| Darktraceの異常検知トリガー | ・当該リンクのドメインへの接続実績がほぼないことや、メール送受信者間の過去のやり取り実績がないことなど、いくつかの些細な異常動作があったこと。 |
| Darktraceの異常検知後のアクション | ・当該電子メールに要注意のフラグを立ててセキュリティチームの対応を支援した。 |
| フィッシング詐欺によるネットワークハイジャック | |
|---|---|
| 事象の概要 |
・内部ネットワークが広範囲なフィッシングメール攻撃を受け、従業員が悪意のあるコードを含む添付ファイルを開いてしまった。 ・乗っ取られたPCから、海外ドメインの数千アドレス宛に悪意のあるメールが送られた。メールは送付先の言語で書かれており、銀行口座の詳細をうまく聞き出せるような内容になっていた。 |
| Darktraceの異常検知トリガー | ・PCが乗っ取られた従業員やその乗っ取られたPCが、従来行っていた通信から逸脱した挙動をしていること。(送付先の国の言語でのメール送付など。) |
| Darktraceの異常検知後のアクション |
Antigena(※Activeモード)が数秒以内に乗っ取られたPCからの電子メールを送信できないようにした。 |
| 攻撃が継続されていた場合の被害想定 |
・フィッシングスパムメールにより、この企業のIPアドレスがブラックリストに登録されてしまい、メールでの連絡に支障の出る恐れがあった。 ・また、それがサプライチェーンに影響することで、企業としての信用や収益の低下につながる恐れもあった。 |
| 二要素認証の侵害によるMicrosoftアカウントの乗っ取り | |
|---|---|
| 事象の概要 |
・従業員がフィッシングメールの悪意あるリンクをクリックしたことにより最初の感染が発生したと思われる。 ・Microsoft365アカウントへログインし、アカウントに登録されていた電話番号を変更し認証テキストメッセージを攻撃者へ送信され、多要素認証をパスしログインに成功した後、メールにアクセスされてしまった。 |
| Darktraceの異常検知トリガー |
・Microsoft365へ普段接続する場所とは異なる国、普段接続する時間とは異なる時間にログインが発生したこと。 ・メールルールとクレジットに関連する内容が含まれる共有受信ボックスの変更が行われたこと。 |
| Darktraceにより期待できる効果 |
・二要素認証など他のセキュリティ方法が侵害された場合でも、最初のスピアフィッシングメールからアカウントの乗っ取りまで攻撃全体にわたって検知し攻撃の早期発見を支援。 |
| 攻撃が継続されていた場合の被害想定 |
・企業とその顧客に関する知的財産や機密性の高い財務データにアクセスされ、その情報を元に身代金要求されていた ・アカウント所有者になりすまし、新たなフィッシングメール作成 |
| サプライチェーンのアカウントなりすまし | |
|---|---|
| 事象の概要 |
・サプライチェーンでアカウントが乗っ取りが発生し、サプライチェーン全体にフィッシングメールを送信された。 ・本来のアカウント所有者からのメールが送られた直後に、攻撃者が同じアカウントを使用しフィッシングメールを送付するカモフラージュも行われていた。 ・フィッシングメールには悪意のあるペイロードを保管した正当なファイルストレージサイトへ誘導するリンクが記載されていた。 |
| 既存のセキュリティツールの反応 | 攻撃者がメールに記載したリンクのドメイン自体が正当であるため、従来のゲートウェイはレピュテーションチェックから検知できなかった。 |
| Darktraceの異常検知トリガー |
・アカウント所有者のメール送信元とログイン場所が通常と異なっていた。 |
| Darktraceにより期待できる効果 |
・Antigena Emailは、組織・受信者・送信者との過去のやり取りを機械学習しており、日常的にメールを送受信している信頼できる送信元に“なりすまして”送られてくるメールに対しても異常検知が可能 ・サイバー攻撃の可能性が高いメールに対して、Antigena Emailの自動対処(例;メッセージの保留、リンク削除?)により攻撃阻止、受信者保護が可能 |
