クラウドストライクのFalcon OverWatch、プロアクティブな脅威ハンティングにより 新たなIceAppleポストエクスプロイトフレームワークを検知
クラウドネイティブのエンドポイント、クラウドワークロード、アイデンティティ、データ保護のリーダー、CrowdStrike(NASDAQ: CRWD)の日本法人であるクラウドストライク 株式会社(本社:東京都港区、以下クラウドストライク)は本日、FalconOverWatchが検知した新たなポストエクスプロイトフレームワーク「IceApple」に関する詳細情報をブログで紹介します。
CrowdStrikeのプロアクティブな脅威ハンティングチーム、Falcon OverWatch™が、IceAppleと呼ばれる.NETベースの高度なポストエクスプロイトフレームワークを検知しました。2021年後半のOverWatchによる最初の検知以来、様々な場所でこのフレームワークによる被害が見つかっており、不正侵入先はテクノロジー分野、学術・行政機関などに及んでいます。
昨年以降、新たなIceAppleモジュールが登場していることから、このフレームワークが引き続き活発に開発されていることがわかります。
IceAppleは現在までにMicrosoft Exchangeサーバーインスタンスでのデプロイが確認されていますが、あらゆるInternet Information Services(IIS)ウェブアプリケーションで実行することができます。そのため、すべてのウェブアプリケーションにパッチを適用し、使用している環境にIceAppleが侵入しないようにすることが非常に重要です。
IceAppleに関する詳細についてはOverWatchの調査報告書をダウンロードしてください(英語のみ)。IceAppleが検知された経緯、現在見つかっているすべてのモジュールの機能やモジュール間のインタラクション方法について詳しく解説しています。
長期的攻撃をもくろむIceApple
IceAppleはポストエクスプロイトフレームワークです。つまりアクセスを提供するのではなく、アクセス成功後のミッション達成を目的として使用されます。OverWatchの調査では18のモジュールが検知されており、ディスカバリ、クレデンシャルハーベスティング、ファイルやディレクトリの削除、データ流出といった機能が含まれています。OverWatchは、攻撃者が被害を与えた環境に繰り返し戻り、ポストエクスプロイト活動を行っていることを確認しました。
IceAppleはin-memory-onlyフレームワークを使用して、感染させたホスト上で痕跡をできるだけ残さず、フォレンジックによる検知を回避することに重点を置いています。これは情報収集という長期的な目標の実現によく見られるもので、国家的な標的型ミッションとも合致しています。検知された標的型侵害の傾向は中国と関わりのある攻撃者グループの国家的な情報収集要件と符合していますが、CrowdStrike Intelligenceは現時点でIceAppleを特定の攻撃者に結びつけていません。
IceAppleには検知を回避するための機能がいくつかあります。モジュールの詳細分析によると、IceAppleはIISソフトウェアの内部の仕組みに精通した攻撃者が開発した可能性があります。サードパーティの開発者による使用を意図していない非公開のフィールドを活用しているモジュールがあることも判明しました。
アセンブリーファイル名を書き換えるなど、攻撃した環境に紛れ込もうとする様子も見られました。一見すると、IISでロードするためにASPXソースファイルを.NETアセンブリーに変換する過程でIISの一時ファイルが生成されているように見えます。本来はファイル名がランダムに作成されるはずですが、そうなっていないことを突き止めるにはさらに調査する必要があります。そして、アセンブリーのロード方法はMicrosoft ExchangeやIISの通常の方法とは異なります。システム本来の動作方法と、攻撃者のシステムに対する攻撃方法に精通しているOverWatch脅威ハンターは、この種の疑わしい活動をすぐに識別することができるのです。
OverWatchによるIceAppleの検知方法
OverWatchは、攻撃者がポストエクスプロイトのための追加機能をロードするために、.NETアセンブリーを利用していないか定期的に確認しています。.NETアセンブリーのリフレクティブローディングはアセンブリーをプロセスメモリーで直接実行するもので、攻撃者にとっては身を隠しながら、ミッションを達成できる強力な方法です。そのためOverWatch脅威ハンターは.NETアセンブリーのリフレクティブローディングを検出する方法を積極的に開発してきました。
2021年後半にはFalconプラットフォームのトライアルを始めたばかりの顧客が使用していたMicrosoft Exchange OWAサーバー上で、開発中だったFalcon OverWatchの機能によって.NETアセンブリーのリフレクティブローディングを検知することができました。観察眼の鋭い脅威ハンターがアセンブリーファイル内の異常を察知し、被害に遭った顧客企業にすぐ連絡しました。その後OverWatchは顧客の協力を得てFalconセンサーを設定し、エンドポイント全体にリアクティブローディングされた.NETアセンブリーのコンテンツを抽出しました。その結果、OverWatchはIceAppleの機能を詳細に把握、調査することができました。
進化する脅威に対するアジャイル防御を提供するOverWatch
IceAppleは非常に高度なIISポストエクスプロイトフレームワークですが、決して珍しいものではありません。OverWatchはリフレクティブローディングされた様々なレベルの.NETアセンブリーを頻繁に検出しています。
CrowdStrike Falcon®プラットフォームは現在判明しているすべてのIceAppleモジュールのロードを検出する一方で、OverWatchは新たなIceAppleモジュールを積極的にハンティングしています。IceAppleのように検知しにくい新興ツールに対しては、脅威ハンティングが重要な防御策になります。CrowdStrikeの脅威ハンターは「正常な」エンタープライズ環境に関する豊富な経験、攻撃者の振る舞いに関する知識、最新の脅威インテリジェンスを活用して、新たな脅威をプロアクティブに回避します。これを基に脅威に関する開発やテストを行い、テクノロジーベースの防御を回避しようとする攻撃者の試みを突き止め、抑止します。OverWatchのシステマティックなワークフローによるIceAppleの詳細な分析は、ハンティングの継続的な改善、微調整にも役立ちます。
IceAppleの検知はこうした実験的ハンティングの成果で、最終的には被害に遭った複数の環境における侵入の試みを発見するのに役立ちました。
追加のリソース
- 2021年版脅威ハンティングレポートのブログ(英語のみ)およびレポートをご覧ください。
- Falcon OverWatchのプロアクティブなマネージド脅威ハンティングの詳細については、こちらをご覧ください。
- OverWatch Eliteが提供するカスタマイズされた脅威ハンティングの力については、こちらのブログ(英語のみ)をご覧ください。
- Falcon OverWatchが環境内の脅威をプロアクティブにハンティングする方法については、こちら(英語のみ)をご覧ください。
- 一時的な脅威ハンティングだけではいかに不十分であるかについては、こちらのブログ(英語のみ)をご覧ください。
- CrowdStrike Falcon®プラットフォームの詳細については、こちらをご覧ください。
