TOPセキュリティ > 信頼を悪用するサイバー攻撃、5つの方法(前)

セキュリティ

信頼を悪用するサイバー攻撃、5つの方法(前)

2021/06/08

Ax Sharma CSO

 企業のネットワークやシステムを守るための製品やソリューションは数多くあり、絶えず進化を続けている。だが、もちろん攻撃側も、新たな脅威を絶えず繰り出してくる。サイバーセキュリティは、攻撃側と防御側の果てしない戦いだ。

Credit: Pixabay / Gerd Altmann
Credit: Pixabay / Gerd Altmann

 最近は、例えばステガノグラフィなど、以前からある手法が進化して、新たな脅威を生み出している。画像などの一見無害なファイルの中に、悪質なペイロードなどのデータを隠蔽する手法だ。Twitterといえどもステガノグラフィと無縁ではない。セキュリティ研究者が最近指摘したように、最大3MバイトのZIPファイルを画像に埋め込んで、Twitterに投稿できることが判明した。

 筆者の調査によると、最近の攻撃では、難読化、ステガノグラフィ、マルウエアパッキングといった手法に加えて、広く信頼を得ている正規のサービスやプラットフォーム、プロトコル、ツールを悪用する形で不正を働く事例が多い。人間や機械がスルーしそうなトラフィックや挙動に、不正な処理を紛れ込ませ、攻撃を隠す手法だ。

 こうした手法で最近見られる主なものを5つ挙げる。

信頼されているプラットフォームの悪用

 この種の手法は、セキュリティプロフェッショナルが昨年から多く確認しており、今年も引き続き見られる。

 名の知れたサービスやツールを悪用した攻撃が、ここ数年は多い。ペネトレーションテスト関連のツールやサービス(Cobalt StrikeやNgrokなど)、オープンソースコード管理プラットフォーム(GitHubなど)、画像やテキストの共有サイト(ImgurやPastebinなど)を利用した攻撃だ。

 例えばNgrokは、エシカルハッカーがバグバウンティやペネトレーションテストなどの際にデータの収集や通信トンネルの確立に利用するのが正当な使い方だ。だが、攻撃者がNgrokを悪用する例も見られ、マルウエアをインストールしたり、正規の通信サービスを悪質なサーバーに接続させたりといった際に使われている。米SANS InstituteのXavier Mertens氏が昨年末に発見したマルウエアは、Ngrokを使ってバックドアを仕掛けるPythonのコードをBase64で難読化したものだった。

 攻撃者は、Ngrokのトンネル経由で、感染先のシステムにリモートから接続する。Ngrokは広く信頼されていることから、企業のファイアウォールやNATでの防御を回避できる可能性が高い。

 GitHubも、Octopus ScannerやGitpaste-12などのマルウエアのホスティングに使われた。また、GitHubとImgurを組み合わせて利用した巧妙な手口も見つかっている。GitHubに置いたシンプルなPowerShellスクリプトを使って、一見無害なImgurの画像からCobalt Strikeのペイロードを取り出すというものだ。Cobalt Strikeは、高度なサイバー攻撃をシミュレートできるペネトレーションテストツールとして広く知られているが、セキュリティソフトウエア製品の常として、攻撃者に悪用されることも多い。

 さらに、最近の開発で利用される自動化ツールも、攻撃に使われる場合がある。

 4月には、GitHub Actionsの自動処理を悪用した事例が明らかになった。多数のリポジトリを不正に利用して、GitHubのサーバーとリソースを仮想通貨のマイニングに使ったというものだった。

 このように、信頼を得ている正規のプラットフォームを悪用して、ファイアウォールやセキュリティ監視ツールを回避することに、攻撃者は価値を見いだしている。

↑ページ先頭へ