Replication Through Removable Media
リムーバブルメディアを介した複製

攻撃者は、リムーバブルメディアにマルウェアをコピーし、メディアがシステムに挿入されて実行される自動実行機能を利用することにより、切断されたネットワークシステムに侵入する可能性があります。ラテラルムーブメントの場合、これはリムーバブルメディアに保存されている実行可能ファイルの変更、またはマルウェアをコピーして正当なファイルのように改名し、ユーザーを別のシステムで実行するように仕向けることにより発生します。初期アクセスの場合、これは、メディアの手動操作、メディアの初期フォーマットに使用されるシステムの変更、またはメディアのファームウェア自体の変更によって発生する場合があります。

ID: T1091
Tactic: Lateral Movement, Initial Access
Platform: Windows
System Requirements: Removable media allowed, Autorun enabled or vulnerability present that allows for code execution
Permissions Required: User
Data Sources: File monitoring, Data loss prevention
Version: 1.0
Created: 31 May 2017
Last Modified: 18 July 2019

Procedure Examples

Name Description
Agent.btz

Agent.btz は、リムーバブルメディアデバイスに自分自身をドロップし、そのファイルを実行するための命令を含むautorun.infファイルを作成します。デバイスが別のシステムに挿入されると、autorun.infが開き、マルウェアが読み込まれます。[9]

APT28

APT28 は、接続されたUSBデバイスを感染させ、感染したUSBデバイスが挿入されると自身をエアギャップコンピュータに感染させるツールを使用します。[4]

CHOPSTICK

APT28の攻撃の一部には、 CHOPSTICK モジュールを使用して自身をエアギャップマシンにコピーし、USBスティックに書き込まれたファイルを使用してデータとコマンドトラフィックを転送することが含まれていました。[3][4]

Darkhotel

Darkhotelが選んだウィルスは、コンピューター全体に拡散する方法として、リムーバブルメディアに保存されている実行可能ファイルを変更します。[15]

DustySky

DustySky はリムーバブルメディアを検索し、自身をそこに複製します。[8]

Flame

Flame には、USBスティックに感染し、Autorun機能を使用して、スティックが差し込まれた他のWindowsシステムに感染拡大するモジュールが含まれています。[11]

H1N1

H1N1 には、リムーバブルメディアに自分自身をコピーする機能があります。[6]

njRAT

njRAT は、リムーバブルドライブを介して拡散するように設定できます。[12]

SHIPSHAPE

APT30 は、SHIPSHAPEマルウェアを使用して、エアギャップネットワークに移動した可能性があります。 SHIPSHAPEは、自動実行を使用して実行するようにドライブを変更するか、もしくは正当なドキュメントファイルを非表示にして、正当なドキュメントと同じ名前の実行可能ファイルをフォルダーにコピーすることにより、他のシステムに拡散するためのリムーバブルドライブをターゲットにしています。[10]

Unknown Logger

Unknown Logger is capable of spreading to USB devices.[7]

Ursnif

Ursnif は、拡散するためにリムーバブルドライブに自分自身をコピーし、感染させました。[13][14]

USBStealer

USBStealer drops itself onto removable media and relies on Autorun to execute the malicious file when a user opens the removable media on another system.[5]

Mitigations

Mitigation Description
Disable or Remove Feature or Program
機能やプログラムの無効化および削除

不要な場合は、自動実行を無効にします。リムーバブルメディアが業務に必要ない場合は、組織のポリシーレベルで禁止、または制限します。[1][2]

Limit Hardware Installation
ハードウェア取り付け制限

ネットワーク内でのUSBデバイスとリムーバブルメディアの使用を制限します。

Detection

リムーバブルメディア上のファイルアクセスを監視します。マウントされた後、またはユーザーによって開始されたときに、リムーバブルメディアから実行されるプロセスを検出します。もしリモートアクセスツールが、この方法で横方向に移動している場合、コマンドアンドコントロールのためのネットワーク接続、およびシステムやネットワーク情報の探索など、実行後に追加のアクションが発生する可能性があります。

References