ログを活用したActive Directoryに対する攻撃の検知と対策

Size: px

Start display at page:

Download "ログを活用したActive Directoryに対する攻撃の検知と対策"

あまめのあき
5 years ago
Views:

1 電子署名者 : Japan Computer Emergency Response Team Coordination Center DN : c=jp, st=tokyo, l=chiyoda-ku, Japan Computer Emergency Response =office@jpcert.or.jp, o=japan Computer Emergency Response Team Coordination Team Coordination Center Center, cn=japan Computer Emergency Response Team Coordination Center 日付 : :26:43 +09'00' ログを活用した Active Directory に対する攻撃の検知と対策 JPCERT/CC 早期警戒グループ

2 本文書の目的 JPCERT/CC では高度サイバー攻撃 ( 標的型攻撃 ) において Active Directory を乗っ取る事例を多数確認している一部の組織ではActive Directoryの脆弱性が放置されていたりログが十分に保存されておらず攻撃を受けやすいまたは受けても検知できない環境にある Active Directoryの攻撃手法とその対策を合わせて整理した日本語ドキュメントは少ない JPCERT/CC がインシデント対応支援を通して得た知見をログを活用した Active Directory に対する攻撃の検知と対策に集約 1

3 想定している読者想定読者 Active Directory を運用または導入を検討しているシステム管理者セキュリティ担当者セキュリティインシデントの対応や調査に関わる担当者コンセプト Active Directory に対する攻撃手法攻撃を検知するためのログの確認ポイント攻撃を抑止または被害を軽減するための対策を整理実践しやすいように手順などを具体的に記載フローチャートや表で行うべき対応を分かりやすく記載より詳細な情報を Appendix に掲載運用やインシデント対応の現場で実践的に活用できる文書を目指して作成 2

4 本文書の活用方法章構成読者のニーズ文書の全体構成を把握したい 1 はじめに本文書の概要 (Executive Summary) を知りたい 2 高度サイバー攻撃の手法高度サイバー攻撃の概要を理解したい Active Directory に対する攻撃手法 Active Directory のイベントログを活用した高度サイバー攻撃の検知 Active Directory に対する攻撃の対策 Active Directory への攻撃手法を理解したいログを分析してActive Directoryへの攻撃を検知し侵害されたコンピュータやアカウントを特定したい攻撃抑止のための予防的対策や検知されたActive Directoryへの攻撃に対する緊急対処について知りたい 6 最後にー - Appendix 攻撃手法や検知対策に必要な設定についてより詳細に知りたい 3

5 Active Directory の概要 Active Directory とは Microsoft 社が提供している組織内のコンピュータやユーザを集中的に管理できる仕組みドメイン : コンピュータやユーザを管理する際の管理単位ドメイン管理者 : ドメイン配下の全てのリソースをコントロールできる権限を持つアカウント 4

6 2 章高度サイバー攻撃の手法 5

7 高度サイバー攻撃のプロセス侵入を防ぐのは難しい攻撃を早期検知して被害を低減する攻撃者は Active Directory への攻撃を行い横断的侵害を容易にするため認証情報やより高い権限の窃取を試みる 6

8 3 章 Active Directory に対する攻撃手法 7

9 Active Directory に対する攻撃の例攻撃者はドメイン管理者権限などを窃取し正規の管理者になりすまして長期にわたって使えるアクセス権限の獲得を試みる 8

10 Active Directoryに対する攻撃手法攻撃手法は大きく分けて2つ 1. Active Directoryの脆弱性の悪用 2. 端末に保存された認証情報の悪用いずれも攻撃手法やツールも公開されており比較的容易に攻撃できる Active Directory 環境で使用される認証方式 (Kerberos/NTLM 認証 ) の脆弱性や仕様上の弱点が狙われることが多い 9

(CVE-2014-6324 / MS14-068) の悪用を確認している上記脆弱性により

11 攻撃手法 1( Active Directory の脆弱性の悪用 ) Kerberos 認証の脆弱性を悪用しドメイン管理者権限を取得する方法 Kerberos KDC の脆弱性 (CVE / MS14-068) の悪用を確認している上記脆弱性によりドメインユーザがドメイン管理者に権限昇格することができるツールが公開されており比較的容易に攻撃が可能 10

12 攻撃手法 2( 端末に保存された認証情報の悪用 ) 端末のメモリには過去にログインした認証情報が残存していることがありこれを窃取する攻撃手法内容どのように悪用するか Pass-the-Hash NTLM 認証のパスワードハッシュでログインできる仕組みを悪用して不正にログインするパスワードを使いまわしている ( 同じパスワードハッシュでアクセスできる ) ことを利用し他のコンピュータにログイン Pass-the-Ticket Kerberos 認証で使われる認証チケットを悪用して不正にログインする正規ユーザになりすまして検知を回避する Golden Ticket Silver Ticket を作成する 11

13 Pass-the-Ticket Kerberos 認証で使用される認証チケットを窃取したり不正に作成することによりサービスを不正に利用する TGT : Service Ticket を要求するためのチケット Service Ticket : サービスにアクセスするために必要なチケット 12

14 Golden Ticket / Silver Ticket Golden Ticket ( 攻撃者が不正に作成した TGT) ドメイン管理者権限を窃取することで作成できるドメイン管理者を含む任意のユーザになりすますことができる有効期限が10 年で任意の端末上やアカウントで使える Silver Ticket( 攻撃者が不正に作成した ST) 各サーバの管理者権限を窃取することで作成できるサーバの管理者や利用者になりすまして任意のサービスにアクセスできる有効期限が 10 年で任意の端末上やアカウントで使える DC にアクセスせずに使用できる =DC にログが残らないいずれも不正に作成された正規の認証チケットであるため検知が難しい 13

15 4 章 Active Directory のイベントログを活用した横断的侵害の検知 14

16 ログ確認のフロー Windows のログ ( イベントログ ) から攻撃の痕跡を効率的に検知する手法を紹介フローチャートで状況に応じて確認すべきポイントや参照すべき章を明確化 15

17 攻撃手法とログの調査方法確認対象の対応攻撃手法と有効な検知手法の対応表を掲載調査すべき機器と調査が有効なバージョンを明記 16

18 不審なログの調査攻撃の可能性がある特徴的で比較的容易に検知できるイベントログを紹介以下は不審なログの調査の一例として Kerberos KDC の脆弱性 MS を悪用する攻撃を検知する方法調査対象不審と判断する基準検知したら何をすればよいかなどについて具体的に記載 17

19 認証ログの調査平常時 ( 運用 ) と比較して不審かどうかを判断する必要がある以下は認証ログの調査の一例として意図しないアカウントに特権が割り当てられていないか調査する方法調査対象確認観点具体的なイベント IDと項目名などについて具体的に記載 18

20 アカウントの悪用に気づきやすい環境の紹介管理者アカウントを使用する端末の限定悪用を検知しやすい例 ( 端末とアカウントが 1:1) 悪用を検知しにくい例 ( 端末とアカウントが多 :1 または多 : 多 ) Admin Admin Active Directory Active Directory 感染端末で管理者アカウントが悪用された際に気付きやすい感染端末で管理者アカウントが悪用されても気付きにくい管理者権限を窃取されるリスクも低減できる 19

21 5 章 Active Directory に対する攻撃の対策 20

22 Active Directory に対する攻撃の対策以下 2つの観点で記述 1. 予防策 :Active Directoryへの攻撃を抑止するための対策 2. 攻撃を検知した際の緊急対処 : 被害を軽減するための対策攻撃手法と有効な対策対策の適用対象を表に整理して掲載 21

23 予防策の例 ( セグメント化 ) セキュリティレベルに応じてセグメント ( ネットワークアカウント ) を分離し侵害範囲を制限するドメイン管理者権限を窃取されるリスクを低減 22

24 予防策の例 ( セキュリティ更新プログラム適用 ) セキュリティ更新プログラムを適用することで脆弱性の改修やセキュリティの機能向上を実現できるセキュリティ更新プログラム KB KB 改修機能向上の内容 Kerberos KDC の脆弱性 MS の改修メモリに平文や容易に平文に復元できるハッシュ (LM ハッシュなど ) が残存しなくなる主に攻撃手法 1 Active Directory の脆弱性の対策優先的に適用すべき更新プログラムを紹介 23

25 予防策の例 ( 認証情報の保護 ) メモリに認証情報を保存しないまたは残存する認証情報を保護する機能を活用し認証情報の窃取を防ぐ保護機能 LSA Protection Protected Users Restricted Admin Credential Guard 保護される情報未署名または Microsoft 以外によって署名されたプロセスからメモリを保護するこのグループに所属するアカウントはセキュリティが強固な Kerberos 認証のみ使用するリモートデスクトップの接続先コンピュータに認証情報を残さない LSA(Local Security Authority) の認証情報が仮想化によってホスト OS から隔離された保護環境に保護される主に攻撃手法 2 端末に保存された認証情報の悪用の対策 24

26 攻撃を検知した際の緊急対処の例 Golden Ticket の無効化一度 Golden Ticket を作成されてしまうと MS の更新プログラムを適用しても侵害されたアカウントのパスワードを変更しても効果がない被害拡大抑止に有効な緊急対処について適用時の注意事項や手順なども併せて紹介 25

27 Appendix 26

28 Appendix の構成攻撃手法や検知対策のために必要な設定などについてより詳細に知りたい方向けの参考情報 ( 以下はAppendixの例 ) Active Directoryの攻撃手法 (Golden Ticket / Silver Ticketを使用する攻撃 ) の検証結果ログの保管状況やActive Directoryの運用状況などの実態調査の抜粋結果 27

29 Appendix の構成 28

Active Directory のログ調査の重要性 2018 年 4 月 26 日東京大学大学院情報学環セキュア情報化社会研究寄付講座

Active Directory のログ調査の重要性 2018 年 4 月 26 日東京大学大学院情報学環セキュア情報化社会研究寄付講座 1. はじめに Active Directory 以下 AD は組織のユーザやリソースを一元的に管理できることから標的型攻撃の対象となりやすい JPCERT/CC によると AD 環境が侵害される事例を多数確認しており [1] 被害組織の多くで AD の管理者権限が悪用されたこ