BlackEnergy フェーズ 2: メディアおよび電力会社からダークネットとTTPsまで
再びこんにちは! 多数のリリース、ブログ記事、ニュースの続編として、ウクライナでの最新のBlackEnergyの化身とメディア業界および電力会社への攻撃がどのように関連しているのかについて、さらなる詳細を提供したいと思います。また、さらなるインジケーターオブコンプロマイズ(IOC)についても洞察を提供します。 信頼できるサイバーエキスパート、特にESET、CyberX、TrendMicro、iSightなどの名前を挙げ、脅威を調査し、攻撃についての洞察を共有するすべての信頼できるサイバーエキスパートに感謝の意を示すことから始めましょう。私たちは ESETのレポート に焦点を当てるつもりです。彼らはBlackEnergyに関する最も包括的なカバレッジを提供しており、初めて発見された日から続いています。私たちの手元に業界の専門家による分析がある今、IOCをより詳しく見て、いくつかのパターンを明らかにし、おそらくTTPを特定します。nnウクライナに関する検索では、BlackEnergyのビルド名が実際に何か意味を持つ可能性があることが指摘されています:
- 2015en
- khm10
- khelm
- 2015telsmi – 「Televisionnye Sredstva Massovoj Informacii」(テレビ放送メディア)
- 2015ts – トランスポートシステム?
- 2015stb – STB、10月の選挙中に攻撃を受けたウクライナのTVチャンネルで、 StarlightMedia に属しています。
- kiev_o – おそらく省略形で KyivOblenergo、キエフ電力網
- brd2015
- 11131526kbp – KBPはボルィースピリ国際空港のIATAコードですが、攻撃は報告されていません
- 02260517ee
- 03150618aaa
- 11131526trk – ウクライナのTVチャンネルで、選挙中に攻撃を受けた ウクライナ・メディア・ホールディング
ウクライナのメディアと電力会社への攻撃が関連していると結論できますか? これにより、メディアへの攻撃が能力テストの第1段階であったという以前の声明が確認されます:いくらかの損害を与えましたが、放送を止めることはありませんでした。しかし、第2段階では電力が停止され、詳細がすぐにもたらされると信じています。ESETからの新しいIOCとメディアへの攻撃からのIOCを確認しましょう:
結論を出すのはあなたにお任せしますが、ほとんどのブログ記事や記事を通り過ぎる非常に重要な部分 – C&C(C2)アドレスについて続けます。これらはESETによって報告された現在のC2アドレスで、この記事が書かれている時点でも活動を続けています: ESETによって報告された このアドレスは、この記事が書かれている時点で活動を続けています:5.149.254.114
5.9.32.230
31.210.111.154
88.198.25.92
146.0.74.7
188.40.8.72時間を遡って2014年を見るとき ESETのBlackEnergy 2に関するビデオ このビデオのスクリーンショットから、TTPの手がかりを見つけることができます:
base64からデコードされた文化的参照が『Dune』に関連していたため、この攻撃がiSight Partnersによって 「Sandworm」と名付けられたグループに結びつけられました。全体のTTPを組み立てるために十分な情報がありますか?
下から上へのモデルを実際にテストしてみましょう。
- ハッシュ値はBlackEnergy 2(Sandworm)と比較して新しいです。
- コマンド&コントロールIPアドレスはBlackEnergy 2(Sandworm)と比較して新しいです。
- ドメイン名はこの場合には当てはまりませんが、Torリレーが再び存在します。
- 公開されているホストやネットワークのアーティファクトはありません(メディア攻撃からのものはこちらにあります)
- 使用されたツールは、新しいビルドまたはBlackEnergyのエディションです。これに疑いはありませんが、バージョン管理は専門家に任せます。KillDiskプラグインは2014年の攻撃と比べて新しいです。
現在のBlackEnergy攻撃では6つのIPv4 C2アドレスを使用しており、2014年には6つのC2がありましたが、アドレス自体は異なっていました。Torリレーは2014年に使用されていました。新しいC2 IPをすばやく検索すると、公開されているTorリストに基づいて1つの一致を確認できます。いくつかの調査と脅威情報の分析の結果、6つのC2アドレスのうち5つがTorリレーに関連していることが特定できました:
これを少し考えてみましょう。私たちは同じ攻撃ツールを使用しており、同じ数のC2 IPアドレスを使用し、TorがAPT作戦に使われ(再び)、同じ国が攻撃され、ICSが攻撃されました(これも再び)。新しい部分は基本的なAI機能を持つようになったKillDiskプラグインで、データを見つけ出して破壊するだけでなく、109以上の変数を分析し304の関数の中から選択することもできます。私たちは、BlackEnergy 2に元々帰属されたものとは異なるドライバの新しいSHA-1ハッシュも持っています:これらは同じドロッパーの新しいビルドなのか、プラグインのように進化したものでしょうか?私たちは今、 FireSale 規模の攻撃に最適化されたAPTに対処しているのでしょうか? また、 BlackEnergy 3 が過去にF-Secureによって言及されていたことも思い出させたいと思います。この質問に対する信頼性のある答えを提供できるリソースと専門知識を持つアンチマルウェアの専門家に任せます。あるいは、これを喜んでお金を払うだけのビットコインを持つすべての人に提供されるパッケージ化されたTorベースのIaaSとして提供されるのでしょうか? 😉 緩和とプロアクティブな検出のヒント。コンピュータを定期的にパッチし、ソフトウェアを更新し、奇妙なメールの添付ファイルを開かず、AVを常に最新の状態に保つことは、良いスタートとなるでしょう。BlackEnergyは修正されたドライバをインストールすることが確認されており、これは最新のWindowsバージョンではテストモードで実行されなければ読み込まれません。同様のドライバをシステムに導入する他の方法は、再起動が必要であり、情報セキュリティチームの目を逃れることはありません。すでに報告しているように、BlackEnergyは正式に署名されていない修正されたWindowsドライバを基に動作しており、そのようなドライバのインストールには管理者権限が必要です。攻撃中に使用されたもう一つの方法は、VirtualBoxの脆弱なバージョンを利用することです。プロアクティブな検出とタイムリーな対応については、次のことに焦点を当てることをお勧めします:
- すべてのMicrosoft Windowsマシンで非公式の自己署名ドライバを自動化された方法でチェックしてください。PowershellスクリプトやOSSECなどのツールを利用できます。大規模で分散したネットワークの場合、既知のIOCをスキャンすることがオプションとなるかもしれません。例は こちら
- 提供されています。 発見した不審なファイルやマルウェアのサンプルをAVベンダーと共有し、出来るだけ早くシグネチャを受け取ってください。攻撃の被害者の一人からのコメント:「攻撃が進行中である間に私たちはESETにBlackEnergyのサンプルを共有し、3時間未満でシグネチャ更新を受け取りました。これは単一のAVベンダーの宣伝ではなく、彼らの能力の反映です。多くのエンドポイントセキュリティメーカーが同等あるいはそれ以上のレスポンス時間を提供していると強く信じています。私たちの場合、ESETが最初に応答したベンダーの一つでした。」
- 攻撃パターンを監視するSIEMコンテンツを作成し、ホスト上の新たに開かれたポート、新たにオートスタートモードに切り替えられたサービス、サーバーの再起動、Tor接続 – を一緒に組み合わせてAPTを最悪の事態が起こる前に発見できる手段を提供します。
最後に、しかし非常に重要なこととして、Torの活動の監視は、あらゆる企業、MSSPまたは公共機関のCISOの優先リストに含まれるべきですが、これはまた別の物語の始まりです…
安全に過ごしてください! /SOC Primeチーム