Advanced Analyticsユースケース:侵害された資格情報を見破る - Exabeam

Advanced Analyticsユースケース:侵害された資格情報を見破る

Published
September 01, 2021

Author
Keith Buswell

資格情報の盗難は根深い問題であり、組織はこの問題の効果的な対策をいまだに見いだせていません。クレデンシャルスタッフィング攻撃のニュースは毎週のように流れます。この攻撃では、攻撃者が盗んだ資格情報で組織の環境にログインし、水平方向に移動して特権アクセスを取得します。すべての活動の焦点はプライベートデータや価値の高いアセットにアクセスするという目的に置かれます。MITRE ATT&CKは攻撃者が用いる戦術、手法、技巧に関する情報をナレッジベースで提供しており、セキュリティチームは強力なセキュリティプロセスを構築するのに役立てることができます。Exabeamでは攻撃のMITREへのマッピングなどの分析を通じて組織がこうした活動を検知するために有効な支援を提供しています。機械学習を活用した当社の分析ソリューションを使って担当顧客のサポートに成功した筆者の事例を以下に紹介します。

最近筆者は、顧客の既存SIEMにExabeamの最新強化デプロイメントに従事していました。Exabeamを完全にデプロイする前に、既存のSIEMからのSyslogフィードをExabeam分析エンジンに使用して環境のモデリングを開始しました。その段階でExabeam Advanced Analyticsが要注意ユーザーのトリガーを発生しました。それ以降我々は、アカウントの切り替えとラテラルムーブメントを通じてそのユーザーのアカウントが侵害アカウントに変化していくのを目撃しました。発覚までの経緯を以下に記します。

5月7日木曜日 Exabeamがリスクスコア93点の要注意ユーザーのアラートをトリガー。


図1:通常と違う量のユーザー活動を最初に検知。

5月7日、22:20

これがそのユーザーにとってきわめて異常であることの明確な兆候がTrend Timelineに表示される。


図2:Trend Timelineでこの活動を見るとこのユーザーの正常活動と比べて急増が確認される。

動的KPIを使用すると、それ以前の日々におけるそのユーザーのどの活動にも通常これほど高水準のリスクスコアは生成されないこと、これほど多くのアカウントの使用やこれほど多くのアセットへのアクセスは見られないことを確認できます。

 
図3および4:過去数日にわたるこのユーザーの行動を振り返ると、発せられたアラートに匹敵するレベルのリスクは確認されません。

ユーザーを詳しく調べたところ、このユーザーが要注意になった大まかな理由はすぐ確認できましたが、さらに何が発生したのかを理解するためにTimelineビューをクリックしました。


図5:さらに詳しく見てみると、リスク要因が合計1,044スコアにまで達した要因を確認できます。

Timelineでは21:15にこのユーザーのシンガポールからのVPNingに対してExabeamがリスクスコア20点のフラグを立てたことが確認できます。この行動はこのユーザーにとっても組織の他のユーザーにとっても初めて観察されたものであったため、リスクスコアを20点追加するきっかけとなりました。今まで観測されたことがないISPからの接続と同時に、過去に関連付けられたことがないユーザーエージェント文字列からの接続もあったため、リスクスコアはさらに22点加算されました。

この段階で用いられたMITRE ATT&CK技巧:外部リモートサービス (T1133) と有効なアカウント (T1078)。


図6:ExabeamはシンガポールからのVPNingにより20点、該当ユーザーにとっても全組織の他のユーザーにとっても初めての行動であったことによりさらに20点、

新しいISPからの接続により22点のリスクスコアを加算し、フラグを立てました。

データモデルを調べるとこうした接続はWindowsマシンからTridentでなくMozillaを使用するのが通例であることが明確に確認されました。そのため、このリスクはタイムラインに適用されました。


図7:ユーザーはWindowsマシンからTridentでなくMozillaを使って接続するのが通常であるためこの活動にフラグが立てられます。

ユーザーのタイムラインでのリスクスコアは62点となりました。1時間後の22:15に、ユーザーは今までアクセスしたことのないアセットにアクセスし始めました。アクセスごとにリスクスコアが10点加算されていきます。22:15の2つのアセットへのアクセスによりリスクスコアは20点加算され、22:16の別のアクセスで要注意ユーザーの世界的基準値であるリスクスコア93点を超えました。この時点でこのユーザーの調査アラートが発せられました。

この段階でタイムラインに適用されるリスクの100%は、異常なログオンロケーションから通常接触しないか一切接触したことがないアセットにアクセスするという逸脱行動に基づくものでした。

5月8日、3:48

他のアセットへの攻撃を数百回試みた後で、ユーザーは最初のホストから切り替え、横方向に移動するための資格情報を遂に見つけました。Exabeamはこの情報をアカウント切り替え活動としてタイムラインに織り込み、当初使用されたユーザー名と切り替え先のユーザー名と移動先のホストを表示しました。

使用されたMITRE ATT&CK技巧:探索 (TA0007)、アカウント探索 (T1087)、ネットワーク共有探索 (T1135)、ラテラルムーブメント (TA0008)、リモートサービス:リモートデスクトッププロトコル (T1021.001)


図8:ユーザーは切り替え用の資格情報を見つけ、当初のホストを離れ侵入を拡大していきます。

不運なことにこの組織には、その時点では年中無休でセキュリティアラートを夜間に管理するためのSOCがなく、ユーザーはMimikatzからダンプされた233件の資格情報を介して合計487のアセットにアクセスしてから、当初の侵害ホストを離れ環境にある別のアセットへと移動していきました。そのアセットを通じてさらに60の資格情報がダンプされ、環境全体で使用が試行されました。

この組織はExabeam Entity Analyticsを使用していたため、ユーザーが侵入を拡大したアセットが翌朝03:04に要注意になったことも確認できます。ここでもアセットに対する行動の変化がトリガーの原因でした。

Mimikatzはアカウントのログインとパスワード情報をプレーンテキストで取得できる資格情報ダンパーです。MITRE ATT&CKフレームワークで説明される技巧で検知されます。例えば、アカウント操作 (T1098)、資格情報のダンプ (T1003)、不正ドメインコントローラ (T1207) といった技巧が挙げられます。


図9:侵害されたユーザーは組織全体を移動し続けます。

Exabeamが要注意アセットをトリガーした直後に、顧客のEDRツールのライトが点灯し、Mimikatzツールの通知も使用されました。これらアラートもAssets Timelineに織り込まれ、合計リスクスコアをさらに引き上げました。


図10:顧客のEDRツールには使用しているMimikatzツールの通知が表示されています。

Exabeam Timelinesとモデリングツールを使用すると、完全に行動に基づいて、要注意ユーザーとアセットをトリガーする一方で、各イベントを明確につなぎ合わせて、攻撃の進行中に起きたことの全貌を把握できます。

まとめると、Exabeam Advanced Analyticsが22:19に要注意ユーザーを検知します。侵害された資格情報を使った最初のアクセスは21:15に発生しているので、侵害を検知してから1時間をやや超えています。これはMITRE ATT&CKフレームワークの有効なアカウント (T1078) 技巧に通常タグ付けされます。この技巧には資格情報を取得した後で、別のアセットにさらに侵入を拡大する攻撃者の行動を伴います。

チームがEDRツールから最初のアラートを受信したのはMimikatzが実行された翌朝03:12でした。組織がセキュリティオーケストレーション、自動化、対応 (SOAR) ソリューション に単純にアラートを送信すれば保護されると考えていると、この攻撃の最も重要な部分を見過ごしてしまいます。EDRツールが検出するのはMimikatzに限られるため、アナリストは手動でログをクエリして、初回感染、ラテラルムーブメント、資格情報ダンプなどのこの攻撃の再現をする必要があります。MITRE ATT&CKフレームワークによると、ハッシュやクリアテキストパスワード形式の資格情報のダンプなどの資格情報へのアクセス手法で用いられる技巧があります (T1003)。攻撃者は内部システムへの不正アクセス権を取得したら、リモートサービスをエクスプロイト (T1210) できるようになります。

Advanced Analyticsのインストールはカスタマイズされておらず、全チェーンをサポートしていたのは顧客の既存SIEMからAdvanced Analyticsに直接送信されるSyslogフィードだけでした。筆者の経験上、旧式SIEMが関連コンテンツを作成するには数日から数か月かかることが多く、攻撃の予測方法に関するルールを記述または作成していない場合はもっと長い時間がかかります。

ソリューションがまだカスタマイズさえされていなかったことから、顧客は攻撃の詳細な量を確認できただけでも満足しました。ただ、最も注目すべきなのは、環境に関する知識をほとんど持ち合わせていない顧客がログを読みながら起きたことを正確に把握できたという事実かもしれません。シニア未満のアナリストでもこのソフトウェアを使用して結果を直ちに得ることができたことに対して顧客から感謝の言葉が寄せられました。顧客は全調査を実行するうえで、クエリを記述したり未加工ログを組み合わせたりすることなく、最も重要な質問の一部への回答を試みることができました。

この記事が読者の皆様のお役に立つことを願っています。Exabeamのサポートについて詳しくお知りになりたい場合は、デモのスケジュールを組むことができます。

Recent SIEMUEBA Articles



Recent Information Security Articles

Exabeam、大規模なセキュリティニーズ対応のためクラウド配信のFusion SIEMとFusion XDRを発売

Read More

Advanced Analyticsユースケース:侵害された資格情報を見破る

Read More

成果目標を基盤とするユースケース対応:ラテラルムーブメントの解決

Read More

データサイエンスで内部の脅威に対抗

Read More

UEBAがSolarWindsの侵害事例を検知した方法

Read More

内部脅威の例:3つの著名事例と4つの予防策

Read More