ログを活用したActive Directoryに対する攻撃の検知と対策

Similar documents
Active Directory のログ調査の重要性 2018 年 4 月 26 日 東京大学大学院情報学環 セキュア情報化社会研究寄付講座

PowerPoint Presentation

JPCERT/CCインシデント報告対応レポート[2018年4月1日 ~ 2018年6月30日]

あなたも狙われている!?インターネットバンキングの不正送金とマルウエアの脅威

JPCERT/CCインシデント報告対応レポート[2015年4月1日 ~ 2015年6月30日]

Microsoft PowerPoint - A-3予稿最終版

JPCERT/CCインシデント報告対応レポート[2018年7月1日~ 2018年9月30日]

脆弱性を狙った脅威の分析と対策について Vol 年 7 月 21 日独立行政法人情報処理推進機構セキュリティセンター (IPA/ISEC) 独立行政法人情報処理推進機構 ( 略称 IPA 理事長 : 西垣浩司 ) は 2008 年度におけ る脆弱性を狙った脅威の一例を分析し 対策をまと

JPCERT/CC インシデント報告対応レポート[2017年1月1日-2017年3月31日]

制御システムセキュリティアセスメントサービス

Himawari の異常な暗号

正誤表(FPT0417)

<4D F736F F F696E74202D D312E A90A78CE48AC28BAB93B193FC835C838A B E707074>

Japan Computer Emergency Response Team Coordination Center インシデントレスポンス概論 JPCERT コーディネーションセンター山賀正人 2003/11/ JPCERT/CC

Microsoft PowerPoint _A4_予稿(最終)

インシデント対応ハンズオン for ショーケース

Technical Report 年 8 月 31 日 株式会社セキュアソフト 注意喚起 : バンキングトロージャンに感染させるマルウェア付きメール拡散について 1. 概要最近インターネットバンキングなど金融機関関連情報の窃取を目的としたマルウェア付きメールが 日本国内で多数配

はじめに (1) フィッシング詐欺 ( フィッシング攻撃 ) とは フィッシング詐欺とは インターネットバンキング ショッピングサイト等の利用者のアカウント情報 (ID パスワード等 ) や クレジットカードの情報等を騙し取る攻撃です 典型的な手口としては 攻撃者が本物のウェブサイトと似た偽のウェブ

PowerPoint プレゼンテーション

JPCERT/CCインシデント報告対応レポート[2018年10月1日 ~ 2018年12月31日]

CloudEdgeあんしんプラス月次レポート解説書(1_0版) _docx

SQLインジェクション・ワームに関する現状と推奨する対策案

_EMS概要_クラウドを使う上で考慮すべきこと(セキュリティ視点で60分語るv4)_E5まで

Apache ActiveMQ における認証処理不備の脆弱性

Zone Poisoning

技術レポート 1)QuiX 端末認証と HP IceWall SSO の連携 2)QuiX 端末認証と XenApp の連携 3)QuiX 端末認証 RADIUS オプションと APRESIA の連携 Ver 1.1 Copyright (C) 2012 Base Technology, Inc.

FUJITSU Cloud Service for OSS 認証サービス サービス仕様書

はじめての暗号化メール(Thunderbird編)

FUJITSU Cloud Service K5 認証サービス サービス仕様書

Stuxnet ~制御システムを狙った初のマルウエア~

マイナンバー対策マニュアル(技術的安全管理措置)

図 2: パスワードリスト攻撃の概要 インターネットサービスの安全な利用は 利用者が適切にパスワードを管理することを前提に成り立っており 利用者はパスワードを使い回さず 適切に管理する責任があります 以下はパスワードリスト攻撃を受けたことを 2013 年 4 月以降に発表した企業のうち 試行件数 と

metis ami サービス仕様書

JSOC INSIGHT vol.15 1 はじめに エグゼクティブサマリ JSOC におけるインシデント傾向 重要インシデントの傾向 発生した重要インシデントに関する分析 多数検知した通信について ワ

Windows Server 2016 Active Directory環境へのドメイン移行の考え方

PowerPoint プレゼンテーション

マルチクラウド環境の最適解! ネットワンの セキュリティサービス 2018 年 12 月 13 日ネットワンシステムズ株式会社ビジネス推進本部商品企画部セキュリティチーム兼松智也

JPCERT/CC インターネット定点観測レポート[2014年7月1日~9月30日]

<4D F736F F F696E74202D20552D DC58F4994AD955C8E9197BF816A89DF8B8E82C696A F08CA992CA82B7838D834F95AA90CD76382E70707

セキュリティ侵害のリスクの現状・動向

Microsoft Word - クライアントのインストールと接続設定

マルウェアレポート 2017年12月度版

目次 本書の概要... 3 QNAP で AD 環境を構築するネットワーク環境... 3 Active Directory ドメインコントローラ構築... 5 AD ユーザ作成 AD ユーザ単独作成 AD ユーザ複数作成 共有フォルダアクセス許可追加

Logstorage for VISUACT 標的型サイバー攻撃 対策レポートテンプレート

PC にソフトをインストールすることによって OpenVPN でセキュア SAMBA へ接続することができます 注意 OpenVPN 接続は仮想 IP を使用します ローカル環境にて IP 設定が被らない事をご確認下さい 万が一仮想 IP とローカル環境 IP が被るとローカル環境内接続が行えなくな

WannaCry とは WannaCry はランサムウェアの一種 WannaCry は ランサムウェアと呼ばれる身代金要求型のマルウェアです WannaCryptor WanaCrypt Wcry といった呼ばれ方もします 一般的にランサムウェアに感染すると 以下のようなデータを使用できないように暗

教科書の指導要領.indb

スライド 1

標的型攻撃の内部対策の要特権アカウントの保護 2017 年 5 月 エンカレッジ テクノロジ株式会社 はじめに ますます巧妙化する標的型攻撃 企業や官公庁における情報漏えいなど情報セキュリティインシデントが相次いで発生している背景から セキュリティリスクは企業や官公庁にとって対処すべき重要な課題の一

インシデントハンドリング業務報告書

質問と回答 : Q1. このQ&Aの目的は何ですか? A1. このQ&Aは プラットフォームと Intel AMTのセキュリティ機能を保護するためのベストプラクティスを明確にし Intel AMTの脆弱性にまつわる誤解を解消するものです この攻撃を試みるためには デバイスとOS 管理者の資格情報に物

PowerPoint プレゼンテーション

マルウェアレポート 2018年2月度版

Apache Axis2 におけるXML署名検証不備

<4D F736F F F696E74202D2091E63389F15F8FEE95F1835A834C A CC B5A8F FD E835A835890A78CE C CC835A834C A A2E >

スライドタイトル/TakaoPGothic

Windows Oracle -Web - Copyright Oracle Corporation Japan, All rights reserved.

<4D F736F F F696E74202D C C815B E815B82E682E888A482F08D9E82DF82C D615F F6E816A2E B8CDD8AB B83685D>

6-2- 応ネットワークセキュリティに関する知識 1 独立行政法人情報処理推進機構

PowerPoint Presentation

TCG JRF 第 6 回公開ワークショップサイバーセキュリティの脅威動向 と取り組み 2014 年 12 月 3 日 (13:30-14:00) JPCERT コーディネーションセンター 理事 分析センター長真鍋敬士

JBoss Application Server におけるディレクトリトラバーサルの脆弱性

UCSセキュリティ資料_Ver3.5

PowerPoint プレゼンテーション

Windows 10 推奨アップグレードについて

はじめに このマニュアルは BACREX-R を実際に使用する前に知っておいて頂きたい内容として 使用する前の設定や 動作に関する注意事項を記述したものです 最初に必ずお読み頂き 各設定を行ってください 実際に表示される画面と マニュアルの画面とが異なる場合があります BACREX-R は お客様の

JEB Plugin 開発チュートリアル 第3回

WannaCry ランサムウエアに関するレポート 2017 年 5 月 18 日 ( 第 2 版 ) 東京大学大学院情報学環 セキュア情報化社会研究寄付講座

KSforWindowsServerのご紹介

音声認識サーバのインストールと設定

安全な Web サイトの作り方 7 版 と Android アプリの脆弱性対策 独立行政法人情報処理推進機構 (IPA) 技術本部セキュリティセンター Copyright 2015 独立行政法人情報処理推進機構

ALogシリーズ 監査レポート集

目次 1 はじめに AWS が提供するセキュリティモデル 責任共有モデルとセキュリティについて 検討すべきセキュリティ対策のポイント ミドルウェアの脆弱性と公開サーバに対する脅威 ミドルウェアで見つかる深刻な脆弱性..

PowerPoint プレゼンテーション

不正送金対策 フィッシング対策ソフト PhishWall( フィッシュウォール ) プレミアム のご案内 広島県信用組合では インターネットバンキングを安心してご利用いただくため 不正送金 フィッシング対策ソフト PhishWall( フィッシュウォール ) プレミアム を導入しました 無料でご利用

BACREX-R クライアント利用者用ドキュメント

ムの共有アドレス帳 インスタント メッセージングの宛先に活用することも考えられる 統合アカウント管理 認証 認可 ( アクセス制御 ) の機能 サービス機能 サービス定義統合アカウント管理利用者の認証情報 ( ユーザ ID パスワード) と属性情報 ( グループ 所属部門等 ) を一元的に管理する機

Spacewalkにおけるクロスサイトフォージェリ(CSRF)の脆弱性

Microsoft Word - sp224_2d.doc

ACTIVEプロジェクトの取り組み

削除済みVSSスナップショットの復元

Cisco CallManager および Cisco Unity でのパスワード変更の設定例

AIP275AD

SAMBA Stunnel(Windows) 編 1. インストール 1 セキュア SAMBA の URL にアクセスし ログインを行います xxx 部分は会社様によって異なります xxxxx 2 Windows 版ダウンロード ボ

Microsoft IISのWebDAV認証回避の脆弱性に関する検証レポート

NTTannual2015.indd

サイバー演習の有効性 -レジリエントな組織づくりに向けて-

NOSiDEパンフレット

info-security_casestudy-youryo.indd

ライフサイクル管理 Systemwalker Centric Manager カタログ

Microsoft PowerPoint 高専フォーラム_改訂0.6版.pptx

Microsoft PowerPoint - A-5予稿_最終版

SAMBA Remote(Mac) 編 PC にソフトをインストールすることによって OpenVPN でセキュア SAMBA へ接続することができます 注意 OpenVPN 接続は仮想 IP を使用します ローカル環境にて IP 設定が被らない事をご確認下さい 万が一仮想 IP とローカル環境 IP

制御システムのセキュリティリスク軽減対策~EMET のご紹介~

Microsoft PowerPoint - 3_PI System最新セキュリティについて

標的型メール攻撃対策 < 組織通信向け S/MIME 構想 > 2016 年 6 月 6 日 才所敏明中央大学研究開発機構

Template Word Document

ログを活用した高度サイバー攻撃の早期発見と分析

2. 留意事項セキュリティ対策を行う場合 次のことに留意してください 不正侵入対策の設定を行う場合 お使いのソフトウェアによっては今までのように正常に動作しなくなる可能性があります 正常に動作しない場合は 必要に応じて例外処理の追加を行ってください ここで行うセキュリティ対策は 通信内容の安全性を高

CONTENTS 1. テレワーク導入における課題 2. 総務省テレワークセキュリティガイドラインについて 3. 技術 制度 人に関する情報セキュリティ対策例 4. 情報へのアクセス方法とその特徴 5. マネジメント ( 労務管理等 ) の対策 2

Transcription:

電子署名者 : Japan Computer Emergency Response Team Coordination Center DN : c=jp, st=tokyo, l=chiyoda-ku, Japan Computer Emergency Response email=office@jpcert.or.jp, o=japan Computer Emergency Response Team Coordination Team Coordination Center Center, cn=japan Computer Emergency Response Team Coordination Center 日付 : 2017.03.14 11:26:43 +09'00' ログを活用した Active Directory に対する攻撃の検知と対策 JPCERT/CC 早期警戒グループ

本文書の目的 JPCERT/CC では 高度サイバー攻撃 ( 標的型攻撃 ) において Active Directory を乗っ取る事例を多数確認している 一部の組織ではActive Directoryの脆弱性が放置されていたり ログが十分に保存されておらず 攻撃を受けやすい または受けても検知できない環境にある Active Directoryの攻撃手法とその対策を合わせて整理した日本語ドキュメントは少ない JPCERT/CC がインシデント対応支援を通して得た知見を ログを活用した Active Directory に対する攻撃の検知と対策 に集約 1

想定している読者 想定読者 Active Directory を運用または導入を検討しているシステム管理者 セキュリティ担当者 セキュリティインシデントの対応や調査に関わる担当者 コンセプト Active Directory に対する攻撃手法 攻撃を検知するためのログの確認ポイント 攻撃を抑止または被害を軽減するための対策を整理 実践しやすいように 手順などを具体的に記載 フローチャートや表で行うべき対応を分かりやすく記載 より詳細な情報を Appendix に掲載 運用やインシデント対応の現場で 実践的に活用できる文書を目指して作成 2

本文書の活用方法 章 構成 読者のニーズ 文書の全体構成を把握したい 1 はじめに 本文書の概要 (Executive Summary) を知りたい 2 高度サイバー攻撃の手法高度サイバー攻撃の概要を理解したい 3 4 5 Active Directory に対する攻撃手法 Active Directory のイベントログを活用した高度サイバー攻撃の検知 Active Directory に対する攻撃の対策 Active Directory への攻撃手法を理解したい ログを分析してActive Directoryへの攻撃を検知し 侵害されたコンピュータやアカウントを特定したい攻撃抑止のための予防的対策や 検知されたActive Directoryへの攻撃に対する緊急対処について知りたい 6 最後に ー - Appendix 攻撃手法や検知 対策に必要な設定についてより詳細に知りたい 3

Active Directory の概要 Active Directory とは Microsoft 社が提供している 組織内のコンピュータやユーザを集中的に管理できる仕組み ドメイン : コンピュータやユーザを管理する際の管理単位 ドメイン管理者 : ドメイン配下の全てのリソースをコントロールできる権限を持つアカウント 4

2 章 高度サイバー攻撃の手法 5

高度サイバー攻撃のプロセス 侵入を防ぐのは難しい 攻撃を早期検知して被害を低減する 攻撃者は Active Directory への攻撃を行い 横断的侵害を容易にするため 認証情報やより高い権限の窃取を試みる 6

3 章 Active Directory に対する攻撃手法 7

Active Directory に対する攻撃の例 攻撃者はドメイン管理者権限などを窃取し 正規の管理者になりすまして 長期にわたって使えるアクセス権限の獲得を試みる 8

Active Directoryに対する攻撃手法攻撃手法は大きく分けて2つ 1. Active Directoryの脆弱性の悪用 2. 端末に保存された認証情報の悪用 いずれも攻撃手法やツールも公開されており 比較的容易に攻撃できる Active Directory 環境で使用される認証方式 (Kerberos/NTLM 認証 ) の脆弱性や仕様上の弱点が狙われることが多い 9

攻撃手法 1( Active Directory の脆弱性の悪用 ) Kerberos 認証の脆弱性を悪用し ドメイン管理者権限を取得する方法 Kerberos KDC の脆弱性 (CVE-2014-6324 / MS14-068) の悪用を確認している 上記脆弱性により ドメインユーザがドメイン管理者に権限昇格することができる ツールが公開されており 比較的容易に攻撃が可能 10

攻撃手法 2( 端末に保存された認証情報の悪用 ) 端末のメモリには過去にログインした認証情報が残存していることがあり これを窃取する 攻撃手法内容どのように悪用するか Pass-the-Hash NTLM 認証のパスワードハッシュでログインできる仕組みを悪用して不正にログインする パスワードを使いまわしている ( 同じパスワードハッシュでアクセスできる ) ことを利用し 他のコンピュータにログイン Pass-the-Ticket Kerberos 認証で使われる認証チケットを悪用して不正にログインする 正規ユーザになりすまして検知を回避する Golden Ticket Silver Ticket を作成する 11

Pass-the-Ticket Kerberos 認証で使用される認証チケットを窃取したり 不正に作成することにより サービスを不正に利用する TGT : Service Ticket を要求するためのチケット Service Ticket : サービスにアクセスするために必要なチケット 12

Golden Ticket / Silver Ticket Golden Ticket ( 攻撃者が不正に作成した TGT) ドメイン管理者権限を窃取することで作成できる ドメイン管理者を含む任意のユーザになりすますことができる 有効期限が10 年で 任意の端末上やアカウントで使える Silver Ticket( 攻撃者が不正に作成した ST) 各サーバの管理者権限を窃取することで作成できる サーバの管理者や利用者になりすまして任意のサービスにアクセスできる 有効期限が 10 年で 任意の端末上やアカウントで使える DC にアクセスせずに使用できる =DC にログが残らない いずれも 不正に作成された正規の認証チケットであるため 検知が難しい 13

4 章 Active Directory のイベントログ を活用した横断的侵害の検知 14

ログ確認のフロー Windows のログ ( イベントログ ) から攻撃の痕跡を効率的に検知する手法を紹介 フローチャートで 状況に応じて確認すべきポイントや参照すべき章を明確化 15

攻撃手法とログの調査方法 確認対象の対応 攻撃手法と有効な検知手法の対応表を掲載 調査すべき機器と調査が有効なバージョンを明記 16

不審なログの調査 攻撃の可能性がある 特徴的で比較的容易に検知できるイベントログを紹介 以下は 不審なログの調査の一例として Kerberos KDC の脆弱性 MS14-068 を悪用する攻撃を検知する方法 調査対象 不審と判断する基準 検知したら何をすればよいかなどについて 具体的に記載 17

認証ログの調査 平常時 ( 運用 ) と比較して不審かどうかを判断する必要がある以下は 認証ログの調査の一例として 意図しないアカウントに特権が割り当てられていないか調査する方法 調査対象 確認観点 具体的なイベント IDと項目名などについて 具体的に記載 18

アカウントの悪用に気づきやすい環境の紹介 管理者アカウントを使用する端末の限定 悪用を検知しやすい例 ( 端末とアカウントが 1:1) 悪用を検知しにくい例 ( 端末とアカウントが多 :1 または多 : 多 ) Admin Admin Active Directory Active Directory 感染端末で管理者アカウントが悪用された際に気付きやすい 感染端末で管理者アカウントが悪用されても気付きにくい 管理者権限を窃取されるリスクも低減できる 19

5 章 Active Directory に対する 攻撃の対策 20

Active Directory に対する攻撃の対策 以下 2つの観点で記述 1. 予防策 :Active Directoryへの攻撃を抑止するための対策 2. 攻撃を検知した際の緊急対処 : 被害を軽減するための対策 攻撃手法と有効な対策 対策の適用対象を表に整理して掲載 21

予防策の例 ( セグメント化 ) セキュリティレベルに応じてセグメント ( ネットワーク アカウント ) を分離し 侵害範囲を制限する ドメイン管理者権限を窃取されるリスクを低減 22

予防策の例 ( セキュリティ更新プログラム適用 ) セキュリティ更新プログラムを適用することで脆弱性の改修や セキュリティの機能向上を実現できる セキュリティ更新プログラム KB3011780 KB2871997 改修 機能向上の内容 Kerberos KDC の脆弱性 MS14-068 の改修 メモリに平文や 容易に平文に復元できるハッシュ (LM ハッシュなど ) が残存しなくなる 主に攻撃手法 1 Active Directory の脆弱性 の対策 優先的に適用すべき更新プログラムを紹介 23

予防策の例 ( 認証情報の保護 ) メモリに認証情報を保存しない または残存する認証情報を保護する機能を活用し 認証情報の窃取を防ぐ 保護機能 LSA Protection Protected Users Restricted Admin Credential Guard 保護される情報 未署名または Microsoft 以外によって署名されたプロセスからメモリを保護する このグループに所属するアカウントはセキュリティが強固な Kerberos 認証のみ使用する リモートデスクトップの接続先コンピュータに認証情報を残さない LSA(Local Security Authority) の認証情報が仮想化によってホスト OS から隔離された保護環境に保護される 主に攻撃手法 2 端末に保存された認証情報の悪用 の対策 24

攻撃を検知した際の緊急対処の例 Golden Ticket の無効化 一度 Golden Ticket を作成されてしまうと MS14-068 の更新プログラムを適用しても 侵害されたアカウントのパスワードを変更しても 効果がない 被害拡大抑止に有効な緊急対処について 適用時の注意事項や手順なども併せて紹介 25

Appendix 26

Appendix の構成 攻撃手法や検知 対策のために必要な設定などについて より詳細に知りたい方向けの参考情報 ( 以下はAppendixの例 ) Active Directoryの攻撃手法 (Golden Ticket / Silver Ticketを使用する攻撃 ) の検証結果 ログの保管状況やActive Directoryの運用状況などの実態調査の抜粋結果 27

Appendix の構成 28

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック