Last Updated on 2024-03-29 06:15 by 荒木 啓介
2024年初頭、ある大規模なK-12学区がサイバーセキュリティを強化するためにThreatDown MDRと提携した。提携後間もなく、ThreatDown MDRのアナリストは異常な活動パターンを検出し、それがSolarMarkerという高度なバックドアの仕業であることを特定した。SolarMarkerは少なくとも2021年から学区のシステム内に存在しており、数年にわたってデータを外部に送信していた可能性がある。
事件は、不審なIPアドレス(188.241.83.61)へのアウトバウンドネットワーク接続を試みるPowerShellの異常なインスタンスの検出から始まった。この接続試みはMalwarebytes Web Protection (MWAC)によって阻止され、セキュリティ侵害の可能性の最初の兆候となった。調査により、クライアントのエンドポイントポリシーでエンドポイント検出と対応(EDR)の設定が無効になっていることが判明し、詳細なエンドポイントデータをキャプチャして分析するためのFast Response Scanning (FRS)の使用が妨げられた。
調査と分析の最初のステップでは、netstatを使用してアクティブなネットワーク接続を照会し、PowerShellのインスタンスが動作していることが明らかになった。このPowerShellインスタンスの性質をさらに理解するために、プロセスID (PID)を使用してWindows Management Instrumentation Command-line (WMIC)でコマンドラインが調査され、難読化されたコードが明らかにされた。
SolarMarkerの難読化されたPowerShellコードは抽出され、明確化のためにリファクタリングされた。分析により、マルウェアの操作の以下のコンポーネントが明らかになった:Base64エンコードされた文字列を復号化キーとして使用し、特定のファイルパスにエンコードされたデータを対象とし、暗号化されたペイロードを読み取り、復号化し、実行する。
対応と軽減のために、悪意のあるPowerShellインスタンスを終了し、エンコードされたペイロードを含む特定のフォルダを削除し、持続性メカニズムを徹底的に検索し(幸いにも発見されなかった)、包括的な脅威スキャンを実行し、クライアントとの可視性を高めるためにインシデントをエスカレーションした。再起動後のチェックは、持続性の欠如、新しいPowerShellインスタンスの発生のないこと、および不審なネットワーク接続のブロックを確認し、感染の成功した修復を示した。
【ニュース解説】
2024年初頭、ある大規模なK-12学区がサイバーセキュリティを強化するためにThreatDown MDRと提携しました。この提携により、ThreatDown MDRのアナリストは異常な活動パターンを検出し、それがSolarMarkerという高度なバックドアの仕業であることを特定しました。このマルウェアは少なくとも2021年から学区のシステム内に潜んでおり、数年にわたってデータを外部に送信していた可能性があります。
事件の発端は、不審なIPアドレスへのアウトバウンドネットワーク接続を試みるPowerShellの異常なインスタンスの検出でした。この接続試みは、Malwarebytes Web Protectionによって阻止され、セキュリティ侵害の可能性の最初の兆候となりました。調査の過程で、エンドポイント検出と対応(EDR)の設定が無効になっていることが判明し、詳細なエンドポイントデータの分析には手動でのアプローチが必要となりました。
SolarMarkerの分析では、Base64エンコードされた文字列を復号化キーとして使用し、特定のファイルパスにエンコードされたデータを対象とし、暗号化されたペイロードを読み取り、復号化し、実行するという複雑な手法が明らかにされました。この手法は、マルウェアがシステム内でどのように機能していたかを理解する上で重要な手がかりとなりました。
対応として、悪意のあるPowerShellインスタンスの終了、エンコードされたペイロードを含むフォルダの削除、持続性メカニズムの検索、包括的な脅威スキャンの実行などが行われました。これらの対応により、感染は成功裏に修復されました。
この事件は、教育機関がサイバー攻撃の主要な標的であることを改めて浮き彫りにしました。特に、長期間にわたって潜伏し、データを盗み出すような高度なマルウェアに対しては、定期的なセキュリティチェックと最新の防御技術の導入が不可欠です。また、エンドポイント検出と対応(EDR)の設定を有効に保つことの重要性も示されました。このような事件を通じて、教育機関はサイバーセキュリティの強化に向けた取り組みを一層進める必要があると言えるでしょう。
from Stopping a K-12 cyberattack (SolarMarker) with ThreatDown MDR.
“教育機関ターゲットのサイバー攻撃、SolarMarkerの脅威を暴く” への1件のコメント
この事件は、教育機関がサイバーセキュリティに対してどれほど脆弱であるかを明確に示しています。特にK-12学区のような大規模な教育機関では、生徒や教職員の個人情報、教育資料、研究データなど、価値の高い情報が豊富に蓄積されているため、サイバー攻撃のリスクは非常に高いです。この事件で最も注目すべきは、SolarMarkerというマルウェアが少なくとも2021年から潜伏していたという事実です。これは、教育機関が定期的なセキュリティチェックや最新の防御技術の導入にどれほど欠けているかを示しています。
また、エンドポイント検出と対応(EDR)の設定が無効になっていたことは、基本的なセキュリティ対策さえも適切に管理されていないことを指摘しています。これは、教育機関におけるサイバーセキュリティ対策の重要性を再認識するきっかけとなります。教育機関は、技術的なセキュリティ対策だけでなく、教職員や生徒たちへのセキュリティ意識の啓発や教育も同時に強化する必要があるでしょう。
このような事件を通じて、私たちはデジタル時代のリスクについてもう