この投稿は米国時間 2020 年 12 月 21 日に、VMware blog に投稿されたものの翻訳に、日本独自の調査結果を追加しています。米国のブログ本文は以下のリンクからご覧いただけます。
SolarWinds の侵害 (https://www.solarwinds.com/ja/securityadvisory) を参考に、ゼロ トラスト アーキテクチャ が、このようなインパクトのある攻撃を抑制するための効果的なアプローチを、どのように実行できるのかをお伝えしたいと思います。
SolarWindsへの不正侵入
現在、アップデート パッケージである SolarWinds-Core-v2019.4.5220-Hotfix5.msp をダウンロードした、SolarWinds社製品を使用している各組織は、自組織がすでに不正侵入されているという前提で調査を開始することを推奨します。さらに、侵入された影響範囲を思慮すると、攻撃者は自組織内で更なる攻撃を自由に展開できる可能性があることにもご注意ください。
このアップデート パッケージは 2020 年 3 月 24 日に署名されていることから、この攻撃による被害者は、 2020 年 3 月上旬から 4 月上旬頃からすでに不正侵入されいた恐れがある、ということです。一度、攻撃者が SolarWinds 社のネットワーク監視ソフトウェア Orion のホストに不正侵入すると、Orion ソフトウェアによって監視されている他のホストへ水平方向に移動している可能性があります。この不正侵入に対応するためにとるべき具体的なアクションは、 DHS CISA社 から Emergency Directive 21-01 [1]と題して公表されています。
この脅威の解析はまだ進めているところですが、いくつかの普通では考えられない特徴があり、この特徴が検出するためのシグナルにできるかもしれないことを発見しました。
例えば、攻撃者は Cobalt Strike 社(標的型攻撃を模倣することができる商用製品 [2])の BEACON コンポーネントを構築するために、TEARDROPと呼ばれる、カスタマイズ化された In-Memory Dropper (分割した悪性ファイルなどをメモリに落として再構築する手法)を利用しているようです。
悪意ある攻撃者による興味深いテクニックは、被害者のインフラに実在するホスト名を、C&C サーバの名前に使うことです。このような手法は、被害者と同じ国の仮想プライベートサーバを利用することで、地理的位置情報に基づいたアノマリ検出を回避するために利用されます。
さらに、攻撃者は痕跡を隠すために、最初の侵入時とは異なるクレデンシャルを使って、水平方向に移動、さらにWindows 認証のトークンを強化することも可能です。[3]
最後に、マルウェアは、C&C サーバ名を取得する時に、不正侵入したホスト名をエンコードしたクエリを使用して、DGA(Domain Generation Algorithm)ベースのアルゴリズムを使うことで、各被害者固有の C&C サーバを構築できる可能性があります。
VMware NSX はこの脅威を検出・防御できるのか?
- NSX の Service-Defined Firewall によるマイクロセグメンテーションは、不正侵入されたSolarWinds 社製品を使っているサーバが、水平方向に展開することを防ぐ、効果的な保護メカニズムです。
- マイクロセグメンテーションとNSX Intelligence の自動化されたポリシー策定を組み合わせることによって、不必要なソフトウェアによる被害を減らすことが期待できます。また、組織内に存在する SolarWinds 社の Orion ソフトウェアを導入しているホストは、NSX Advanced Threat Prevention の機能で検出できます。
- NSX Advanced Threat Prevention によって提供されるマルウェア解析の機能は、Cobalt Strike の BEACON のように、SUNBURST バックドアを認識して検出することができます。(後述の「日本での調査」参照)
- また、NSX Advanced Threat Prevention は、Cobalt Strike の BEACON に関連する通信を検出するいくつかのシグネチャがあり、SUNBURST のインフラに関連する DNS 名(FQDNs)や IP アドレスは、NSX Advanced Threat Prevention のブロックリスト(拒否リスト)に登録されています。(これらのシグネチャは、日本時間 2020 年 12 月 22 日 現在、最終のテスト中で、ルールが適切に機能する、十分な確証が得られるまでオフィシャルに提供されないようになっています。今週中にリリース予定となっています)
- NSX の Network Traffic Analysis(NTA)コンポーネントは、これまでに観測されなかった異常なコネクションを検出する能力があります。例えば、不正侵入された SolarWinds のサーバと組織外にある C&C エンドポイントとの通信などの検出です。また、NSX の NTA コンポーネントは、機械学習の手法を利用して、異常な DNS アクティビティを検出します。これによって、今後の新しい攻撃に同様の攻撃パターンがある場合にも検出が容易になります。
日本での調査結果
- VirusTotal で該当する検体を確認したところ、最初の検体提出は 2020 年 12 月 14 日 午前 03 時 35 分で、同日の 04 時 36 分 45 秒までは悪性と判断していたセキュリティベンダーは一社も存在せず、それまでは、いわゆるゼロディのマルウェアだったことがわかります。
- 当該検体を入手し、 NSX Advanced Threat Prevention のサンドボックス機能( 2021 年上半期より提供予定)を用いて解析した結果、正しく SUNBURST のバックドアとして検出し悪性と判断しています。この時、VMwareとしての最初の検出は、2020 年 12 月 14 日 午前 02 時 00 分だったため、VMware NSX Advanced Threat Prevention のサンドボックス機能は、ゼロディであっても正しく悪性として検出し、アンチウイルスのラベルも正確に判断していることがわかります。
結論
SolarWinds社への攻撃を考察し、その詳細な影響範囲は現在解析中です。今後の更なる解析から、新たな詳細が明らかになると考えています。そして、このインシデントを調査する過程で、ゼロ トラスト アーキテクチャは、クリティカルなサプライチェーン攻撃による深刻な被害を抑制し、その対処に効果的なアプローチになりました。
VMware のゼロ トラスト アーキテクチャの一部としての、NSX Service-Defined Firewall と NSX Advanced Threat Prevention に加え、ホスト内の可視化と脅威の行動検出を組み合わせた VMware Carbon Black EDR は、この新たな脅威に対処するために必要な行動を決定するために、その脅威の正確な可視化と詳細情報を提供する、包括的でユニークなセキュリティ ソリューションを提供します。
このような重大なインシデントが発生した場合、サイバー攻撃の脅威から安全を確保するために、私たちは共に戦い、共に研究を行うセキュリティの専門従事者として、ひとつのチームとしてお客様と共に立ち向かいたいと考えています。私たちやこのコミュニティは引き続き、攻撃を監視し、更なる詳細調査を続けて、NSX (または他の VMware 製品)が新しい侵入方法や侵入経路、攻撃手段などをどのように特定し、どのように役立つのか、最新の情報を提供していきます。
Contributors
Giovanni Virna, Sr. Director NSBU Threat Intelligence Team
Chad Skipper, Global Security Technologist
Ken Hashimoto, Security, Senior Solution Engineer, Networking & Security
Bibliography
[1]
DHS CISA, “Emergency Directive 21-01: Mitigate SolarWinds Orion Code Compromise,” 13 December 2020.
https://cyber.dhs.gov/ed/21-01/
[2]
FireEye, “Highly Evasive Attacker Leverages SolarWinds Supply Chain to Compromise Multiple Global Victims With SUNBURST Backdoor,” 13 December 2020.
https://www.cobaltstrike.com/
[3]
Microsoft, “Customer Guidance on Recent Nation-State Cyber Attacks,” 13 December 2020.
https://msrc-blog.microsoft.com/2020/12/13/customer-guidance-on-recent-nation-state-cyber-attacks/