「Exchange Server」狙う攻撃、侵害後の活動などマイクロソフトが分析

今回は「「Exchange Server」狙う攻撃、侵害後の活動などマイクロソフトが分析」についてご紹介します。

関連ワード （セキュリティ等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　オンプレミス環境にある多くの「Microsoft Exchange Server」でセキュリティパッチの適用が進む中、Microsoftは米国時間3月25日、過去に攻撃の被害を受けたシステムが今なお複数の脅威にさらされているとの調査結果を発表し、警鐘を鳴らした。

　同社は過去に攻撃の被害を受けたExchangeサーバーに対する二次攻撃の可能性、特にウェブシェルスクリプトのインストールによるサーバーへの永続的なアクセス手段の獲得や、最初の攻撃での認証情報の窃取について警告した。

　Microsoftは2日、Exchange Serverに複数の脆弱性が見つかったことから、4つのゼロデイの脆弱性などに対する緊急セキュリティ更新プログラムをリリースした。また、脆弱性は国家の関与が疑われる中国のAPT（高度標的型攻撃）グループのHafniumに悪用されていると警告した。

　Microsoftは先週、深刻な脆弱性を抱えるExchange Serverのうち、これまでに92％がパッチまたは緩和策を適用したとしていた。しかしサイバーセキュリティ企業のF-Secureは、すでに「何万台もの」サーバーが被害を受けていると指摘している。

　Microsoftはブログの中で、「システムにパッチを適用すれば、必ずしも攻撃者のアクセスが除去されるわけではない」とし、あらためて注意を促している。

　「Microsoft 365 Defender」脅威インテリジェンスチームによると、「被害に遭ったシステムの多くは、人手によるランサムウェア攻撃や、データの流出といった二次攻撃をまだ経験していないことから、攻撃者はアクセス手段を確立し、後日の攻撃に備えてそれを維持している可能性があると考えられる」という。

　Microsoftは既に被害を受けたシステムの管理者に対して、最小権限の原則を適用して、ネットワーク内での水平移動を制限するよう強く推奨している。

　最小権限の原則を適用することで、Exchangeサーバーのサービスや、バックアップのようなスケジュール化されたタスクを高い権限のアカウントとして設定するという一般的なプラクティスへの取り組みが支援される。

　Microsoftは「サービスアカウントの認証情報は頻繁に変更されることがない。このため、ウイルス対策ソフトウェアがウェブシェルに対する初期のアクセスを検出し、その道を封じたとしても、該当アカウントが後の特権昇格攻撃に使用できるという点で、攻撃者に大きなアドバンテージが与えられる恐れがある」と説明している。

　同社によると、例えば「DoejoCrypt」（別名「DearCry」）というランサムウェアは、ウェブシェルを用いて「C:WindowsTempxx.bat」という名称のバッチファイルを作成するという。このファイルはDoejoCryptの被害に遭ったシステムすべてで見つかっており、感染の検出、除去後でも攻撃者がアクセスを取り戻すための手段を提供できるものとなっている。

　Microsoftによると、「このバッチファイルは『セキュリティアカウントマネージャー（SAM）』データベースと、『システム』および『セキュリティ』関連のレジストリーのバックアップを実行することで、攻撃者が同システム上のローカルユーザーのパスワードを入手できるようにするとともに、レジストリー内で各サービスや、スケジューリングされているタスクのパスワードが格納されている、機密度の高い『LSA Secrets』というさらに重要な情報に後々アクセスできるようにする」という。

　被害者が身代金を要求されていないという場合であっても、攻撃者は最初の攻撃で作成したxx.batファイルを用いることで、このウェブシェルを経由してネットワーク内に侵入できるようになる。またこのウェブシェルは、ランサムウェアのペイロードをダウンロードし、ファイルを暗号化するのに先立ち、「Cobalt Strike」というペネトレーションテスト用のキットもダウンロードする。

　Exchangeサーバーは、仮想通貨（暗号資産）の採掘を目的とした犯罪者からも狙われている。「Lemon Duck」という仮想通貨マイニングボットネットが、脆弱性を抱えたExchangeサーバーを狙う事例も確認されている。興味深いことに、Lemon Duckは、Exchangeサーバーからxx.batファイルとウェブシェルを除去し、Exchangeサーバーを独占して使用しようとするという。Microsoftは、これが仮想通貨をマイニングするだけでなく、他のマルウェアをインストールするために利用されていることも分かったとしている。

　Microsoftは、ネットワークディフェンダーがこれらの脅威の存在や認証情報を盗み出す行為の兆候を探す上で利用できる多数のセキュリティ侵害インジケーター（IoC）を公開している。

警察庁 サイバー犯罪対策

 · 平成29年度情報セキュリティ対策DVDを掲載しました H30.2.6 不正アクセス行為等の実態調査及びアクセス制御機能に関する技術の研究開発の状況等に関する調査結果について H29.12.25 ビジネスメール詐欺に関する注意喚起サイトを公開

銀行.info - 間違いだらけの銀行選び

ユーザー参加型の銀行比較・ランキングサイト。インターネットバンキング・振込手数料・ATM手数料・円定期預金・外貨預金・投資信託・住宅ローン・FX・カードローン・セキュリティ対策などから、各銀行・ネットバンクの比較・格付け・ランキングを行います。