xDedic:不正入手された情報の取引フォーラムが、新たな攻撃の足がかりにも

サイバー犯罪者の取引プラットフォームxDedicでは、不正に収集された認証情報が大量に販売されています。こうした情報が標的型攻撃の起点として利用されることもあります。

Kaspersky Labは、活発な活動を見せているサイバー犯罪者の取引フォーラム、xDedicの実態を調査しました。xDedicの主たる目的は、世界中でハッキングされた70,000台以上のサーバーの認証情報を手軽に売買可能とすることです。いずれのサーバーも、Remote Desktop ProtocolRDP)経由でアクセスできます。xDedicには検索エンジンも実装されており、世界各地の政府、企業ネットワーク、不正侵入されたマシンなど、ほぼ何でも検索可能。サーバー1台あたりの価格は6ドル程度。

標的型攻撃の足掛かり

膨大な数のサーバーが扱われるxDedicフォーラムは、リソースが乏しいサイバー犯罪者または犯罪予備軍にとって魅力的な場です。彼らは、検知されるのを避けたい一方で、標的とするネットワークへの侵入口をなかなか発見できずにいるのですから。その上、要人と思われる標的へのフルアクセスが6ドルとは、超お手頃でもあります。この費用を支払えば、サーバー上のデータにアクセス可能となるだけではなく、チャンスも広がります。たとえば、購入したサーバーを、さらなる攻撃の足掛かりとして利用することもできるのです。

標的型攻撃に使われる可能性があることに加え、xDedicフォーラムで取引されるデータからは、実にさまざまな場所で一貫した数のサーバーが売りに出されていることが見て取れます。タグ付けシステムのおかげで、機を見て攻撃に参入しようと考える人間でも、標的を簡単に見つけることができます。xdedic[.]bizドメインの所有者たちは、自分たちは売り手とは何の関係もなく、安全な取引プラットフォームを提供しているだけだと主張しています。

xdedic_main

サーバーの購入画面

「パートナー」プログラム:サービスとしてのAPTへの一歩

xDedicフォーラムには、「パートナー」専用サブドメイン(partner[.]xdedic[.]biz)が設けられています。この「パートナー」というのは、ハッキングされたサーバーをフォーラムに提供する売り手のことです。xDedicでは、ハッキングされたシステムに関する情報(利用可能なWebサイト、インストールされているソフトウェアなど)を自動で収集するツールが用意されており、他にも同一ユーザーの複数ログインをサポートするRDPサーバー用パッチ、プロキシインストーラーなどのツールもパートナーに提供されています。

xdedic_sellers

xDedicの上位の売り手(2016年5月)

サイバー犯罪の地下フォーラムの存在は、目新しい話題ではありません。しかし興味深いことに、サイバー犯罪者の第一の目的にはここ数年で変化が見られます。近ごろでは、xDedicのようなフォーラムの管理者は、高度な専門性を発揮しているのです。この成功モデルは簡単には真似できるものではありませんが、これよりもさらに専門的なフォーラムが登場すると当社では見ています。そうなったときには、「サービスとしての標的型攻撃」が現実となるかもしれません。

xDedicグループの活動詳細については、Securelistをご参照ださい(英語記事)。

xDedic「パートナー」の手に落ちないために

Kaspersky Labは、xDedicの活動がもたらす脅威に対抗する防御手段を各種ご用意しています。当社のクラウドネットワーク「Kaspersky Security Network」(KSN)により、xDedicのパートナーポータルからダウンロードされたファイル数種(パスワード保護されたシステム情報収集ツール)の特定に漕ぎ着けました。これらのファイルは悪意あるものとしてデータベース登録され、感染したシステムの情報を収集する指令サーバーのURLは拒否リスト化済みです。KSNの詳細レポートは、xDedic関連のツールおよびドメインのホストやネットワークベースのセキュリティ侵害の痕跡(IOC)に関する情報を網羅します。

企業ネットワークへ侵入する方法は、サイバー犯罪者によって毎日のように作り出されています。したがって、企業としては先を見越して行動しなければなりません。カスペルスキー セキュリティインテリジェンスサービスは、プロアクティブな防御を固めるための総合的なアプローチと、xDedicのような脅威に対するリスク緩和策をご提供します。同サービスの一環であるAPTインテリジェンスレポートは、高度な攻撃に関する有効なインテリジェンスデータを迅速かつ定期的にお届けする情報配信サービスです。当サービスをご契約のお客様には、xDedicの活動に関して事前にお知らせし、ネットワーク侵害を検知するために必要なデータを提供いたしました。

このほかに、侵入テストがあります。セキュリティ境界の最弱点に、サイバー犯罪者よりも早く気付くことを目的としたテストです。テストではKaspersky Labのエキスパートが攻撃者のようにふるまい、企業のセキュリティ境界で侵入口となりうる弱点を見極め、セキュリティシステムの改善策を提案します。

xDedicの「クライアント」が使用するRDPアクセスは、IT担当者によって正規の手段として許可されることが多く、気付かぬうちに攻撃のリスクを高めてしまうことがあります。このようなミスを避けるため、Kaspersky LabはIT部門の担当者およびIT部門以外の担当者を対象としたセキュリティトレーニングサービスをご用意しています。トレーニングはマネージャー向け、セキュリティスペシャリスト向け、IT部門以外の従業員向けにレベル分けされています。

ところで、攻撃には必ず痕跡が残ります。犯罪者がいくら懸命に隠そうとしても。当社は、進行中の攻撃をすぐにでも特定したいという企業向けに、カスペルスキー セキュリティインテリジェンスサービスに加えてKaspersky Anti Targeted Attack(KATA)も提供しています(日本では今後展開予定)。このソリューションは、通常のビジネスワークフローとは明らかに異なる活動を検知し、セキュリティチームに警告を発します。xDedicのケースでは、ハッキングされたのち別のサイバー犯罪者に貸し出されたマシンが見せる異常(アウトバウンドのRDP接続、サーバー上に置かれた悪意あるファイルなど)が顕著です。攻撃の特定に最適なツールや手段を、当社は速やかにご提供します。

ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?