4 半田病院の情報システムの課題

https://www.handa-hospital.jp/topics/2022/0616/report_02.pdf

3.1 初期侵入

• アフェリエイトが実際の攻撃を行う事から、初期侵入の手口はさまざまである。

① 公開されたリモートデスクトッププロトコル12（Remote Desktop Protocol：以下、「RDP」という。）の資格情報
インターネットもしくはダークウェブで公開もしくは販売された RDP のパブリック IP アドレ
ス、ID、パスワードをアフェリエイトが入手し13 RDP にログインする、もしくは総当たり攻撃を
RDP に対して行いログインし、攻撃を開始する。ダークウェブでの RDP のログイン情報は 1 件あ
たり$1014との報告がある。
② 仮想プライベートネットワーク機器の脆弱性
仮想プライベートネットワーク（Virtual Private Network：以下、「VPN」という。）の機器の脆
弱性を利用し、ID やパスワードを取得し侵入し攻撃を開始する。
③ 公開された VPN の資格情報
インターネットやダークウェブで公開もしくは販売された VPN のパブリック IP アドレス、ID、
パスワード15をアフェリエイトが入手16し、VPN で組織内の LAN に接続し、コンピュータの脆弱
性や既知の ID、パスワードを利用し、VPN にログインし攻撃を開始する。また、VPN に対しても
総当たり攻撃を行うことも報告17されている。
④ ソフトウェアの脆弱性
米国 Kaseya 社のケースでは、同社のコンピュータ管理ソフトウェアの脆弱性を悪用され、管理用
サーバーに侵入しアクセス権を取得した上で、インターネットを通じてランサムウェア本体をダウ
ンロードされた。この攻撃によって 1,000 社以上の企業が暗号化の被害を被った。
⑤ スフィアフィッシングメール（電子メール経由の標的型攻撃）
攻撃者は添付ファイルメールを送信する。添付ファイルは Office 文書や PDF で、外部からの
マルウェア本体を呼び込むマクロが仕込まれている。
受信者がメールに添付された Office 文書や PDFを開封し、さらにマクロ実行防止のための保護ビューを解除すると、
Visual Basic for Application
(VBA マクロ)もしくは JavaScript が実行され、次いで Windows 標準のスクリプト言語である
PowerShell や組み込みコマンドが実行され、最終的に外部からマルウェア本体がダウンロードさ
れ、遠隔操作のためのバックドアが仕込まれる。


12 離れた場所にある Windows コンピュータを手元のコンピュータで操作するための Windows の標準機能。
 リモートでデスクトップを操作できることから、データセンターに設置されたサーバー等の保守等で一般的に広く利用されている。
13 https://www.cybereason.co.jp/blog/ransomware/6793/
14 https://blogs.mcafee.jp/rdp-attacks-analysis#RDP-3
15 https://digital.asahi.com/articles/ASP9B5558P99ULZU013.html?_requesturl=articles%2FASP9B5558P99ULZU013.html
&pn=18
16 https://www.jpcert.or.jp/newsflash/2020112701.html
17 https://www.trendmicro.com/vinfo/us/security/news/ransomware-spotlight/ransomware-spotlight-lockbit

3.2 特権昇格

自分自身の永続化、セキュリティソフトの停止、水平展開、痕跡の消去のために管理者権限の取得は必須である。
① Lockbit は自分が実行されているコンピュータが管理者権限で実行されているかを確認する。
  管理者権限の場合、管理者の資格情報の収集など次のステップに移行する。
  標準ユーザで実行されている場合は、コンピュータの組み込みの管理者である Builtin¥Administrators に
  所属しているかを確認し、ユーザの確認操作を要求するユーザアクセス制御 (UserAccount Control、以下、「UAC」という。)
  をバイパスできる環境の場合は Windows のComponent Object Model (COM) を利用し、UAC をバイパスして特権昇格し、
  自分自身を権限昇格した状態で起動する。
② REvil は、Mimikatz と呼ばれる攻撃ツールを利用し、Windows に保存されている資格情報を窃取する。
  ウイルス対策ソフトで Mimikatz の起動が阻まれる場合は、
  Microsoft Process Monitor を使用して資格情報のメモリダンプを行い攻撃者に送信し、
  攻撃者側で Mimikatz を実行して資格情報を窃取する。
③ Revil は、標的となったコンピュータのシステムの一部を破壊し、修復のために管理者ログインを
  仕向け、その際、コンピュータのキー入力をそのまま記録する機能であるキーロガーで資格情報を
  窃取する18との報告もある。

3.3 水平展開

水平展開でも複数の手段を利用する。
① 共有フォルダーの利用
ポートスキャナーを使用し共有フォルダーを検索する。共有フォルダーがあれば、フォルダー内の
ファイルを暗号化する。SMB、WebDav19 等を検索する。

② RDP の利用
一般的にサーバーやドメインコントローラーは RDP を使用して保守を行う事が多い。
また、RDP接続を行うとサーバー情報がキャッシュされることから、窃取した管理者資格情報を使いログオン
し、データの窃取、暗号化ツールのコピー等の水平展開を図る。

18 https://news.sophos.com/ja-jp/2021/07/12/what-to-expect-when-youve-been-hit-with-revil-ransomware-jp/
19 Web サーバーを利用した分散ファイルシステム。
図 1 UAC の表示

③ PsExec、CobaltStrike の利用
Windows の遠隔操作ツールである PsExec や、有償のペネトレーションテスト用ツールである
CobaltStrike を悪用する。本事案でも、ファストフォレンジックレポートで PsExec の使用が指摘されている。

④ 共通化されているローカル Administrator のパスワード
管理上の目的で、組織内のコンピュータの管理者である Builtin¥Administrator のパスワードが共
通化されているケースを悪用し、コンピュータの資格情報のハッシュ値をダンプし、そのハッシュ
値を使い、他のコンピュータにログオンする。

⑥ インサイダー
侵入後に、攻撃対象の組織の従業員を勧誘し、ネットワークアクセス情報と引き換えに報酬を支払
う旨のメッセージを表示し、インサイダー情報を入手し水平展開を拡

CategoryDns CategoryWatch CategoryTemplate