サイバー侵害の手口を分析：33% の証明書アクセスや 35% の Cobalt Strike 利用など

33% of attacks in the cloud leverage credential access

2022/11/30 HelpNetSecurity — Elastic Security Labs が発表した 2022 Elastic Global Threat Report は、サイバー・セキュリティ脅威の進化と、クラウド／エンドポイントに関連する攻撃の高度化について詳述するものだ。クラウド上の攻撃の 33 %は、クレデンシャル・アクセスを利用している。言い換えるならば、クラウド環境のセキュリティを、ユーザーが過大評価していることになる。その結果として、適切な設定や保護を行われないケースが多発している。

クラウド・セキュリティの最大のリスクは人為的なミス

クラウド・セキュリティに関する主な調査結果：

• イニシャル・アクセス試行の 58% において、従来からのブルートフォース試行と、パスワード・スプレーが併用されている。
• クラウド・セキュリティのテレメトリー結果の 57% 近くが AWS からのものであり、Google Cloud が22%、Azure が 21% で続いている。
• AWS：74% 以上のアラートが、クレデンシャル・アクセス／イニシャル・アクセス／永続化などの手口に関連しており、約57%がアプリケーション・アクセス・トークン窃取 (クラウド・クレデンシャル盗難の最も一般的な形態の１つ) に関連していた。
• Google Cloud：54% のアラートがサービス・アカウントの不正利用に関連しており、52% がアカウント操作に関連している。デフォルト・アカウントの認証情報が変更されていない場合おいて、アカウント侵害が依然として横行していることを示している。
• Microsoft Azure：96% 以上のアラートが認証イベントに関連しており、認証イベントの 57% が OAUTH2 トークン窃取を試みている。

セキュリティチームのための商用ツールが脅威アクターに利用される

Cobalt Strike のような市販の敵対者シミュレーション・ソフトウェアは、多くのチームの環境防衛に役立つ一方で、大量マルウェアをインプラントする悪意のツールとしても使用されている。Elastic Security Labs の調査によると、Cobalt Strike は、Window sエンドポイントで最も広く利用されている、悪意のバイナリ／ペイロードの 約 35% の検出数を占めている。それに続いて、AgentTesla が 25%、RedLineStealer が 10% という結果になっている。

主なマルウェアの調査結果：

• 全世界のマルウェア感染の 54% 以上が、Windows エンドポイントで検出され、39%以上が Linux エンドポイントで検出された。
• 全世界で確認されたマルウェアの 81% はトロイの木馬ベースであり、それに続くのがクリプトマイナーの 11% である。
• macOS で最大の脅威は、MacKeeper の 48% であり、XCSSet の 17% が２位である。

エンドポイント攻撃の多様化と防御回避

脅威アクターが用いるエンドポイント侵入手法が 50種類以上もあることは、エンドポイント・セキュリティが上手く機能していることの現れである。このテクノロジーの高度化により、侵入を成功させる脅威アクターにとっては、常に新しい攻撃手法を見つける必要が生じている。

全エンドポイント侵入手法において、MITRE ATT&CK が示す３つの手法が 66% を占めている。また、防御回避技術の 74% は、マスカレード (44%) とシステム・バイナリ・プロキシ実行 (30%) により構成されている。つまり、セキュリティ機能を回避するだけではなく、可視化のテクノロジーも回避し、脅威の滞留時間を長くしていることを示している。

実行技術の 59%は コマンドおよびネイティブ・スクリプトに関連し、40% はWindows Management Instrumentation の悪用に起因している。つまり、PowerShell／Windows Script Host／Windows Short Cut を悪用して、コマンド／スクリプト／バイナリを実行する攻撃者の多さを表している。

すてのクレデンシャル・アクセス手法の 77% は、一般的に知られているユーティリティを使用した、OS クレデンシャル・ダンプに起因している。つまり、オンプレミスのホスティングと、クラウドサービス・プロバイダーの間での、ハイブリッド・ベースの展開環境において、管理者の疑念を低減したい攻撃者は、有効なアカウントを使用する傾向があることを示している。

攻撃者にとって、クレデンシャル・アクセス技術は、長い期間にわたる優先事項だった。そして、検出回避テクノロジーへの投資は、セキュリティ技術の改善に対する反応であることを示している。攻撃者たちは、マルウェア実行テクノロジーに加えて、ユーザー組織内で検出されない状況を作り、高度なエンドポイント制御を回避しようとしている。

この記事のベースになっている、Elastic Security Labs の 2022 Elastic Global Threat Report ですが、Threat & Correlations として Malware Signature Trends／Endpoint Behavior Trends／Could Security Trends を分析しています。また、Threat Profiles として、BLISTER／PHOREAL／CUBA／QBOT の分析も行っています。お勧めのレポートです。