SOC Prime Bias: 重要

27 May 2026 15:26 UTC

エッジアプライアンスから企業侵害まで:F5とConfluenceを介した多段階のLinux侵入

Author Photo
SOC Prime Team linkedin icon フォローする
エッジアプライアンスから企業侵害まで:F5とConfluenceを介した多段階のLinux侵入
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

概要

攻撃者はまず、露出したF5 BIG-IPロードバランサーを介してアクセスし、次に内部のLinuxサーバーにピボットし、その後既知の脆弱性を悪用して内部のAtlassian Confluenceインスタンスを侵害しました。そこから、攻撃者は広範な調査を行い、資格情報を盗み、Windowsドメイン資産に対してKerberosおよびNTLM中継攻撃を開始しました。この操作は、スキャン、横方向移動、データ流出のためにオープンソースツールとカスタムスクリプトの混合に頼っています。

調査

Microsoft Defender Security Researchは、侵害されたBIG-IPアプライアンスから内部Linuxホストへの侵入を追跡しました。そこでは、調査者は悪意のあるIPアドレスからダウンロードされたカスタムスキャンツールを発見しました。分析はまた、攻撃中に使用されたNmap、gowitness、およびResponderなどのユーティリティの使用を記録しました。研究者はさらに、Confluence設定ファイルからの資格情報の盗難と、ドメインコントローラーおよびその他のWindowsリソースを標的とした中継攻撃を明らかにしました。

緩和策

組織は、インターネットに接続されたエッジアプライアンスをTier-0資産として扱い、古いまたはサポートされていないデバイスに対して厳格なパッチ適用とライフサイクル管理を適用し、管理インターフェイスの露出を制限すべきです。内部Webアプリケーションは強化され、既知の脆弱性に対して迅速に更新されるべきです。強力な認証制御、特に可能な場合にはNTLMの無効化やSMB署名の強制などが、リレーに基づく攻撃の影響を軽減するのに役立ちます。

対応

防御者は、予期しないIPアドレスからの異常なSSHログインに警告し、無許可のファイル転送や既知のスキャンユーティリティの実行を監視し、疑わしいELFバイナリをブロックすべきです。セキュリティチームはまた、潜在的に露出された資格情報をローテーションし、サービスアカウントの最小特権を強制し、ConfluenceおよびActive Directoryの設定の整合性を確認すべきです。

攻撃フロー

検出

可能性のあるC2通信:プロキシを介した非標準ポートでのHTTPによる直接IPへの通信

SOC Primeチーム
2026年5月26日

可能性のあるBase64エンコードされた文字列の操作(cmdline経由)

SOC Primeチーム
2026年5月26日

バイナリ/スクリプト/フォルダへの危険な権限が設定された(cmdline経由)

SOC Primeチーム
2026年5月26日

標準ツールによるリモートファイルのアップロード/ダウンロード(cmdline経由)

SOC Primeチーム
2026年5月26日

IOC(HashSha256)で検出: F5 と Confluence を介したエンタープライズ障害への多段階Linux侵入

SOC Prime AIルール
2026年5月27日

IOC(SourceIP)で検出: F5 と Confluence を介したエンタープライズ障害への多段階Linux侵入

SOC Prime AIルール
2026年5月27日

IOC(Files)で検出: F5 と Confluence を介したエンタープライズ障害への多段階Linux侵入

SOC Prime AIルール
2026年5月27日

IOC(URL)で検出: F5 と Confluence を介したエンタープライズ障害への多段階Linux侵入

SOC Prime AIルール
2026年5月27日

IOC(DestinationIP)で検出: F5 と Confluence を介したエンタープライズ障害への多段階Linux侵入

SOC Prime AIルール
2026年5月27日

F5 BIG-IP および Confluence を介した多段階Linux侵入 [Linuxプロセス作成]

SOC Prime AIルール
2026年5月27日

シミュレーション実行

前提条件: テレメトリ&ベースライン事前チェックが合格していること。

根拠: このセクションでは、検出ルールをトリガーするために設計された敵技術(TTP)の正確な実行を詳述しています。コマンドと物語はTTPsを直接反映し、検出ロジックによって期待される正確なテレメトリを生成することを目指しています。抽象的または無関係な例は誤診につながるでしょう。

  • 攻撃の流れとコマンド:

    1. ステージ1 – F5 BIG-IPからの権限のあるSSHアクセス

      • 攻撃者は特権アカウントの資格情報を取得しました 特権アカウント F5 BIG-IPアプライアンス上で。
      • アプライアンスの管理SSHサービスを使用して、攻撃者はターゲットLinuxホストへのセッションを開き、環境変数を注入します HOSTNAME=F5_BIG-IP_device ルールの SourceHostName マッチを満たします。
    2. ステージ2 – ネットワーク偵察(nmap)

      • SSHセッション内で、攻撃者は nmap を内部サブネットに対して実行し、ライブホストとサービスをマッピングします。
    3. ステージ3 – Webサービス偵察(gowitness)

      • Webサーバーを特定した後、攻撃者は gowitness を呼び出して、HTTP/HTTPSエンドポイントのスクリーンショットをキャプチャします。
    4. 回避(ルールに特化)

      • Pythonの使用はありません ftplib; したがって exclusion_ftp の規定は発火しません。
  • 回帰テストスクリプト:

    #!/usr/bin/env bash
    #
    # Multi‑Stage Intrusion Simulation – triggers the Sigma rule.
    # Prerequisite: the executing user must have sudo rights to set HOSTNAME for the session.
    #
    
    set -euo pipefail
    
    # -------------------------------------------------
    # Stage 1 – Simulate privileged SSH login from F5
    # -------------------------------------------------
    export HOSTNAME="F5_BIG-IP_device"
    export LOGNAME="privileged_account"
    export USER="privileged_account"
    
    echo "[*] Simulating privileged SSH session from ${HOSTNAME} as ${USER}"
    
    # -------------------------------------------------
    # Stage 2 – Run nmap (network discovery)
    # -------------------------------------------------
    echo "[*] Running nmap scan on internal subnet 10.0.0.0/24"
    nmap -sn 10.0.0.0/24
    
    # -------------------------------------------------
    # Stage 3 – Run gowitness (web‑service enumeration)
    # -------------------------------------------------
    echo "[*] Executing gowitness against discovered web hosts"
    # Assume gowitness is installed and in $PATH
    gowitness file -f /tmp/discovered_web_hosts.txt
    
    echo "[+] Simulation complete – expected alert should be generated."
  • クリーンアップコマンド:

    #!/usr/bin/env bash
    #
    # Cleanup for the multi‑stage intrusion simulation
    #
    
    set -euo pipefail
    
    # Remove temporary files created by gowitness
    rm -f /tmp/discovered_web_hosts.txt
    
    # Unset environment variables used for the simulation
    unset HOSTNAME LOGNAME USER
    
    echo "[*] Cleanup complete."