LAPSUS$の攻撃手法についてのMicrosoft社ブログ要約
MicrosoftがLAPSUS$(DEV-0537)という攻撃者の攻撃手法 (Tactics, Techniques and Procedures) について長文ブログを公開したので要約してみます。(以下、呼称はLAPSUS$を使います)
同社自身も従業員1名のアカウントを侵害されたものの、アクセス権が限定的でリスクの上昇にはつながらなかったとのことです。
他にもNVIDIA、OktaなどもLAPSUS$の不正アクセス被害にあっているようです。
なおこの記事を書いている時点でLAPSUS$の首謀者の1人は英国オックスフォード近郊に住む16歳の少年の疑いがあるとの報道もあります。
初期アクセス
最初のユーザーアカウントを乗っ取る手段は以下のとおり。
- Redlineというパスワード窃取型マルウェアでパスワードとセッショントークンを取得する
- 地下掲示板で認証情報やセッショントークンを購入する
- 従業員を買収し (サプライヤーや取引先ふくむ) 認証や多要素認証にアクセスする
- 公開されているコードリポジトリにさらされている認証情報を探す
窃取した認証情報は、インターネットに公開された状態のVPN、RDP、仮想デスクトップ (Citrix、Azure Active Directory、Oktaなど) への不正アクセスに悪用される。
多要素認証の突破方法
- セッショントークンを流用する (リプレイ)
- 盗んだパスワードで多要素認証の承認要求プロンプトを何度も表示させ、本人がクリックするように仕向ける
- 個人アカウントへの不正アクセス。たとえば二要素認証やパスワード再設定に使われているメールアドレスやスマホの電話番号を盗み (SIMスワッピングなど) 、それを悪用してパスワードをリセット、本アカウントに侵入する
従業員の買収に成功した場合の手口
- 認証情報を提供させる
- 多要素認証の承認要求プロンプトを承諾させる
- 社内PCにAnyDeskなど遠隔操作ソフトをインストールさせる
初期アクセス成功後は、自分たちのシステムをVPN経由で被害組織に接続したり、Azure Active Directoryに登録、参加させるなどする。
偵察・特権昇格
- パッチ未適用の脆弱性を探す (JIRA、Gitlab、Confluenceなど)
- 社内のコードリポジトリやコラボレーションプラットフォームでさらされている認証情報やシークレットを探す (SharePoint、Teams、Slackなど)
- AD Explorerなどの公開ツールで全ユーザー、グループを列挙し、特権アカウントを探す
- DCSync、Mimikatzなどのツールで特権昇格する
- ドメイン管理者相当の特権が奪取できたら、ntdsutilコマンドでActive Directoryデータベースを抽出する
ソーシャルエンジニアリングの手法
特権昇格にはソーシャルエンジニアリングの手法も用いられる。
たとえば、事前にプロフィール写真などの情報を収集、英語のネイティブスピーカーに電話をさせ、ヘルプデスク担当をだまして特権アカウントのパスワードをリセットさせる。また、よくある秘密の質問、「生まれて最初に住んだ場所」や「母親の旧姓」などの回答を調べておく。
ヘルプデスクを外部委託している企業で、特権アカウントの管理も任せている場合にこの戦術 (tactics) が有効。
抽出、破壊、脅迫
- 外向けの通信にNordVPNを利用した専用システムを仮想サーバー上に準備する
- アクセス元から足がつかないように、攻撃対象の組織に近い場所のVPNアクセスポイントを使う
- 自分たちのシステムを相手組織のVPNに接続したり、Azure Active Directoryに登録しておく
- 自分たちのシステムに機密データをダウンロード、脅迫のネタにつかう。
- 相手のクラウド環境に仮想マシンを作成し、組織全体への攻撃をつづける足がかりにする
- 相手のクラウドテナント (AWS、Azureなど) の特権獲得に成功すると、全体管理者アカウントを作成する
- Office 365の場合、メール送受信ルール (トランスポートルール) を作成、自分たちのアカウントに転送設定する
- 他の全体管理者アカウントをすべて削除し、クラウド環境の管理者権限を独占する
- データ抽出後、相手の全システム、全リソースをオンプレミスも含めて(VMware vSphere/ESXiなど)削除する
- 組織のインシデント対応プロセスを開始させる
- インシデント対応が開始されると、組織内のコミュニケーションツール(Slack、Teams、電話会議など)に侵入する
- 組織のインシデント対応がどのようなフローになっているかを調べる
- 組織の心理状態や、侵入方法についての理解度を知り、脅迫の内容や方法を決める
- 情報公開をネタに脅迫する場合もあれば、脅迫せずにそのまま公開してしまう場合もある
以上、LAPSUS$(DEV-0537)の攻撃手法についてのMicrosoft社ブログの要約でした。