Drive-by Compromise
Web閲覧による感染

Web閲覧による感染とは、ユーザーがWebサイトを見ることで攻撃者がユーザーのシステムへのアクセスを得ることです。このテクニックでは、通常、ユーザーのWebブラウザーが攻撃の対象になりますが、攻撃者はアプリケーションへのアクセストークンの取得など、改ざんされたWebサイトを使用することもあります。

攻撃コードをブラウザに配信する方法には、次のような複数の方法があります。

  • 攻撃者がJavaScript、iFrame、クロスサイトスクリプティングなどの悪意のあるコードを挿入した場合、正当なWebサイトが汚染されます。
  • 悪意のある広告は正当な広告プロバイダーの代わりに提供されます。
  • 組み込みのWebアプリケーションインターフェイスは、Webコンテンツの表示に使用できる他の種類のオブジェクトの挿入や、クライアント上で実行されるスクリプト(フォーラムへの投稿、コメント、その他のユーザーが制御可能なWebコンテンツなど)の挿入に利用されます。

多くの場合、攻撃者が使用するWebサイトは、政府、特定の業界、地域などの特定のコミュニティが訪問するWebサイトであり、その目的は共有の利益に基づいて特定のユーザーを侵害することです。この種の標的型攻撃は、戦略的なWeb侵害または水飲み場攻撃と呼ばれます。この攻撃には、いくつかの例が知られています。[1]

典型的な感染プロセス:

  1. ユーザーは、攻撃者にコンテンツをコントロールされているWebサイトにアクセスします。
  2. スクリプトは自動的に実行され、脆弱性のあるバージョンのブラウザやプラグインであるか検索します。
    • ユーザーは、スクリプトまたはWebサイトのコンポーネントを有効にし、警告ダイアログボックスを無視することによって、このプロセスを支援する必要がある場合があります。
  3. 脆弱なバージョンが見つかると、攻撃コードがブラウザに配信されます。
  4. 攻撃が成功した場合、他の保護が設定されていない限り、ユーザーのシステムで攻撃者のコードが実行されます。
    • 最初のスキャン後、攻撃コードが配信される前に、Webサイトへのアクセスが2回必要になる場合があります。

外部公開されたアプリケーションへの攻撃と異なり、このテクニックの狙いは、Webサイトにアクセスしたときにクライアントのソフトウェアを悪用することです。これにより、一般的に、DMZにある外部システムではなく、内部ネットワーク上のシステムへ、攻撃者のアクセスが許可されます。

攻撃者は、侵害されたWebサイトを使用して、OAuthトークンなどのApplication Access Tokenの搾取のために設計された悪意のあるアプリケーションをユーザーを配信し、保護されたアプリケーションおよび情報にアクセスすることもできます。これらの悪意のあるアプリケーションは、正当なWebサイトのポップアップを介して配信されています。[2]

ID: T1189
Tactic: Initial Access
Platform: Windows, Linux, macOS, SaaS
Permissions Required: User
Data Sources: Packet capture, Network device logs, Process use of network, Web proxy, Network intrusion detection system, SSL/tLS inspection
Contributors: Jeff Sakowicz, Microsoft Identity Developer Platform Services (IDPM Services); Saisha Agrawal, Microsoft Threat Intelligent Center (MSTIC)
Version: 1.1
Created: 18 April 2018
Last Modified: 11 October 2019

Procedure Examples

Name Description
APT19

APT19 は、2014年にforbes.comで標的を感染させるために水飲み場攻撃を行いました。[19]

APT32

APT32 は、改ざんされた水飲み場攻撃用のWebサイトを訪問させることにより、被害者を感染させました。[23]

APT37

APT37 は、マルウェアを配布するために、特に北朝鮮のWebサイトを戦略的にWeb侵害を使用しています。このグループは、また、マルウェアをより無差別に被害者に広めるために、トレントファイル共有サイトを使用します。 感染活動の一部において、グループはRICECURRYと呼ばれるJavascriptベースのプロファイラーを使用して、被害者のWebブラウザーを分析し、それに応じて悪意のあるコードを配信しました。[17][7]

APT38

APT38 は、被害者への最初のアクセスを得るため、水飲み場攻撃を実施しました。[24]

BRONZE BUTLER

BRONZE BUTLER は、水飲み場攻撃を実行するために、不正なFlashファイルで日本のWebサイトを3つ改ざんしました。[10]

Dark Caracal

Dark Caracalは、水飲み場を利用して悪意のあるコードを配信しました。[18]

Darkhotel

Darkhotel は、選定した被害者をリダイレクトさせてマルウェアをダウンロードさせるために、ホテルのログインポータルにiframeを埋め込みました。[25]

Dragonfly 2.0

Dragonfly 2.0 は、正当な組織のWebサイトを侵害し、被害者を感染させるために水飲み場攻撃を行いました。[9]

Elderwood

Elderwoodは、特定業界のターゲットが訪問した特定の公開Webページに悪意のあるコードを挿入することにより、ゼロデイエクスプロイトとマルウェアを被害者に配信しました。[11][12][13]

KARAE

KARAE は、YouTubeビデオダウンローダーアプリケーションをおとりとして使用して、トレントファイル共有Webサイトを通じて韓国の被害者に配信されました。[7]

Lazarus Group

Lazarus Group は、汚染された正当なWebサイトを通じで被害者に RATANKBA を配信しました。[8]

Leafminer

Leafminer は、水飲み場攻撃を使用して被害者を感染させました。[14]

Patchwork

Patchwork は、最初の被害者に攻撃コードを含むファイルを配信するために水飲み場攻撃を使用しました。[15][16]

PLATINUM

PLATINUM は、脆弱なブラウザプラグインに対するドライブバイ攻撃を使用することがあります。[20]

POORAIM

POORAIM は、水飲み場攻撃に使用される侵害されたサイトを通じて配信されています。[7]

Threat Group-3390

Threat Group-3390 は、被害者を狙って戦略的にWeb侵害を行います。[21][22]

Mitigations

Mitigation Description
Application Isolation and Sandboxing
アプリケーションの分離とサンドボックス化

ブラウザーのサンドボックスを使用して、攻撃の一部を軽減できますが、サンドボックス避けが、依然として存在する可能性があります。

他のタイプの仮想化およびアプリケーションのマイクロセグメンテーションも、クライアントへの攻撃の影響を緩和する可能性があります。これらのタイプのシステムでは、追加の攻撃や実装の弱点のリスクが依然として存在する可能性があります。[3][4]

Exploit Protection

Windows Defender Exploit Guard(WDEG)やEnhanced Mitigation Experience Toolkit(EMET)など、攻撃時に使用される動作を探すセキュリティアプリケーションを使用して、一部の攻撃動作を緩和できます。制御フローの整合性チェック(CFG)は、攻撃の可能性を識別し、停止させるための別の方法です。これらの保護の多くは、構成に依存し、レガシーなアプリを対象としています。[5][6]

Restrict Web-Based Content
Webベースのコンテンツの制限

広告を介して配信される悪意のあるコードの場合、アドブロッカーはそのコードが最初に実行されるのを防ぐのに役立ちます。

スクリプトブロックの拡張機能は、攻撃プロセスで一般的に使用される可能性のあるJavaScriptの実行を防止するのに役立ちます。

Update Software
ソフトウェアのアップデート

すべてのブラウザとプラグインを最新に保つことで、この手法の攻撃フェーズを防ぐことができます。セキュリティ機能がオンになっている最新のブラウザを使用します。

Detection

ファイアウォールとプロキシは、既知の悪性ドメインまたはパラメータのURLを検査できます。また、Webサイトや、ドメインの古さ、登録者、既知の悪性リストにあるかどうか、以前に接続した他のユーザーの数など、要求されたリソースに対して評価ベースの分析を行うこともできます。

場合によってはSSL / tLS MITM検査を伴うネットワーク侵入検知システムを使用して、既知の悪性スクリプト(偵察、ヒープスプレー、ブラウザー識別スクリプトは頻繁に再利用されている)、一般的な難読化スクリプト、および悪性コードを探すことができます。

正当なWebサイトからドライブバイ攻撃に基づく感染を検出することは困難な場合があります。また、ブラウザプロセスの異常な動作など、感染の成功を示すエンドポイントシステム上の動作を探すこともできます。これには、ディスクに書き込まれた疑わしいファイル、実行を隠そうとするプロセスインジェクションの痕跡、探索の痕跡、またはシステムに転送された追加のツールを示す他の異常なネットワークトラフィックが含まれます。

References

  1. Adair, S., Moran, N. (2012, May 15). Cyber Espionage & Strategic Web Compromises – Trusted Websites Serving Dangerous Results. Retrieved March 13, 2018.
  2. Lassalle, D., et al. (2017, November 6). OceanLotus Blossoms: Mass Digital Surveillance and Attacks Targeting ASEAN, Asian Nations, the Media, Human Rights Groups, and Civil Society. Retrieved November 6, 2017.
  3. Cowan, C. (2017, March 23). Strengthening the Microsoft Edge Sandbox. Retrieved March 12, 2018.
  4. Goodin, D. (2017, March 17). Virtual machine escape fetches $105,000 at Pwn2Own hacking contest - updated. Retrieved March 12, 2018.
  5. Nunez, N. (2017, August 9). Moving Beyond EMET II – Windows Defender Exploit Guard. Retrieved March 12, 2018.
  6. Wikipedia. (2018, January 11). Control-flow integrity. Retrieved March 12, 2018.
  7. FireEye. (2018, February 20). APT37 (Reaper): The Overlooked North Korean Actor. Retrieved March 1, 2018.
  8. Trend Micro. (2017, February 27). RATANKBA: Delving into Large-scale Watering Holes against Enterprises. Retrieved May 22, 2018.
  9. US-CERT. (2018, March 16). Alert (TA18-074A): Russian Government Cyber Activity Targeting Energy and Other Critical Infrastructure Sectors. Retrieved June 6, 2018.
  10. DiMaggio, J. (2016, April 28). Tick cyberespionage group zeros in on Japan. Retrieved July 16, 2018.
  11. O'Gorman, G., and McDonald, G.. (2012, September 6). The Elderwood Project. Retrieved February 15, 2018.
  12. Clayton, M.. (2012, September 14). Stealing US business secrets: Experts ID two huge cyber 'gangs' in China. Retrieved February 15, 2018.
  13. Paganini, P. (2012, September 9). Elderwood project, who is behind Op. Aurora and ongoing attacks?. Retrieved February 13, 2018.