アップデート版
FireEyeは2020年12月13日に、他の複数の組織も侵害された、SolarWinds Orionサプライチェーン攻撃に関連するセキュリティ侵害の詳細を追加情報として公開しました。段階によって異なるこれらの対策に関する情報は、FireEyeのこちらのページにまとめられています。
ゼットスケーラーが検知した内容
ゼットスケーラーはこれらの対策について詳細な検証を行い、現行のプロテクションが適用されていることを確認し、効果の向上を図るとともに、ゼットスケーラーのセキュリティプラットフォームにおける複数のレイヤーに適用されるよう措置を講じました。
高度な脅威保護
- Win32.Backdoor.SunBurst
- Win32.Backdoor.BEACON
マルウェア保護
- PS.Trojan.COSMICGALE
- Win64.Dropper.TearDrop
- Win32.Webshell.SuperNova
- Win64.Trojan.TearDrop
これらの脅威のシグネチャに関する詳細は、Zscaler Threat Library(英語)を参照してください。
高度クラウドサンドボックス
ゼットスケーラーは、Zscaler Cloud SandboxによってこれらのRed Teamツールにフラグが設定されることを確認しました。Zscaler Cloud Sandboxは、これらの流出したツールから開発される可能性のあるカスタム亜種のブロックにおいても、通常と同様に重要な役割を果たします。
Zscaler ThreatLabZチームはさらに、これらのRed Teamツールが関係する不正試行の監視を今後も継続し、新たなIOCが発見された場合は確実に対策を実施します。
影響
SolarWindsによると、2020年3月〜6月の間で、多くの大企業や官公庁を含む18,000の顧客が、バックドア型のOrionソフトウェアをダウンロードしたとされています。
ゼットスケーラーへの影響
ゼットスケーラーはSolarWindsソフトウェアを使用していますが、検証の結果、今回の脅威による影響は確認できませんでした。詳細はこちらでご確認いただけます。https://trust.zscaler.com/posts/6896
この問題への対策
SolarWinds Orionフレームワークを使用している環境では、こちらに掲載されている勧告に従って、実行中のソフトウェアのバージョンに脆弱性が存在するかどうかを確認し(2019.4 HF 5および2020.2でホットフィックスなし、または2020.2 HF 1)、最新バージョンにアップデートしてください。また、勧告に記載されている、それ以外の影響を受けるSolarWinds製品を使用しているかどうかも確認してください。
検知の方法:
- 1. SolarWindsサーバで以下を検索します。
- 「SolarWinds.Orion.Core.BusinessLayer.dll」という名前のファイル(以下のいずれかのハッシュに該当するもの)
- • ファイルの場所:「C:\WINDOWS\SysWOW64\netsetupsvc.dll」
- 2. YaraでFireEye SunBurstルールを使用してすべてのファイルをスキャンします。
- 3. 一致が見つかった場合、影響を受けた環境である可能性があります。インシデント対応ガイドラインに従い、以下の手順を実行します。
- システムを分離または切断するか、電源をオフにする
- 続いて、SolarWindsが使用しているすべての認証情報をリセットする
- 4. ログを検索して、*.avsvmcloud[...]com への接続、または上記のゼットスケーラー脅威名でフラグが設定されているアクティビティを探します。
上記に加えて、米国国土安全保障省(DHS)およびMicrosoftの追加推奨ガイドラインも参照してください。
背景
FireEyeは2020年12月8日、同社のデータが国家の支援するサイバー攻撃によって流出したことを公表しました。この発表の詳細については、こちらとこちらを参照してください。サイバー犯罪者は、この攻撃によりFireEyeが開発したRed Teamの複数のツールを不正取得しました。FireEyeはこの発表で、流出したRed Teamツールの悪用を検知するためのIOCとシグネチャも公開しています。この記事では、これらのIOCに対するゼットスケーラーの対応の詳細をお知らせします。
問題の詳細
今回の侵害で盗まれたRed Teamツールは、顧客のセキュリティをテストする目的で、FireEyeの社内で開発されたものです。これらのツールは、多くの既知のサイバー犯罪者の挙動を模倣した動作をとりますが、いかなるゼロデイエクスプロイトや未知の手法も含まれていません。FireEyeによると、これらのツールは他のRed Teamが使用している周知の文書化された方法を利用しており、攻撃者の全体的な能力がこれらのツールによって大幅に向上することはないとしています。これらのツールの多くは、レガシーVPN製品や複数のMicrosoftアプリケーションなどの、企業ネットワークで広く利用されている多数の製品に存在する既知のRCE(リモートコード実行)脆弱性を悪用します。CVEの全リストは、こちらを参照してください。
これらのツールが将来的に犯罪者に悪用される可能性があるかどうかにかかわらず、その使用を確実に検知し、潜在的な被害を最小限にすることが重要です。
この問題への対策
- これらのエクスプロイトからの保護を可能にするため、ユーザーの環境でZscaler Client Connectorが常に実行中であることを確認してください。
- これらのCVEの影響を受ける製品の最新セキュリティアップデートが必ずインストールされるようにしておくことを強く推奨します。
- セキュリティソフトウェアについても、常に最新アップデートがインストールされるようにしておくことが重要です。
- リモートデスクトップサービスへのアクセスについては、常に制限するか、使用していない場合は必ずオフにしておく必要があります。
- この問題への対応に限らず、未知の送信元からの添付ファイルやリンクを含む不審メールを開かないでください。
- Microsoft Officeアプリケーションでマクロを無効にします。必要不可欠な場合を除き、マクロを有効にしないでください。
- 業務と私用のどちらの電子メールアカウントでもMFA(多要素認証)を有効にすることで、認証情報を不正取得するほとんどの攻撃をブロックできます。
ゼットスケーラーの対応
ゼットスケーラーは、FireEyeによって公開された対策の詳細を利用し、リストに記載された脆弱性の大部分についてはすでに保護が可能であることを確認しましたが、対策が必要であると判断したものについては、ゼットスケーラーのセキュリティプラットフォームの複数のレイヤに、保護機能を強化して追加しました。既存の検知で発見された脅威の名前を以下に示します。
高度な脅威保護
- Win32.Exploit.CVE-2016-0167
- Win32.Exploit.CVE-2017-11774
- HTML.Exploit.CVE-2018-13379
- HTML.Exploit.CVE-2018-15961
- Win32.Exploit.CVE-2019-0604
- Win32.Exploit.CVE-2019-0708
- HTML.Exploit.CVE-2020-11510
- HTML.Exploit.CVE-2020-11580
- Linux.Exploit.CVE-2019-19781
- HTML.Exploit.CVE-2019-8394
- Win32.Exploit.CVE-2020-0688
- HTML.Exploit.CVE-2020-10189
- Win64.Exploit.CVE-2020-1472
- Win32.Exploit.CVE-2020-1472
- Win32.Backdoor.GoRAT
- VBS.Dropper.DNSExfiltration
- Win64.Backdoor.CobaltStrike
- Win32.Backdoor.BEACON
マルウェア保護
- Win32.Trojan.Heracles
- Win32.Trojan.LodKatz
- Win32.Trojan.Razy
- Win32.Trojan.Usru
- Win32.Downloader.CobaltStrike
脅威の名前の全リストは、こちらを参照してください。
これらの脅威のシグネチャに関する詳細は、Zscaler Threat Library(英語)を参照してください。
高度クラウドサンドボックス
ゼットスケーラーは、Zscaler Cloud SandboxによってこれらのRed Teamツールにフラグが設定されることを確認しました。Zscaler Cloud Sandboxは、これらの流出したツールから開発される可能性のあるカスタム亜種のブロックにおいても、通常と同様に重要な役割を果たします。
Zscaler ThreatLabZチームはさらに、これらのRed Teamツールが関係する不正試行の監視を今後も継続し、新たなIOCが発見された場合は確実に対策を実施します。
