マルウェア「Sunburst」がユニークな理由とそこから学んだこと
トロイの木馬「SunBurst」は、2020年12月8日に初めて報告されて以来、話題になっています。Sunburst マルウェアは、戦略的で高度に発達した悪意のあるロジックと、大企業ををターゲットにしているという点で注目されました。
2015年にカスペルスキーへの侵入に成功したDuqu 2.0という国家的攻撃を彷彿させる Sunburst 攻撃の高度さは、綿密な研究開発を行うだけの十分な資金力を持った国家グループであることを示しています。このことは、バックドアをホストするための主要ターゲットとして Orion を特定したことや、2020 年の数ヶ月間、検出を回避することに成功した他の多重回避技術を見ても明らかです。
不正アクセスを受けた SolorWinds の製品である Orion は、Fortune 500 企業や連邦政府機関を含む約 33,000 の公共部門および民間部門の顧客に利用されていました。そのため顧客の何百万ものデータが漏洩し、この出来事は広く社会的関心を集めることになりました。
この記事では、攻撃の流れをより詳細に説明するとともに、SunBurst との戦いにおける新たな展開についても紹介します。
攻撃の流れ
攻撃者は、Orion のソフトウェアアップデートを構築するための SolarWinds のソフトウェア開発フレームワーク/インフラストラクチャに静かに侵害し、アップデートパッケージ、特に「SolarWinds.Orion.Core.BusinessLayer.dll」というコンポーネントにパッチを当てることができました。
他のアップデートと同様に、感染した Orion Windows Installer パッチは、SolarWind 社の公式ウェブサイトでユーザーがダウンロードできるようになっていました。
感染したパッチインストーラーが実行されると、パッチが意図する正当な機能が実行されますが、攻撃者のコードも実行されました。感染した DLL が呼び出されると、そこに脅威のアクターによって挿入された悪意のあるコードによって、正規のタスクが実行されるたびに SunBurst のバックドアが実行されるようになっていました。
短期的には、バックドアは 12 日から 14 日間、休眠状態にありました。反復タスクがバックドアを実行するたびに、指定された期間が経過したかどうかを確認し、経過していなければ悪意のある部分を実行しませんでした。
一定期間が経過すると、バックドア関連のコードは、実行中のプロセスのリストを、セキュリティ分析やウイルス対策に関連するプロセス名、ドライバーパス、サービスなどのコード化されたブラックリストと比較するなど、一連のテストを行いました。ブラックリストに登録されたプロセスが実行されていた場合、そのプロセスを無効にして SunBurst バックドアマルウェアを再起動させようとします。
システムが実行前のテストにすべて合格すると、マルウェアはその実行環境と居住するドメインに関する情報を収集し、この情報をコマンド&コントロール(C&C)サーバーに送信します。このデータは、感染したマシンのドメイン名をエンコードしたものが含まれているため、ユーザーごとに固有の URL に送信されました。この URL は、avsvmcloud[.]com のサブドメインでした。SunBurst は、要求されたドメインに対して返された IP もチェックし、それが特定の範囲内であれば、マルウェアは自らを終了させ、それ以上の実行が行われないようにしました。
C&C サーバーを利用することで、攻撃者はエンドユーザー向けのマルウェアに、被害者のマシンで実行するコマンドを返信することができました。あるドメインが特に興味深いものであると判断した場合、バックドアを使って別の C&C サーバーに接続するように命令し、そこからさらにコマンドを実行したり、より多くのマルウェアサンプルをダウンロードしたりすることができました。
回避メカニズム
攻撃者は検知を逃れるために様々な工夫を凝らすため、彼らの活動が発見されるまでに数ヶ月を要しました。このマルウェアは、12日から14日の間休眠状態となり、特定のセキュリティプロセスが実行されている間は悪意のある活動を行わないようにしたほか、C&C インフラストラクチャのホスト名を被害者の環境にある正当なホスト名と一致させました。これにより、マルウェアはより効果的に環境に溶け込むことができ、異なるホスト名を使用した場合にセキュリティアナリストが警告を発するような疑惑を回避することができました。さらに、SunBusrt のネットワーク活動は、Orion Improvement Program(OIP)プロトコルから来ているように見せかけ、マルウェアは偵察情報を正規のプラグイン設定ファイル内に保存していたため、SolarWinds の正規の活動に紛れ込むことができました。また、攻撃者は被害者と同じ国の IP アドレスを使用し、国外の IP アドレスは疑われる可能性があるため、仮想プライベートサーバを使用していました。
Microsoft vs. SunBurst
この攻撃が最初に報告されて以来、マイクロソフト社はこのマルウェアに対して実質的な対策を講じ、無力化するための重要な役割を果たしてきました。まず、同社は侵害された DLL の署名に使用されていた電子証明書を削除しました。これにより、Windows システムはこの DLL を信用しなくなり、一部の実行が失敗することが意図されています。次に、Windows Defender がこのマルウェアを検出し、感染したマシンにその存在を警告するように設定しました。
12月15日、マイクロソフトとそのパートナーは、攻撃者に対して法的措置を取り、マルウェアの C&C サーバーとして使用されていたドメイン「avsvmcloud[.]com」を閉鎖しました。このドメインは現在、マイクロソフトが管理する IP にリダイレクトされており、マイクロソフトとそのパートナーは、この IP に接続があるかどうかを監視し、侵害された組織に侵害について通知しています。
前述のように、エンドユーザーバックドアは、C&C ドメインのために返された IP をチェックし、それが一定の範囲内にある場合は、「キルスイッチ」が作動し、マルウェアは自らを終了させ、それ以降の実行計画はキャンセルされます。マイクロソフト社は、C&C ドメインとして返される IP を、この「キルスイッチ」をオンにするものに設定していることを知っています。しかし、FireEye 社は、同社が調査したケースでは、攻撃者が追加の持続的メカニズムを確立していたが、このアクションの影響を受けなかったと警告しています。彼らの調査によると、攻撃者はこのバックドアがなくても被害者のマシンに接続する方法を持っています。
さらに、12月16日、マイクロソフト社は、SunBurst に対する Windows Defender のアプローチを「警告」から「隔離」に変更しました。
新しいマルウェア
この攻撃は、その複雑さ、重要性、そして公表性から、多くの人が分析を試みました。ここ数日、侵害された Orion ソフトウェアのサンプルを分析しているうちに、「Supernova」と名付けられた新しいバックドアが発見されたことが報告されました。SunBurst に似た Supernova は、パーシステンス・メカニズムとして使用されるように作られたバックドアです。今回発見されたマルウェアは、ファイルレスで、メモリ上でコンパイル、実行されるため、セキュリティ製品での検出が困難です。現時点では、Supernova の詳細は不明ですが、SunBurst の配信に使用された DLL とは異なり、Supernova の配信に使用された DLL は、正規の SolarWinds の証明書で署名されていないことから、SunBurstとは無関係の攻撃の一部であると考えられています。
被害の増大
最近になって、さらに多くの組織で SunBurst による攻撃が確認されました。12月17日、FBI、DHS-CISA、および国家情報長官室(ODNI)は、共同声明の中で、バックドアが米国連邦政府のネットワークに影響を与えたことを確認しました。VMWare 社は12月21日、同社のネットワークもこの攻撃を受けたことを確認しましたが、攻撃者がネットワークへのアクセスをさらなる悪意のある目的に使用したことはないと主張しています。マイクロソフト社も、同社のネットワークでバックドアの亜種を発見したことを確認しましたが、攻撃者が顧客データにアクセスしたり、同社の製品を危険にさらしたりした証拠はないと主張しています。
前述のとおり、SunBurst のバックドアは、侵入したドメイン名がエンコードされた固有の URL に接続します。このマルウェアが生成したサブドメインのリストを解読、分析した結果、有名な組織の名前を見つけることができました。その中には、Cisco、Intel、Mediatek などの名前が含まれています。
Deep Instinct は、新たな動きを警戒し、お客様のシステムを危険にさらそうとする悪意のあるファイルからお客様を確実に保護するために全力を尽くしています。私たちは、関連するすべてのIoCを拡大して監視し、Deep Instinctの高度なエンドポイント保護ソリューション 高度なエンドポイント保護ソリューション がそれらから保護することに注力しています。