エッジアプライアンスから企業侵害まで:F5とConfluenceを介した多段階のLinux侵入
Detection stack
- AIDR
- Alert
- ETL
- Query
概要
攻撃者はまず、露出したF5 BIG-IPロードバランサーを介してアクセスし、次に内部のLinuxサーバーにピボットし、その後既知の脆弱性を悪用して内部のAtlassian Confluenceインスタンスを侵害しました。そこから、攻撃者は広範な調査を行い、資格情報を盗み、Windowsドメイン資産に対してKerberosおよびNTLM中継攻撃を開始しました。この操作は、スキャン、横方向移動、データ流出のためにオープンソースツールとカスタムスクリプトの混合に頼っています。
調査
Microsoft Defender Security Researchは、侵害されたBIG-IPアプライアンスから内部Linuxホストへの侵入を追跡しました。そこでは、調査者は悪意のあるIPアドレスからダウンロードされたカスタムスキャンツールを発見しました。分析はまた、攻撃中に使用されたNmap、gowitness、およびResponderなどのユーティリティの使用を記録しました。研究者はさらに、Confluence設定ファイルからの資格情報の盗難と、ドメインコントローラーおよびその他のWindowsリソースを標的とした中継攻撃を明らかにしました。
緩和策
組織は、インターネットに接続されたエッジアプライアンスをTier-0資産として扱い、古いまたはサポートされていないデバイスに対して厳格なパッチ適用とライフサイクル管理を適用し、管理インターフェイスの露出を制限すべきです。内部Webアプリケーションは強化され、既知の脆弱性に対して迅速に更新されるべきです。強力な認証制御、特に可能な場合にはNTLMの無効化やSMB署名の強制などが、リレーに基づく攻撃の影響を軽減するのに役立ちます。
対応
防御者は、予期しないIPアドレスからの異常なSSHログインに警告し、無許可のファイル転送や既知のスキャンユーティリティの実行を監視し、疑わしいELFバイナリをブロックすべきです。セキュリティチームはまた、潜在的に露出された資格情報をローテーションし、サービスアカウントの最小特権を強制し、ConfluenceおよびActive Directoryの設定の整合性を確認すべきです。
攻撃フロー
検出
可能性のあるC2通信:プロキシを介した非標準ポートでのHTTPによる直接IPへの通信
表示
可能性のあるBase64エンコードされた文字列の操作(cmdline経由)
表示
バイナリ/スクリプト/フォルダへの危険な権限が設定された(cmdline経由)
表示
標準ツールによるリモートファイルのアップロード/ダウンロード(cmdline経由)
表示
IOC(HashSha256)で検出: F5 と Confluence を介したエンタープライズ障害への多段階Linux侵入
表示
IOC(SourceIP)で検出: F5 と Confluence を介したエンタープライズ障害への多段階Linux侵入
表示
IOC(Files)で検出: F5 と Confluence を介したエンタープライズ障害への多段階Linux侵入
表示
IOC(URL)で検出: F5 と Confluence を介したエンタープライズ障害への多段階Linux侵入
表示
IOC(DestinationIP)で検出: F5 と Confluence を介したエンタープライズ障害への多段階Linux侵入
表示
F5 BIG-IP および Confluence を介した多段階Linux侵入 [Linuxプロセス作成]
表示
シミュレーション実行
前提条件: テレメトリ&ベースライン事前チェックが合格していること。
根拠: このセクションでは、検出ルールをトリガーするために設計された敵技術(TTP)の正確な実行を詳述しています。コマンドと物語はTTPsを直接反映し、検出ロジックによって期待される正確なテレメトリを生成することを目指しています。抽象的または無関係な例は誤診につながるでしょう。
-
攻撃の流れとコマンド:
-
ステージ1 – F5 BIG-IPからの権限のあるSSHアクセス
- 攻撃者は特権アカウントの資格情報を取得しました
特権アカウントF5 BIG-IPアプライアンス上で。 - アプライアンスの管理SSHサービスを使用して、攻撃者はターゲットLinuxホストへのセッションを開き、環境変数を注入します
HOSTNAME=F5_BIG-IP_deviceルールのSourceHostNameマッチを満たします。
- 攻撃者は特権アカウントの資格情報を取得しました
-
ステージ2 – ネットワーク偵察(nmap)
- SSHセッション内で、攻撃者は
nmapを内部サブネットに対して実行し、ライブホストとサービスをマッピングします。
- SSHセッション内で、攻撃者は
-
ステージ3 – Webサービス偵察(gowitness)
- Webサーバーを特定した後、攻撃者は
gowitnessを呼び出して、HTTP/HTTPSエンドポイントのスクリーンショットをキャプチャします。
- Webサーバーを特定した後、攻撃者は
-
回避(ルールに特化)
- Pythonの使用はありません
ftplib; したがってexclusion_ftpの規定は発火しません。
- Pythonの使用はありません
-
-
回帰テストスクリプト:
#!/usr/bin/env bash # # Multi‑Stage Intrusion Simulation – triggers the Sigma rule. # Prerequisite: the executing user must have sudo rights to set HOSTNAME for the session. # set -euo pipefail # ------------------------------------------------- # Stage 1 – Simulate privileged SSH login from F5 # ------------------------------------------------- export HOSTNAME="F5_BIG-IP_device" export LOGNAME="privileged_account" export USER="privileged_account" echo "[*] Simulating privileged SSH session from ${HOSTNAME} as ${USER}" # ------------------------------------------------- # Stage 2 – Run nmap (network discovery) # ------------------------------------------------- echo "[*] Running nmap scan on internal subnet 10.0.0.0/24" nmap -sn 10.0.0.0/24 # ------------------------------------------------- # Stage 3 – Run gowitness (web‑service enumeration) # ------------------------------------------------- echo "[*] Executing gowitness against discovered web hosts" # Assume gowitness is installed and in $PATH gowitness file -f /tmp/discovered_web_hosts.txt echo "[+] Simulation complete – expected alert should be generated." -
クリーンアップコマンド:
#!/usr/bin/env bash # # Cleanup for the multi‑stage intrusion simulation # set -euo pipefail # Remove temporary files created by gowitness rm -f /tmp/discovered_web_hosts.txt # Unset environment variables used for the simulation unset HOSTNAME LOGNAME USER echo "[*] Cleanup complete."