SQLサーバーに仕込まれるMimic

RE#TURGENCEという名称で追跡されている脅威キャンペーンがあります。
広い地域を対象に被害が広がっているもので、この脅威の動機は金銭です。
侵害される流れはこんな感じです。

• 初期アクセス
  入り口は公開されたMicrosoft SQL serverです。
  ブルートフォースでログインを試みます。
  認証が成功すると、侵害先のxp_cmdshellプロシージャを悪用し、OS上でコマンドを実行します。

   

• ローダーの展開
  Powershellのスクリプトが送り込まれ、xp_cmdshellを使って実行されます。
  そして、そのPowershellのスクリプトは、さらに別のスクリプトを取得して実行します。
  ちなみに、これらのスクリプトは難読化された部分も有しているのですが、解析時間の延長のための使用されていないコード部分の難読化も含まれているようです。

   

• Cobalt Strikeの展開
  この攻撃キャンペーンでは、Cobalt Strikeも展開されます。
  Cobalt Strikeはファイルとして侵害環境に設置されるのではなく、侵害環境で動作する正規のプロセスに挿入されて動作します。
  この挿入操作する機構部分も難読化されていました。

   

• AnyDeskの設置
  さらに、AnyDeskを設置します。
  これにより、脅威アクターは自分用のユーザを作成し、そのユーザを管理者権限にします。
  この段階まで来ると脅威アクターの自由度は約束されたものになります。
  永続化の完了です。

侵害後、脅威アクターの活動は続きます。
Mimikatzを設置して他の認証情報を収集する、侵害環境のネットワーク状況の調査、侵害環境での横展開、Mimicランサムウェアでの暗号化と進みます。
搾り取れる情報を収集し、一通り終わったら暗号化ということでしょうか。
ひどい話です。

脆弱性対策パッチの適用などの基本的な対策は重要ですが、システムの構成の妥当化も重要です。
そもそもとしてSQLサーバーが公開されている状態になければ、この脅威のインパクトはもっと小さかったように思えます。

年末には物理的な大掃除を実施しましたが、今度はシステムのほうの棚卸と見直しに取り組んでみようと思います。

参考記事（外部リンク）：Securonix Threat Research Security Advisory: New RE#TURGENCE
Attack Campaign: Turkish Hackers Target MSSQL Servers to Deliver
Domain-Wide MIMIC Ransomware
www.securonix.com/blog/securonix-threat-research-security-advisory-new-returgence-attack-campaign-turkish-hackers-target-mssql-servers-to-deliver-domain-wide-mimic-ransomware/