Valid Accounts
正当なアカウント

攻撃者は、資格情報アクセス技術を使用して特定のユーザーまたはサービスアカウントの資格情報を盗むか、あるいは初期アクセスを得るためのソーシャルエンジニアリングを通じて偵察プロセスの早い段階で資格情報を取得します。

攻撃者が使用するアカウントは、デフォルトアカウント、ローカルアカウント、ドメインアカウントの3つのカテゴリに分類できます。デフォルトアカウントは、Windowsシステムのゲストまたは管理者アカウント、または他のタイプのシステム、ソフトウェア、またはデバイスのデフォルトの工場/プロバイダーセットアカウントなど、OSに組み込まれているものです。ローカルアカウントは、ユーザー、リモートサポート、サービスで使用するために組織によって、または単一のシステムやサービスでの管理のために組織によって設定されたアカウントです。 [1]ドメインアカウントは、そのドメインの一部であるシステムとサービス全体でアクセスとアクセス許可が構成されているActive Directoryドメインサービスによって管理されているアカウントです。ドメインアカウントは、ユーザー、管理者、およびサービスをカバーできます。

侵害された資格情報は、ネットワーク内のシステムのさまざまなリソースに配置されたアクセスコントロールをバイパスするために使用される可能性があり、また、VPN、Outlook Web Access、リモートデスクトップなどの外部システムおよび外部で利用可能なサービスへの永続的なアクセスにも使用される可能性があります。資格情報が侵害されると、特定のシステムまたはネットワークの制限された領域へのアクセスに対する攻撃者の権限が増加する場合があります。攻撃者は、検出をより困難にする正当なアカウントの資格情報を組み合わせることで、マルウェアやツールを使用しない場合があります。

デフォルトアカウントは、クライアントマシンのゲストと管理者に限定されるものではなく、内部デバイス、オープンソース、COTSなど、ネットワークデバイスやコンピューターアプリケーションなどの機器用に事前設定されたアカウントも含まれます。ユーザー名とパスワードの組み合わせが事前設定されているアプライアンスは、インストール後にユーザー名とパスワードの変更をしない組織にとって深刻な脅威となります。これは、攻撃者の標的になりやすいためです。同様に、攻撃者は、公開された秘密鍵または盗まれた秘密鍵を利用して、リモートサービス経由でリモート環境に正当に接続することもできます。[2]

ネットワークを超えるアカウントアクセス、資格情報、およびアクセス許可の重複は、懸念されます。なぜなら、攻撃者は企業内で、アクセスコントロールを迂回する高レベルのアクセス(ドメインまたはエンタープライズ管理者)に到達するためにアカウントやシステム超えの軸にする可能性があるからです。[3]

ID: T1078
Tactic: Defense Evasion, Persistence, Privilege Escalation, Initial Access
Platform: Linux, macOS, Windows, AWS, GCP, Azure, SaaS, Office 365
Permissions Required: User, Administrator
Effective Permissions: User, Administrator
Data Sources: AWS CloudTrail logs, Stackdriver logs, Authentication logs, Process monitoring
Defense Bypassed: Firewall, Host intrusion prevention systems, Network intrusion detection system, Process whitelisting, System access controls, Anti-virus
CAPEC ID: CAPEC-560
Contributors: Netskope; Mark Wee; Praetorian
Version: 2.0
Created: 31 May 2017
Last Modified: 23 October 2019

Procedure Examples

Name Description
APT18

APT18のアクターは、外部のリモートサービスにログインするために、正当な資格情報を使用します。[39]

APT28

APT28 は、正当な資格情報を使用して初期アクセスを取得し、アクセスを維持し、被害者のネットワークからデータを盗み出しています。このグループは、DCCCネットワークにログインするために、スピアフィッシングメールで盗まれた資格情報を使用しました。このグループはまた、デフォルトのメーカーのパスワードを利用して、VOIP電話、プリンター、ビデオデコーダーなどのIoTデバイスを介して企業ネットワークへの初期アクセスを取得しています。[31][32][33]

APT3

APT3 は、被害者ドメイン内で使用する資格情報を取得した後、正当なアカウントを使用します。[21]

APT32

APT32 は、正当なローカル管理者アカウント資格情報を使用しています。[41]

APT33

APT33 は、初期アクセスと権限昇格に有効なアカウントを使用しています。[26][27]

APT39

APT39 は、盗んだ資格情報を使用してOutlook Web Access(OWA)を侵害しています。[46]

APT41

APT41 は、他のシステムにログオンするために、侵害された資格情報を使用しています。[49]

Carbanak

Carbanak のアクターは、数百万ドルを自分たちに送金するために銀行員の正当な資格情報を使用しました。[18]

Cobalt Strike

Cobalt Strike は、コマンドを実行するために既知の資格情報を使用し、別のユーザーとしてプロセスを生成できます。[7][8]

Dragonfly 2.0

Dragonfly 2.0 は、ユーザーの資格情報を侵害し、攻撃に有効なアカウントを使用しました。[22]

Duqu

攻撃者は、(キーロギングまたは他の手段で)取得した正当な資格情報を利用して、列挙した共有エリアに自分自身をコピーし、Duquに、横方向に拡散するよう指示できます。その後、マルウェアを実行するリモートマシンでタスクスケジュールするために、侵害した資格情報を使用して、リモートホストを感染させます。[12]

Emotet

Emotet は、ローカルの管理者パスワードを総当たり攻撃し、ラテラルムーブメント(侵入拡大)に利用します。[15]

FIN10

FIN10 は、単一認証のみで保護されたVPNを使用して、被害者のネットワークにリモートで接続するために盗んだ資格情報を使用しています。グループは、また、ローカル管理者アカウントを使用して横展開しました。[34]

FIN4

FIN4は、電子メールを乗っ取るために、正当な資格情報を使用しています。[23][24]

FIN5

FIN5 は、被害者環境へアクセスするために、正当なVPN、RDP、Citrix、またはVNCの資格情報を使用しています。[28][29][30]

FIN6

被害者ネットワーク上で横方向に移動するために、 FIN6 は、ユーザー名とパスワードハッシュを収集したシステムで、盗んだ資格情報を使用しています。[36][37]

FIN8

FIN8 は、 永続化横展開をする間、正当なアカウントを利用しています。[19]

Leviathan

Leviathan は、悪意のある電子メールを他の被害組織に送信するなど、防衛回避のために、侵害された正当な電子メールアカウントを使用しています。[25]

Linux Rabbit

Linux Rabbit は、ブルートフォースによって正当なSSHアカウントを取得します。[16]

menuPass

menuPass は、マネージドサービスプロバイダーとクライアント間で共有される有効なアカウントを使用して、2つの環境間を移動しています。[20]

Night Dragon

Night Dragon は、被害者のシステムにアクセスするために、侵害したVPNアカウントを使用します。[40]

NotPetya

NotPetya は、リモートシステムに拡散するために PsExecwmic で正当な資格情報を使用できます。[13][14]

OilRig

OilRig は、被害ネットワーク上の他のシステムにアクセスするために、侵害された資格情報を使用しました。[43][44]

PittyTiger

PittyTiger は、攻撃中に正当な資格情報を取得しようとします。[17]

SeaDuke

一宇の SeaDuke サンプルには、侵害された資格情報を使用してMicrosoft Exchangeサーバーから電子メールを抽出するモジュールがあります。[11]

Shamoon

Shamoon は、現在の権限で共有にアクセスできない場合、ハードコードされた、侵入初期に収集したドメイン固有の資格情報を使用してアクセスを試みます。[9]

Soft Cell

Soft Cell は、被害ネットワークへのアクセスを維持するために、有効なアカウントを利用しました。leveraged valid accounts to maintain access to a victim network.[48]

Stolen Pencil

Stolen Pencil には、RDPを介した継続的なアクセスを確保するために、Windows管理者アカウントを追加するツールがあります。[45]

Suckfly

Suckfly は、まるで正当なアカウント所有者であるかのように、被害ネットワークをナビゲートするために、彼らがダンプした正当なアカウントの資格情報を使用しました。[35]

TEMP.Veles

TEMP.Veles は、侵害したVPNアカウントを使用しました。 [47]

Threat Group-1314

Threat Group-1314 の攻撃者は、侵入拡大のために被害者のエンドポイント管理プラットフォームであるAltirisに侵害した資格情報を使用しました。[42]

Threat Group-3390

Threat Group-3390 のアクターは、さまざまな方法を使用して正当な資格情報を取得し、それらを使用して被害者のネットワーク上でさらに侵入を拡大します。[38]

Umbreon

Umbreonは、システムへのアクセスを提供する有効なユーザーを作成します。[10]

Mitigations

Mitigation Description
Application Developer Guidance
アプリケーション開発者向けガイダンス

アプリケーションが機密データや資格情報を安全でない状態では、保存しないようにします。 (例:コード内のプレーンテキスト資格情報、リポジトリ内の公開された資格情報、またはパブリッククラウドストレージ内の資格情報)。

Audit
監査

資格情報の安全な使用と保存のために、ソースコード、アプリケーション構成ファイル、オープンリポジトリ、パブリッククラウドストレージを定期的に監査します。

Filter Network Traffic
ネットワークトラフィックのフィルタリング

クラウドサービスプロバイダーは、クラウドリソースへのアクセスに、IPベースの制限をサポートします。クラウドベースのシステムでIPホワイトリストを使用し、データアクセスが有効なユーザーの管理だけでなく、予想されるIP範囲からのみのアクセスを制限し、盗まれた資格情報でのデータアクセスを回避することを検討してください。

Multi-factor Authentication
多要素認証

組織のポリシーの一部として多要素認証(MFA)を統合することで、初期アクセス、侵入拡大、情報収集などの追加の戦術に使用される可能性のある有効な資格情報を、攻撃者が制御するリスクを大幅に削減できます。 MFAを使用して、クラウドリソースとAPIへのアクセスを制限することもできます。

Password Policies
パスワードポリシー

デフォルトのユーザー名とパスワードを使用するアプリケーションとアプライアンスは、インストール後すぐに、実稼働環境にデプロイする前に変更する必要があります。可能な場合、SSHキーを使用するアプリケーションは定期的に更新し、適切に保護する必要があります。ローカル管理者アカウントには、ネットワーク上のすべてのシステムにわたって複雑で一意のパスワードが設定されていることを確認してください。

クラウド環境では、盗まれた資格情報が有効な期間を減らすために、特定の日数内でアクセスキーをローテーションすることを検討してください。[6]

Privileged Account Management
特権アカウントの管理

特権アカウントの資格情報を取得することにより、攻撃者が幅広いアクセス権を取得できるような状況がないかを探すために、ドメインとローカルアカウント、およびそれらのアクセス許可レベルを定期的に監査します。これらの監査には、デフォルトのアカウントが有効になっていないかどうか、または承認されていない新しいローカルアカウントが作成されていないかどうかも含まれます。厳密に制御され、アカウントの使用がセグメント化されている場合を除いて、システムのローカル管理者グループにユーザーまたは管理者のドメインアカウントを配置しないでください。これは、多くの場合、すべてのシステムで同じパスワードのローカル管理者アカウントを持つことと同等です。エンタープライズネットワークの設計と管理のベストプラクティスに従って、管理層全体での特権アカウントの使用を制限します。アカウントの資格情報を取得された場合にアクセスできないように、システム間で資格情報の重複を制限します。[3][4][5]

User Account Management
ユーザアカウント管理

Identity and Access Management(IAM)コントロールを使用して、ユーザーとユーザーグループに役割に対する適切なアクセス許可があることを確認します。クラウドベースのシステムにアクセスするためのユーザー権限、グループ、役割も設定します。厳密なIAM制御を実装して、アクセスを必要とするアプリケーション、ユーザー、およびサービス以外のものが、システムへアクセスすることを防止します。クラウド環境では一定期間のみ有効な一時的な資格情報を使用して、侵害されたアカウントが有効な期間を減らすことを検討してください。

Detection

企業全体、また外部からアクセス可能なサービスに、堅牢で一貫したアカウントアクティビティ監査ポリシーを設定します。 [50] ユーザー、管理者、またはサービスのいずれかのアカウントを共有するシステム全体で、疑わしいアカウントの動作を探します。(例:1つのアカウントによる複数のシステムへの同時ログイン。同じマシンに同時にログインしている複数のアカウント。奇妙な時間や、営業時間外にログインしたアカウント。)アクティビティは、対話型ログインセッションからのものか、特定のアカウントとしてリモートシステムでバイナリを実行するために使用されているアカウントからのプロセス所有権である場合があります。他のセキュリティシステムをログイン情報と関連付けます(たとえば、ユーザーがアクティブなログインセッションを持っているのに、建物に入っていない、またはVPNアクセスを持っていない)。

ドメインおよびローカルシステムアカウントの定期的な監査を実行して、永続性のために攻撃者によって作成された可能性のあるアカウントを検出します。これらのアカウントのチェックには、Guestなどのデフォルトアカウントがアクティブ化されていないかどうかも含まれます。これらの監査には、デフォルトの資格情報またはSSHキーが設定されたアプライアンスやアプリケーションのチェックも含まれている必要があります。検出されたものがあった場合は、すぐに更新する必要があります。

References

  1. Microsoft. (2018, December 9). Local Accounts. Retrieved February 11, 2019.
  2. undefined. (n.d.). Retrieved April 12, 2019.
  3. Microsoft. (2016, April 15). Attractive Accounts for Credential Theft. Retrieved June 3, 2016.
  4. Microsoft. (2016, April 16). Implementing Least-Privilege Administrative Models. Retrieved June 3, 2016.
  5. Plett, C., Poggemeyer, L. (12, October 26). Securing Privileged Access Reference Material. Retrieved April 25, 2017.
  6. undefined. (n.d.). Risks of Default Passwords on the Internet. Retrieved April 12, 2019.
  7. Strategic Cyber LLC. (2017, March 14). Cobalt Strike Manual. Retrieved May 24, 2017.
  8. Mudge, R. (2017, May 23). Cobalt Strike 3.8 – Who’s Your Daddy?. Retrieved June 4, 2019.
  9. FireEye. (2016, November 30). FireEye Responds to Wave of Destructive Cyber Attacks in Gulf Region. Retrieved January 11, 2017.
  10. Fernando Mercês. (2016, September 5). Pokémon-themed Umbreon Linux Rootkit Hits x86, ARM Systems. Retrieved March 5, 2018.
  11. Symantec Security Response. (2015, July 13). “Forkmeiamfamous”: Seaduke, latest weapon in the Duke armory. Retrieved July 22, 2015.
  12. Symantec Security Response. (2011, November). W32.Duqu: The precursor to the next Stuxnet. Retrieved September 17, 2015.
  13. Chiu, A. (2016, June 27). New Ransomware Variant "Nyetya" Compromises Systems Worldwide. Retrieved March 26, 2019.
  14. US-CERT. (2017, July 1). Alert (TA17-181A): Petya Ransomware. Retrieved March 15, 2019.
  15. Smith, A.. (2017, December 22). Protect your network from Emotet Trojan with Malwarebytes Endpoint Security. Retrieved January 17, 2019.
  16. Anomali Labs. (2018, December 6). Pulling Linux Rabbit/Rabbot Malware Out of a Hat. Retrieved March 4, 2019.
  17. Bizeul, D., Fontarensky, I., Mouchoux, R., Perigaud, F., Pernet, C. (2014, July 11). Eye of the Tiger. Retrieved September 29, 2015.
  18. Kaspersky Lab's Global Research and Analysis Team. (2015, February). CARBANAK APT THE GREAT BANK ROBBERY. Retrieved August 23, 2018.
  19. Elovitz, S. & Ahl, I. (2016, August 18). Know Your Enemy: New Financially-Motivated & Spear-Phishing Group. Retrieved February 26, 2018.
  20. PwC and BAE Systems. (2017, April). Operation Cloud Hopper. Retrieved April 5, 2017.
  21. Symantec Security Response. (2016, September 6). Buckeye cyberespionage group shifts gaze from US to Hong Kong. Retrieved September 26, 2016.
  22. US-CERT. (2018, March 16). Alert (TA18-074A): Russian Government Cyber Activity Targeting Energy and Other Critical Infrastructure Sectors. Retrieved June 6, 2018.
  23. Vengerik, B. et al.. (2014, December 5). Hacking the Street? FIN4 Likely Playing the Market. Retrieved December 17, 2018.
  24. Vengerik, B. & Dennesen, K.. (2014, December 5). Hacking the Street? FIN4 Likely Playing the Market. Retrieved January 15, 2019.
  25. Axel F, Pierre T. (2017, October 16). Leviathan: Espionage actor spearphishes maritime and defense targets. Retrieved February 15, 2018.
  1. Davis, S. and Carr, N. (2017, September 21). APT33: New Insights into Iranian Cyber Espionage Group. Retrieved February 15, 2018.
  2. Ackerman, G., et al. (2018, December 21). OVERRULED: Containing a Potentially Destructive Adversary. Retrieved January 17, 2019.
  3. Scavella, T. and Rifki, A. (2017, July 20). Are you Ready to Respond? (Webinar). Retrieved October 4, 2017.
  4. Higgins, K. (2015, October 13). Prolific Cybercrime Gang Favors Legit Login Credentials. Retrieved October 4, 2017.
  5. Bromiley, M. and Lewis, P. (2016, October 7). Attacking the Hospitality and Gaming Industries: Tracking an Attacker Around the World in 7 Years. Retrieved October 6, 2017.
  6. Hacquebord, F.. (2017, April 25). Two Years of Pawn Storm: Examining an Increasingly Relevant Threat. Retrieved May 3, 2017.
  7. Mueller, R. (2018, July 13). Indictment - United States of America vs. VIKTOR BORISOVICH NETYKSHO, et al. Retrieved September 13, 2018.
  8. MSRC Team. (2019, August 5). Corporate IoT – a path to intrusion. Retrieved August 16, 2019.
  9. FireEye iSIGHT Intelligence. (2017, June 16). FIN10: Anatomy of a Cyber Extortion Operation. Retrieved June 25, 2017.
  10. DiMaggio, J.. (2016, May 17). Indian organizations targeted in Suckfly attacks. Retrieved August 3, 2016.
  11. FireEye Threat Intelligence. (2016, April). Follow the Money: Dissecting the Operations of the Cyber Crime Group FIN6. Retrieved June 1, 2016.
  12. McKeague, B. et al. (2019, April 5). Pick-Six: Intercepting a FIN6 Intrusion, an Actor Recently Tied to Ryuk and LockerGoga Ransomware. Retrieved April 17, 2019.
  13. Dell SecureWorks Counter Threat Unit Threat Intelligence. (2015, August 5). Threat Group-3390 Targets Organizations for Cyberespionage. Retrieved August 18, 2018.
  14. Adair, S. (2017, February 17). Detecting and Responding to Advanced Threats within Exchange Environments. Retrieved March 20, 2017.
  15. McAfee® Foundstone® Professional Services and McAfee Labs™. (2011, February 10). Global Energy Cyberattacks: “Night Dragon”. Retrieved February 19, 2018.
  16. Carr, N.. (2017, May 14). Cyber Espionage is Alive and Well: APT32 and the Threat to Global Corporations. Retrieved June 18, 2017.
  17. Dell SecureWorks Counter Threat Unit Special Operations Team. (2015, May 28). Living off the Land. Retrieved January 26, 2016.
  18. Unit 42. (2017, December 15). Unit 42 Playbook Viewer. Retrieved December 20, 2017.
  19. Davis, S. and Caban, D. (2017, December 19). APT34 - New Targeted Attack in the Middle East. Retrieved December 20, 2017.
  20. ASERT team. (2018, December 5). STOLEN PENCIL Campaign Targets Academia. Retrieved February 5, 2019.
  21. Hawley et al. (2019, January 29). APT39: An Iranian Cyber Espionage Group Focused on Personal Information. Retrieved February 19, 2019.
  22. Miller, S, et al. (2019, April 10). TRITON Actor TTP Profile, Custom Attack Tools, Detections, and ATT&CK Mapping. Retrieved April 16, 2019.
  23. Cybereason Nocturnus. (2019, June 25). Operation Soft Cell: A Worldwide Campaign Against Telecommunications Providers. Retrieved July 18, 2019.
  24. Fraser, N., et al. (2019, August 7). Double DragonAPT41, a dual espionage and cyber crime operation APT41. Retrieved September 23, 2019.
  25. Microsoft. (2016, April 15). Audit Policy Recommendations. Retrieved June 3, 2016.