Slingshot APT:ルーターを介した攻撃

2018年3月15日

今年もKaspersky Security Analyst Summit(英語サイト)が開催されました。例年どおりKaspersky Labのリサーチャーが調査結果をいくつか発表しましたが、その中でも特に興味深いのが、「Slingshot」という非常に高度なサイバースパイ活動に関する報告です。

攻撃経路

初めに押さえておきたいのは、感染手段です。この攻撃の初期経路は特徴的で、調査によると、多くの被害者は感染したMikroTik製ルーターを介して攻撃されています。ルーターは通常の動きとして、さまざまなDLLファイルをダウンロードして実行します。攻撃者は、何らかの方法で正規のDLLパッケージに悪意あるDLLをまぎれ込ませ、ルーターを感染させました。この不正なDLLはダウンローダーで、さまざまな悪意あるファイルをダウンロードしてルーターに保存します。

当社はルーターの製造元であるMikroTikにこの問題を報告し、同社はすでに問題に対処済みです。ただし、当社エキスパートの考えでは、Slingshotが利用したのはMikroTikルーターだけではなく、他社のルーターも悪用されている可能性があります。

もう一つ興味深いのは、マルウェアをカーネルモードで実行するためにSlingshotが使う手法です。このマルウェアは、脆弱性を抱える署名済みドライバーがないかコンピューターを検索し、見つかればそのドライバーを利用して自身のコードを実行します。

悪意ある機器

Slingshotが利用するモジュールの中でも突出しているのは、カーネルモードモジュールの「Cahnadr」と、ユーザーモードモジュールの「GollumApp」です。

Cahnadrがカーネルモードで実行すると、攻撃者は何の制限も受けず感染コンピューターを完全にコントロールできるようになります。それだけでなく、カーネルモードで動作しようとする大半のマルウェアと異なり、ブルースクリーンを引き起こすことなくコードを実行可能です。GollumAppはさらに高度なモジュールで、攻撃の持続性、ファイルシステムのコントロール、指令サーバーとの通信を提供します。

Slingshotはこれらモジュールを使用して、スクリーンショット、キーボードデータ、ネットワークデータ、パスワード、その他のデスクトップアクティビティ、クリップボードなど多くの情報を収集可能です。しかも、ゼロデイ脆弱性は一切使われていません。少なくとも当社では、Slingshotによるゼロデイ脆弱性の悪用を現時点で確認していません。

検知回避の仕組み

Slingshotは、検知を逃れるための手法を数多く備えています。たとえば、フォレンジック調査が行われている兆候を察知した場合、コンポーネントをシャットダウンすることも可能です。さらに、自身の暗号化されたファイルシステムを、ハードディスクの未使用領域で使用します。Slingshotが使用する検知逃れのテクニックやその他詳細については、Securelist(英語)をご覧ください。

SlingshotのようなAPTに対処するには

MikroTik製ルーターおよび同ルーターの管理ソフトウェアであるWinBoxを使用している場合は、最新バージョンのプログラムをダウンロードして適用しましょう。ただし、この措置は攻撃経路の1つをふさぐだけで、このAPT自体を退けることにはなりません。

高度な標的型攻撃からビジネスを保護するには、戦略的なアプローチを取る必要があります。高度な脅威を先んじて検知するには、ネットワークトラフィック内の異常の発見、不審なプロセスの隔離、イベント間の相関関係の追求が可能なソリューションが役立ちます。このほか、収集したデータを統合して視覚化するソリューション、深刻なインシデントが発生した場合の支援を提供するプロフェッショナルサービス、セキュリティに直接/間接にかかわる人員向けのトレーニング、社員向けのセキュリティ意識向上プログラムが求められます。こうしたアプローチを可能とするカスペルスキーのソリューションについては、こちらをご覧ください