パロアルトネットワークスのTrapsを使用したCarbanak攻撃からの防御

This post is also available in: English (英語)

Kaspersky Labの最新のレポートによって、Carbanakと呼ばれる世界中の銀行を標的にした途方もないサイバー攻撃が明らかにされました。このレポートでは、脅威を仕掛けた人物が100を超える銀行から10億ドル以上を窃取したと報告されています。この攻撃は2013年後半から始まり、現在も続いています。

報道では、世界史上、これまでで「最も巧妙な」手口であると評されています。「巧妙」とは大規模な攻撃の跳梁時の決まり文句として使用されることも多いですが、入手可能な情報に基づいて、何が起こったのかを少し詳しく調べてみましょう。

Kasperskyのレポートから、Carbanakの手口がその前身のパターンを踏襲していることがはっきりわかりました。このパターンとは、Officeの脆弱性を利用してスピア フィッシングを潜ませたドキュメントから始まり、これにバックドア ドロップ、マルウェア ダウンロード、横方向の移動、サーバの悪用およびデータの漏えいが続くものです。

このパターンは、近年発生していた手口と比較して目新しいものではありません。では、なぜ「巧妙」と評されるのでしょうか。

まず、この手口における独自の特性は、これまで攻撃者が情報を標的とするサイバー スパイ活動の手口のみで確認されていた上記の手法が利用されていることです。Carbanakの手口で、大規模な窃盗にAPTの手法が初めて応用されていることが確認されました。

2つ目は、横方向の移動と保護の不正な回避の両方からの足がかりが得られた後でなければ実際の手口が明らかにならないことです。攻撃者は、金融サービス ソフトウェアおよびネットワークに関する徹底的な知識があることを見せつけ、金銭の窃盗時でも身を隠していることができます。

しかし、最初の足がかりがどのように得られたかを調べると、「巧妙な」ものは何もありません。攻撃者は被害者にOffice (CVE-2012-0158およびCVE-2013-3906)とMicrosoft Word (CVE-2014-1761)の脆弱性を悪用した仕掛けを潜ませたスピア フィッシングの電子メールを送信します。

パロアルトネットワークスのTrapsは、攻撃で使用されるコア技法を遮ることで攻撃から防御します。これにはCVE-2012-0158、CVE-2013-3906およびCVE-2014-1761を悪用する攻撃が含まれます。Trapsであれば、Carbanakの手口で言われる「巧妙化」、つまり未解決の問題を利用する攻撃を防御できます。

攻撃対象領域をエクスプロイト フェーズに限定することによって、攻撃のすべてが明確に定義された一連の技法として認識され効率的な対処が可能になります。