一般的な攻撃者ツールを検出する簡単なルール

Log360, セキュリティ | November 13, 2024 | 1 min read

Reading Time: 1 minutes

攻撃者の最も強力な武器の一つは、ネットワークセキュリティを侵害するために設計された特殊なツールです。Mimikatz、BloodHound、winPEASは、検出されずに放置されると組織のIT環境に甚大な被害をもたらすツールの一例です。

この記事では、攻撃者が特殊なツールを利用してどのように高度な攻撃を仕掛けるかを探ります。また、ManageEngine Log360のようなSIEMソリューションが、これらのツールの存在を簡単な定義済みの相関ルールを使用してネットワーク内で効果的に検出する方法をお伝えします。

1. Mimikatz

Mimikatzは、侵入後のシステムから認証情報を盗む強力なツールです。このツールにより攻撃者はネットワーク内を横移動し、権限を昇格させることができます。この技術は、重大なデータ侵害、機密システムへの不正アクセス、業務の混乱を引き起こす可能性があります。Mimikatzは、メモリやSAM/LSADファイルから平文のパスワード、ハッシュ、PINコード、Kerberosチケットを抽出することで、攻撃者に悪用できる豊富な情報を提供します。

攻撃者はまた、Mimikatzを使用して盗んだハッシュを用いて他のシステムに認証する「パス・ザ・ハッシュ」攻撃を行うことができます。その後、攻撃者が永続的なKerberosチケットを作成することで「ゴールデンチケット」を作り、システムやリソースへの長期的なアクセスを確保します。

Log360は、以下のルール基準を使用して異なるイベントを相関させることでMimikatzを検出できます:

  • 名前にmimikatzまたは関連する用語が含まれるプロセス

  • コマンドラインにmimikatzまたはその関連引数が含まれている場合

  • 名前にdelpyが含まれるプロセス

 

2. BloodHound

BloodHoundは、ユーザー、グループ、コンピュータ、およびサービス間の関係を明らかにする強力なActive Directory(以下、AD)可視化ツールです。攻撃者はこの情報を使用して、潜在的な攻撃経路を特定し、特権アカウントを発見することで標的を絞った攻撃を計画します。BloodHoundはまた、ネットワーク内を横移動し、機密システムへのアクセスを得るためにも使用されます。

Log360は、以下のルール基準を使用して異なるイベントを相関させることでBloodHoundを検出できます:

  • 名前にbloodhoundまたは関連する用語が含まれるプロセス

  • コマンドラインに特定の引数–CollectionMethodの存在を確認する条件。この引数は、ADから情報を収集する方法を指定するためにBloodHoundで頻繁に使用されます

  • コマンドラインにazurehoundが含まれている場合。これはEntra ID(旧Azure AD)から情報を収集しようとする試みを示唆します

 

3. PetitPotam

PetitPotamは、NTLM認証プロトコルの脆弱性を悪用するNTLMリレー攻撃用のツールです。攻撃者はPetitPotamを使用して、NTLM認証トラフィックを侵害されたドメインコントローラにリダイレクトすることで資格情報をキャプチャし、不正アクセスを獲得します。また、SMBやRDPなどの脆弱なネットワークサービスにNTLM認証トラフィックをリレーすることで、アクセスを得ることもできます。さらに、盗まれたNTLMハッシュを使用して、実際のパスワードを必要とせずに他のシステムに認証する「パス・ザ・ハッシュ」攻撃を行うことができます。

Log360は、以下のルール基準を使用して異なるイベントを相関させることでPetitPotamを検出できます:

  • コマンドラインにpepitpotamが含まれている場合。これは強制的なSMB認証やNTLMリレー攻撃などの悪意のある活動が行われている可能性が高いことを示します。

 

4. winPEAS

winPEASは、システム情報を包括的に提供する侵入後ツールです。このツールにより、攻撃者は情報を収集し、脆弱性を特定して侵入を容易にさせます。具体的には、攻撃者はwinPEASを使用して、実行中のプロセス、サービス、ユーザー、グループ、およびネットワーク接続に関する詳細を収集します。システム情報を収集することで、古いソフトウェア、弱い構成、悪用可能なサービスを発見し、脆弱性を特定できます。これにより、特権アカウントを見つけ出し、より高レベルのアクセスを得るために悪用可能な脆弱性を特定することが容易になります。攻撃者は、再起動後もシステムへのアクセスを維持するメカニズムを作成することもあります。

Log360は、以下のルール基準を使用して異なるイベントを相関させることでwinPEASを検出できます:

  • 名前にwinpeasまたは関連する用語が含まれるプロセス

  • コマンドラインにwinpeas.batが含まれている場合。このルールの一部は、バッチファイルを介してwinPEASを実行しようとする試みをキャッチします

  • コマンドラインにwinpeas.ps1が含まれている場合。このルールの一部は、PowerShellを使用してwinPEASを実行しようとする試みをキャッチします

 

5. Kerbrute

Kerbruteは、Windows環境で広く使用されているネットワーク認証プロトコルであるKerberosチケットをブルートフォース攻撃するためのツールです。攻撃者はパスワードを推測することで有効なチケットを取得し、リソースへの不正アクセスを得ることができます。彼らは盗まれたKerberosチケットからNTLMハッシュを抽出し、それを使用して「パス・ザ・ハッシュ」攻撃を行い、横移動や権限昇格を実行します。

Log360は、以下のルール基準を使用して異なるイベントを相関させることでKerbruteを検出できます:

  • コマンドラインにkerbruteまたは関連する引数が含まれている場合

Log360の定義済み相関ルールを使用することで、これらのようなセキュリティ脅威をリアルタイムで効果的に識別できます。Log360の相関ルールライブラリを検索することで、他の攻撃者ツールやセキュリティ脅威カテゴリも検出できます。

本記事はグローバル本社のブログ記事を日本語版に修正したものです。
原文はこちらをご参照ください。

****************************

Log360の詳細については、こちらをご覧ください。


****************************


ayako.k

フィードバックフォーム

当サイトで検証してほしいこと、記事にしてほしい題材などありましたら、以下のフィードバックフォームよりお気軽にお知らせください。