Swiss Army knife は多機能マルウェア:キルチェーンを支援しながら増加の傾向

Malware that can do anything and everything is on the rise

2023/02/14 HelpnetSecurity — セキュリティ・ソフトウェアによる検出を回避しながら、サイバー・キルチェーン全体で悪質な行為を行う多目的マルウェア Swiss Army knife の増加が、Picus Security の調査により判明した。この、同社による調査結果は、プロプライエタリ/オープンソースの脅威情報サービスや、セキュリティベンダー、マルウェア・サンドボックス、データベース、研究者などから収集した、55万以上の実世界のマルウェア・サンプルを分析して得られたものだ。

主な調査結果

Picus の研究者たちは、マルウェア挙動の観測や、抽出された悪意のアクションに関する、500万以上のデータを用いて、2022年にサイバー犯罪者が活用した、最も一般的な ATT&CK 10 手法を特定した。

最も一般的な手法から始まるリストには、以下のものが含まれている。

  • コマンドやスクリプトのインタプリタを使用した任意のコード実行
  • 侵入したシステムの OS やユーティリティから認証情報をダンプ
  • データの暗号化
  • 正規のプロセスへの悪意のコード注入 (DLL インジェクション/スレッド実行ハイジャック/プロセス・ホロリングなど) 。
  • コンピュータ・システム/ネットワークに関するデータの収集 (横方向の移動を促進するため) 
  • リモート・サービス (RDP/SSH/VNC など) を利用したアクセスおよび制御
  • Windows Management Instrumentation を悪用して感染させた、Windows ホストでの悪意のコマンドやペイロードの実行
  • スケジュールされたタスク/ジョブの悪用
  • アンチ仮想化およびアンチ・サンドボックスの機能
  • リモートホストとネットワークの検出

また、解析の結果、以下のことが明らかになった。

  • 平均的なマルウェアは、11種類の TTP (Tactics, Techniques, and Procedures) を活用している。マルウェアの 32% は 20以上の TTP を利用し、10% は 30以上の TTP を利用している。
  • Command and Scripting Interpreter は、最も一般的な ATT&CK 技術であり、マルウェアの約 33% が、この技術を使用している。また、Remote System Discovery/Remote Services が初めて Red Report に掲載されたことは、マルウェアが OS に組み込まれたツールやプロトコルを悪用して、検知を回避できることを示す証拠と言える。
  • 最も一般的な ATT&CK 手法の 10個のうち 4個が、企業ネットワーク内での横方向の移動を支援するために使用されている。
  • マルウェアの約 25% はデータの暗号化が可能であり、ランサムウェアの脅威が継続している。

最新のマルウェアの汎用性は、Picus Labs が分析した全サンプルの約 33% が、20以上の TTP を示すという事実により実証されている。マルウェアは、正規のソフトウェアを悪用し、横方向の動きを行い、ファイルを暗号化するものが増えている。その高度化の背景には、資金力のあるランサムウェア・シンジケートの豊富なリソースと、防御側が使用する挙動ベースの検知手法の進化があると考えられる。

多目的マルウェアの登場

Picus Labs の VP である Suleyman Ozarslan は、現代のマルウェアには様々な形態があるとして、下記のように語っている。

基本的な機能を実行するために設計された、初歩的なタイプのマルウェアもあれば、外科医のメスのように、一つの作業を非常に正確に実行するように設計されたものもある。現在、私たちは、何でもできるマルウェアを目にすることが多くなっている。Swiss Army knife マルウェアは、攻撃者が検知されずに、ネットワークを高速で移動し、重要なシステムにアクセスするための認証情報を取得し、データを暗号化することを可能にする。

ランサムウェアのオペレーターも、国家に支援された脅威アクターも、可能な限り迅速かつ効率的に目的を達成することを目的としている。横方向の動きが可能なマルウェアが増えたということは、あらゆる種類の敵が IT 環境の違いに適応し、報酬を得るために努力することを余儀なくされていることの表れだ。

巧妙化するマルウェアへの防御に直面したセキュリティ・チームは、そのアプローチも進化させ続けなければならない。一般的に使用されている攻撃手法に優先順位をつけ、セキュリティ対策の有効性を継続的に検証することで、企業は重要な資産を守るための準備を整えることができるようになる。また、最大の効果を発揮する分野に、注意とリソースを集中させることも重要である。

2023/01/30 の「サイバー犯罪組織の求人広告:開発者 61%/攻撃者 16%/設計者 10% という分布」に記されているように、サイバー犯罪組織では、優秀な人材に多額の報酬が支払われるようです。この Swiss Army knife の機能一覧を見ても、高度な技術力による裏付けがあると感じます。以下のリストは、最近のマルウェア関連の記事となります。どれも、かなり手強そうです。

2023/02/11:MagicWeb:ロシアの Nobelium が開発
2023/02/07:Mirai ベースの Medusa ボットネット
2023/01/30:Titan Stealer という情報スティーラー
2023/01/29:Gootkit は SEO ポイズニング・マルウェア
2023/01/25:Python に PY#RATION というマルウェア

%d bloggers like this: