Windows Admin Shares
Windowsの管理共有

Windowsシステムには、管理者のみがアクセスできる非表示のネットワーク共有があり、リモートファイルコピーやその他の管理機能を提供します。ネットワーク共有の例にはC$ , ADMIN$, やIPC$があります。

攻撃者は、この手法を管理者レベルの有効なアカウントと組み合わせて使用し、サーバーメッセージブロック(SMB) [1] を介してネットワークシステムにリモートアクセスし、リモートプロシージャコール(RPC)、 [2] 、およびリモート実行により転送されたバイナリを実行します。SMB / RPCを介した認証が必要な実行手法の例は、Scheduled Task(タスクスケジューラ)、Service Execution(サービス実行)、およびWindows Management Instrumentation(WMI)です。 また、攻撃者はPass the Hashが可能な状態にあるシステムの管理共有にアクセスするために、NTLMハッシュを使用することもできます。 [3]

Net ユーティリティは、 有効な資格情報で net use コマンドを使用することで、リモートシステム上のWindows管理共有に接続するために使用されます。 [4]

ID: T1077
Tactic: Lateral Movement
Platform: Windows
System Requirements: SMBを使ったファイルとプリンタの共有が有効; Host/network firewalls による送受信間のSMBポートブロックなし; リモートシステムの管理者グループまたはデフォルトのシステム管理者アカウントでのドメインアカウントの使用
Permissions Required: Administrator
Data Sources: Process use of network, Authentication logs, Process monitoring, Process command-line parameters
CAPEC ID: CAPEC-561
Version: 1.1

Procedure Examples

Name Description
APT3

APT3 は、ラテラルムーブメント(侵入拡大)に、Windows管理共有(ADMIN $など)越しにファイルをコピーします。[27]

APT32

APT32 は、彼らのツールをリモートマシンにコピーする際にWindowsの隠しネットワーク共有を利用するため、Netを使用しました。[28]

BlackEnergy

BlackEnergy は、ローカルネットワークを介して拡散するため、PsExecの使用と管理共有へのアクセスにより、被害端末でプラグインを実行しました。[8]

Cobalt Strike

Cobalt Strike は、ラテラルムーブメントにWindow管理共有 (C$ and ADMIN$) を使用します。[6]

Deep Panda

Deep Panda は、有効な資格情報でnet useコマンドを使ってネットワーク共有に接続するためにnet.exeを使用します。[19]

Duqu

攻撃者は、(キーロギングまたは他の手段で)取得した正当な資格情報を利用して、列挙した共有エリアに自分自身をコピーし、Duquに、横方向に拡散するよう指示できます。その後、マルウェアを実行するリモートマシンでタスクスケジュールするために、侵害した認証情報を使用して、リモートホストを感染させます。[9]

Emotet

Emotetは、ローカル管理者パスワードをブルートフォースすると、Admin$共有を利用して横方向の感染拡大を行います。[18]

FIN8

FIN8 は、現在の資格情報/コンテキストの範囲をテストするために、列挙したたホスト上にC $をマップしようと試みました。[24]

Ke3chang

Ke3chang は、他のコンピューターのネットワーク共有にファイルをコピーして横方向に移動することが知られています。[20][21]

Kwampirs

Kwampirs は、ネットワーク共有を介して自分自身をコピーし、被害者のネットワークを横方向に移動します。[13]

Lazarus Group

Lazarus Group が使用するSierraAlfa マルウェアは、感染拡大するために、SMBを介する ADMIN$ 共有にアクセスします。[22][23]

Net

ラテラルムーブメント(侵入拡大)は、リモートシステムに接続するために Netnet use コマンド を用いることで可能となります。[7]

Net Crawler

Net Crawler は、Windows管理共有を使用して、横方向の感染の一部として、SMB経由でリモートシステムへの認証済みセッションを確立します。[14]

NotPetya

NotPetya は、リモートシステムでコマンドを実行するために、 ADMIN$ネットワーク共有が有効であることで動作する PsExecを使用します。[16][17][5]

Olympic Destroyer

Olympic Destroyer は、リモートシステムでコマンドを実行するために、 ADMIN$ネットワーク共有が有効であることで動作するPsExec を使用します。[15][5]

Orangeworm

Orangeworm は、ADMIN$、C$WINDOWS、D$WINDOWS、E$WINDOWSなどの開いているネットワーク共有を介してバックドアをコピーしました。[13]

PsExec

PsExecは、攻撃者に使用されてきたツールで、 ADMIN$ネットワーク共有にプログラムを書き込み、リモートシステムでコマンドを実行します。[5]

Regin

Regin マルウェアは、侵入拡大にWindows管理共有を使用します。[11]

Shamoon

Shamoon はネットワーク共有にアクセスし、ターゲットデバイスへの共有アクセスを有効にし、実行可能なペイロードをターゲットシステムにコピーし、Scheduled Taskを使用してマルウェアを実行します。[10]

Threat Group-1314

Threat Group-1314 の攻撃者は、 net useを使用して、ネットワークドライブを割り当てます。.[26]

Turla

Turla は、ネットワーク内の他のシステムに接続するために net use コマンドを使いました。[25]

zwShell

zwShell は、侵入を拡大するために、ネットワーク共有越しに、コピーされます。[12]

Mitigations

Mitigation Description
Password Policies
パスワードポリシー

システム間でローカル管理者アカウントのパスワードを再利用しないでください。パスワードが解読されたり推測されたりしないように、パスワードの複雑さと一意性を確認してください。

Privileged Account Management
アカウントの権限管理

ローカル管理者資格のリモート使用を拒否してください。ドメインユーザーアカウントをローカルのAdministratorsグループの複数のシステムに含めることを許可しないでください。

Detection

システムへのログインに使用されるアカウントのログがオンになっており、一箇所に収集されていることを確認してください。 Windowsのログは、横方向に移動するために使用される可能性のあるアカウントの成功/失敗を収集でき、Windowsイベント転送などのツールを使用して収集できます。[29] [30] ファイル転送およびリモートプロセス実行のために、リモートログインイベントおよび関連するSMBアクティビティを監視します。管理共有に接続するリモートユーザーのアクションを監視します。 コマンドラインインターフェイスでのNetや、リモートでアクセス可能なシステムを見つけるために使用される探索テクニックなど、リモート共有に接続するためのツールとコマンドの使用を監視します。[31]

References

  1. Wikipedia. (2016, June 12). Server Message Block. Retrieved June 12, 2016.
  2. Microsoft. (2003, March 28). What Is RPC?. Retrieved June 12, 2016.
  3. Microsoft. (n.d.). How to create and delete hidden or administrative shares on client computers. Retrieved November 20, 2014.
  4. Microsoft. (n.d.). Net Use. Retrieved November 25, 2016.
  5. Russinovich, M. (2004, June 28). PsExec. Retrieved December 17, 2015.
  6. Cobalt Strike. (2017, December 8). Tactics, Techniques, and Procedures. Retrieved December 20, 2017.
  7. Savill, J. (1999, March 4). Net.exe reference. Retrieved September 22, 2015.
  8. Baumgartner, K. and Garnaeva, M.. (2014, November 3). BE2 custom plugins, router abuse, and target profiles. Retrieved March 24, 2016.
  9. Symantec Security Response. (2011, November). W32.Duqu: The precursor to the next Stuxnet. Retrieved September 17, 2015.
  10. FireEye. (2016, November 30). FireEye Responds to Wave of Destructive Cyber Attacks in Gulf Region. Retrieved January 11, 2017.
  11. Kaspersky Lab's Global Research and Analysis Team. (2014, November 24). THE REGIN PLATFORM NATION-STATE OWNAGE OF GSM NETWORKS. Retrieved December 1, 2014.
  12. McAfee® Foundstone® Professional Services and McAfee Labs™. (2011, February 10). Global Energy Cyberattacks: “Night Dragon”. Retrieved February 19, 2018.
  13. Symantec Security Response Attack Investigation Team. (2018, April 23). New Orangeworm attack group targets the healthcare sector in the U.S., Europe, and Asia. Retrieved May 8, 2018.
  14. Cylance. (2014, December). Operation Cleaver. Retrieved September 14, 2017.
  15. Mercer, W. and Rascagneres, P. (2018, February 12). Olympic Destroyer Takes Aim At Winter Olympics. Retrieved March 14, 2019.
  16. Chiu, A. (2016, June 27). New Ransomware Variant "Nyetya" Compromises Systems Worldwide. Retrieved March 26, 2019.
  1. US-CERT. (2017, July 1). Alert (TA17-181A): Petya Ransomware. Retrieved March 15, 2019.
  2. Smith, A.. (2017, December 22). Protect your network from Emotet Trojan with Malwarebytes Endpoint Security. Retrieved January 17, 2019.
  3. Alperovitch, D. (2014, July 7). Deep in Thought: Chinese Targeting of National Security Think Tanks. Retrieved November 12, 2014.
  4. Villeneuve, N., Bennett, J. T., Moran, N., Haq, T., Scott, M., & Geers, K. (2014). OPERATION “KE3CHANG”: Targeted Attacks Against Ministries of Foreign Affairs. Retrieved November 12, 2014.
  5. Smallridge, R. (2018, March 10). APT15 is alive and strong: An analysis of RoyalCli and RoyalDNS. Retrieved April 4, 2018.
  6. Novetta Threat Research Group. (2016, February 24). Operation Blockbuster: Unraveling the Long Thread of the Sony Attack. Retrieved February 25, 2016.
  7. Novetta Threat Research Group. (2016, February 24). Operation Blockbuster: Remote Administration Tools & Content Staging Malware Report. Retrieved March 16, 2016.
  8. Elovitz, S. & Ahl, I. (2016, August 18). Know Your Enemy: New Financially-Motivated & Spear-Phishing Group. Retrieved February 26, 2018.
  9. Kaspersky Lab's Global Research and Analysis Team. (2014, August 7). The Epic Turla Operation: Solving some of the mysteries of Snake/Uroburos. Retrieved December 11, 2014.
  10. Dell SecureWorks Counter Threat Unit Special Operations Team. (2015, May 28). Living off the Land. Retrieved January 26, 2016.
  11. Symantec Security Response. (2016, September 6). Buckeye cyberespionage group shifts gaze from US to Hong Kong. Retrieved September 26, 2016.
  12. Dahan, A. (2017). Operation Cobalt Kitty. Retrieved December 27, 2018.
  13. Payne, J. (2015, November 26). Tracking Lateral Movement Part One - Special Groups and Specific Service Accounts. Retrieved February 1, 2016.
  14. Payne, J. (2015, November 23). Monitoring what matters - Windows Event Forwarding for everyone (even if you already have a SIEM.). Retrieved February 1, 2016.
  15. French, D. (2018, September 30). Detecting Lateral Movement Using Sysmon and Splunk. Retrieved October 11, 2019.