External Remote Services
外部リモートサービス 

VPN、Citrixのようなリモートサービスにより、ユーザーは外部から企業の内部ネットワークリソースに接続できます。多くの場合、これらのサービスの接続と資格情報認証を管理するリモートサービスゲートウェイがあります。 Windows Remote Managementなどのサービスも外部から使用できます。

攻撃者はリモートサービスを使用して、最初にアクセスしたり、ネットワーク内にとどまったりする可能性があります。 [1] サービスを使用するために正当なアカウントへのアクセスが必要になることがよくあります。これは、クレデンシャルファーミングを通じて、または企業ネットワークに侵入した後にユーザーから資格情報を搾取することによって取得できます。 リモートサービスへのアクセスは、攻撃中にアクセスの冗長化の一部として使用される可能性があります。

ID: T1133
Tactic: Persistence, Initial Access
Platform: Windows
Permissions Required: User
Data Sources: Authentication logs
CAPEC ID: CAPEC-555
Contributors: Daniel Oakley; Travis Smith, Tripwire
Version: 2.0
Created: 31 May 2017
Last Modified: 17 July 2019

Procedure Examples

Name Description
APT18

APT18のアクターは、外部のリモートサービスにログインするために、正当な資格情報を使用します。[3]

APT41

APT41 は、サードパーティのサービスプロバイダーと対象となる支払いサービスとの間のVPNアクセスを使用して、オンラインの請求/支払いサービスを侵害しました。[15]

Dragonfly 2.0

Dragonfly 2.0 は、VPNとOutlook Web Access(OWA)を使用して、被害者のネットワークへのアクセスを維持していました。[7][8]

FIN5

FIN5 has used legitimate VPN, Citrix, or VNC credentials to maintain access to a victim environment.[9][10][11]

Ke3chang

Ke3chang regained access after eviction via the corporate VPN solution with a stolen VPN certificate, which they had extracted from a compromised host.[6]

Linux Rabbit

Linux Rabbit attempts to gain access to the server via SSH.[2]

Night Dragon

Night Dragon has used compromised VPN accounts to gain access to victim systems.[12]

OilRig

OilRig uses remote services such as VPN, Citrix, or OWA to persist in an environment.[4]

Soft Cell

Soft Cell established VPN access into victim environments.[14]

TEMP.Veles

TEMP.Veles has used a VPN to persist in the victim environment.[13]

Threat Group-3390

Threat Group-3390 は、攻撃中にVPNプロファイルを探して使用し、外部VPNサービスを使用してネットワークにアクセスします。[5]

Mitigations

Mitigation Description
Disable or Remove Feature or Program
機能やプログラムの無効化および削除

リモートで利用可能な不要なサービスを無効にするかブロックします。

Limit Access to Resource Over Network
ネットワーク上のリソースへのアクセスを制限

VPNなどの集中管理されたコンセントレータやその他の管理されたリモートアクセスシステムを介するリモートサービスへのアクセスを制限します。

Multi-factor Authentication
多要素認証

盗まれた資格情報を悪用する攻撃者の能力を低減させるため、リモートサービスアカウントに強力な二要素認証または多要素認証を使用してください、ただし一部の二要素認証の実装では二要素認証妨害のテクニックに注意してください。

Network Segmentation
ネットワークの分離

ネットワークプロキシ、ゲートウェイ、ファイアウォールを通しての、内部システムへの直接リモートアクセスを拒否します。

Detection

リモートサービスへの認証に、正当なアカウントの悪用を検出するためのベストプラクティスに従います。認証ログを収集し、異常なアクセスパターン、活動範囲、および通常の営業時間外のアクセスを分析します。

References

  1. Adair, S. (2015, October 7). Virtual Private Keylogging: Cisco Web VPNs Leveraged for Access and Persistence. Retrieved March 20, 2017.
  2. Anomali Labs. (2018, December 6). Pulling Linux Rabbit/Rabbot Malware Out of a Hat. Retrieved March 4, 2019.
  3. Adair, S. (2017, February 17). Detecting and Responding to Advanced Threats within Exchange Environments. Retrieved March 20, 2017.
  4. Davis, S. and Caban, D. (2017, December 19). APT34 - New Targeted Attack in the Middle East. Retrieved December 20, 2017.
  5. Dell SecureWorks Counter Threat Unit Threat Intelligence. (2015, August 5). Threat Group-3390 Targets Organizations for Cyberespionage. Retrieved August 18, 2018.
  6. Smallridge, R. (2018, March 10). APT15 is alive and strong: An analysis of RoyalCli and RoyalDNS. Retrieved April 4, 2018.
  7. US-CERT. (2018, March 16). Alert (TA18-074A): Russian Government Cyber Activity Targeting Energy and Other Critical Infrastructure Sectors. Retrieved June 6, 2018.
  8. US-CERT. (2017, October 20). Alert (TA17-293A): Advanced Persistent Threat Activity Targeting Energy and Other Critical Infrastructure Sectors. Retrieved November 2, 2017.
  1. Scavella, T. and Rifki, A. (2017, July 20). Are you Ready to Respond? (Webinar). Retrieved October 4, 2017.
  2. Higgins, K. (2015, October 13). Prolific Cybercrime Gang Favors Legit Login Credentials. Retrieved October 4, 2017.
  3. Bromiley, M. and Lewis, P. (2016, October 7). Attacking the Hospitality and Gaming Industries: Tracking an Attacker Around the World in 7 Years. Retrieved October 6, 2017.
  4. McAfee® Foundstone® Professional Services and McAfee Labs™. (2011, February 10). Global Energy Cyberattacks: “Night Dragon”. Retrieved February 19, 2018.
  5. Miller, S, et al. (2019, April 10). TRITON Actor TTP Profile, Custom Attack Tools, Detections, and ATT&CK Mapping. Retrieved April 16, 2019.
  6. Cybereason Nocturnus. (2019, June 25). Operation Soft Cell: A Worldwide Campaign Against Telecommunications Providers. Retrieved July 18, 2019.
  7. Fraser, N., et al. (2019, August 7). Double DragonAPT41, a dual espionage and cyber crime operation APT41. Retrieved September 23, 2019.