ログを活用したActive Directoryに対する攻撃の検知と対策

Similar documents
Active Directory のログ調査の重要性 2018 年 4 月 26 日 東京大学大学院情報学環 セキュア情報化社会研究寄付講座

JPCERT/CCインシデント報告対応レポート[2018年4月1日 ~ 2018年6月30日]

JPCERT/CCインシデント報告対応レポート[2018年7月1日~ 2018年9月30日]

JPCERT/CC インシデント報告対応レポート[2017年1月1日-2017年3月31日]

制御システムセキュリティアセスメントサービス

インシデント対応ハンズオン for ショーケース

Technical Report 年 8 月 31 日 株式会社セキュアソフト 注意喚起 : バンキングトロージャンに感染させるマルウェア付きメール拡散について 1. 概要最近インターネットバンキングなど金融機関関連情報の窃取を目的としたマルウェア付きメールが 日本国内で多数配

はじめに (1) フィッシング詐欺 ( フィッシング攻撃 ) とは フィッシング詐欺とは インターネットバンキング ショッピングサイト等の利用者のアカウント情報 (ID パスワード等 ) や クレジットカードの情報等を騙し取る攻撃です 典型的な手口としては 攻撃者が本物のウェブサイトと似た偽のウェブ

PowerPoint プレゼンテーション

JPCERT/CCインシデント報告対応レポート[2018年10月1日 ~ 2018年12月31日]

CloudEdgeあんしんプラス月次レポート解説書(1_0版) _docx

_EMS概要_クラウドを使う上で考慮すべきこと(セキュリティ視点で60分語るv4)_E5まで

Apache ActiveMQ における認証処理不備の脆弱性

Zone Poisoning

技術レポート 1)QuiX 端末認証と HP IceWall SSO の連携 2)QuiX 端末認証と XenApp の連携 3)QuiX 端末認証 RADIUS オプションと APRESIA の連携 Ver 1.1 Copyright (C) 2012 Base Technology, Inc.

FUJITSU Cloud Service for OSS 認証サービス サービス仕様書

はじめての暗号化メール(Thunderbird編)

FUJITSU Cloud Service K5 認証サービス サービス仕様書

Stuxnet ~制御システムを狙った初のマルウエア~

metis ami サービス仕様書

Windows Server 2016 Active Directory環境へのドメイン移行の考え方

PowerPoint プレゼンテーション

マルチクラウド環境の最適解! ネットワンの セキュリティサービス 2018 年 12 月 13 日ネットワンシステムズ株式会社ビジネス推進本部商品企画部セキュリティチーム兼松智也

JPCERT/CC インターネット定点観測レポート[2014年7月1日~9月30日]

セキュリティ侵害のリスクの現状・動向

Microsoft Word - クライアントのインストールと接続設定

マルウェアレポート 2017年12月度版

目次 本書の概要... 3 QNAP で AD 環境を構築するネットワーク環境... 3 Active Directory ドメインコントローラ構築... 5 AD ユーザ作成 AD ユーザ単独作成 AD ユーザ複数作成 共有フォルダアクセス許可追加

Logstorage for VISUACT 標的型サイバー攻撃 対策レポートテンプレート

PC にソフトをインストールすることによって OpenVPN でセキュア SAMBA へ接続することができます 注意 OpenVPN 接続は仮想 IP を使用します ローカル環境にて IP 設定が被らない事をご確認下さい 万が一仮想 IP とローカル環境 IP が被るとローカル環境内接続が行えなくな

WannaCry とは WannaCry はランサムウェアの一種 WannaCry は ランサムウェアと呼ばれる身代金要求型のマルウェアです WannaCryptor WanaCrypt Wcry といった呼ばれ方もします 一般的にランサムウェアに感染すると 以下のようなデータを使用できないように暗

スライド 1

インシデントハンドリング業務報告書

Apache Axis2 におけるXML署名検証不備

<4D F736F F F696E74202D2091E63389F15F8FEE95F1835A834C A CC B5A8F FD E835A835890A78CE C CC835A834C A A2E >

Windows Oracle -Web - Copyright Oracle Corporation Japan, All rights reserved.

6-2- 応ネットワークセキュリティに関する知識 1 独立行政法人情報処理推進機構

PowerPoint Presentation

JBoss Application Server におけるディレクトリトラバーサルの脆弱性

UCSセキュリティ資料_Ver3.5

Windows 10 推奨アップグレードについて

はじめに このマニュアルは BACREX-R を実際に使用する前に知っておいて頂きたい内容として 使用する前の設定や 動作に関する注意事項を記述したものです 最初に必ずお読み頂き 各設定を行ってください 実際に表示される画面と マニュアルの画面とが異なる場合があります BACREX-R は お客様の

音声認識サーバのインストールと設定

安全な Web サイトの作り方 7 版 と Android アプリの脆弱性対策 独立行政法人情報処理推進機構 (IPA) 技術本部セキュリティセンター Copyright 2015 独立行政法人情報処理推進機構

ALogシリーズ 監査レポート集

目次 1 はじめに AWS が提供するセキュリティモデル 責任共有モデルとセキュリティについて 検討すべきセキュリティ対策のポイント ミドルウェアの脆弱性と公開サーバに対する脅威 ミドルウェアで見つかる深刻な脆弱性..

不正送金対策 フィッシング対策ソフト PhishWall( フィッシュウォール ) プレミアム のご案内 広島県信用組合では インターネットバンキングを安心してご利用いただくため 不正送金 フィッシング対策ソフト PhishWall( フィッシュウォール ) プレミアム を導入しました 無料でご利用

BACREX-R クライアント利用者用ドキュメント

Spacewalkにおけるクロスサイトフォージェリ(CSRF)の脆弱性

削除済みVSSスナップショットの復元

Cisco CallManager および Cisco Unity でのパスワード変更の設定例

SAMBA Stunnel(Windows) 編 1. インストール 1 セキュア SAMBA の URL にアクセスし ログインを行います xxx 部分は会社様によって異なります xxxxx 2 Windows 版ダウンロード ボ

Microsoft IISのWebDAV認証回避の脆弱性に関する検証レポート

NTTannual2015.indd

サイバー演習の有効性 -レジリエントな組織づくりに向けて-

NOSiDEパンフレット

ライフサイクル管理 Systemwalker Centric Manager カタログ

Microsoft PowerPoint 高専フォーラム_改訂0.6版.pptx

Microsoft PowerPoint - A-5予稿_最終版

SAMBA Remote(Mac) 編 PC にソフトをインストールすることによって OpenVPN でセキュア SAMBA へ接続することができます 注意 OpenVPN 接続は仮想 IP を使用します ローカル環境にて IP 設定が被らない事をご確認下さい 万が一仮想 IP とローカル環境 IP

制御システムのセキュリティリスク軽減対策~EMET のご紹介~

Microsoft PowerPoint - 3_PI System最新セキュリティについて

ログを活用した高度サイバー攻撃の早期発見と分析

CONTENTS 1. テレワーク導入における課題 2. 総務省テレワークセキュリティガイドラインについて 3. 技術 制度 人に関する情報セキュリティ対策例 4. 情報へのアクセス方法とその特徴 5. マネジメント ( 労務管理等 ) の対策 2

Transcription:

電子署名者 : Japan Computer Emergency Response Team Coordination Center DN : c=jp, st=tokyo, l=chiyoda-ku, Japan Computer Emergency Response email=office@jpcert.or.jp, o=japan Computer Emergency Response Team Coordination Team Coordination Center Center, cn=japan Computer Emergency Response Team Coordination Center 日付 : 2017.03.14 11:26:43 +09'00' ログを活用した Active Directory に対する攻撃の検知と対策 JPCERT/CC 早期警戒グループ

本文書の目的 JPCERT/CC では 高度サイバー攻撃 ( 標的型攻撃 ) において Active Directory を乗っ取る事例を多数確認している 一部の組織ではActive Directoryの脆弱性が放置されていたり ログが十分に保存されておらず 攻撃を受けやすい または受けても検知できない環境にある Active Directoryの攻撃手法とその対策を合わせて整理した日本語ドキュメントは少ない JPCERT/CC がインシデント対応支援を通して得た知見を ログを活用した Active Directory に対する攻撃の検知と対策 に集約 1

想定している読者 想定読者 Active Directory を運用または導入を検討しているシステム管理者 セキュリティ担当者 セキュリティインシデントの対応や調査に関わる担当者 コンセプト Active Directory に対する攻撃手法 攻撃を検知するためのログの確認ポイント 攻撃を抑止または被害を軽減するための対策を整理 実践しやすいように 手順などを具体的に記載 フローチャートや表で行うべき対応を分かりやすく記載 より詳細な情報を Appendix に掲載 運用やインシデント対応の現場で 実践的に活用できる文書を目指して作成 2

本文書の活用方法 章 構成 読者のニーズ 文書の全体構成を把握したい 1 はじめに 本文書の概要 (Executive Summary) を知りたい 2 高度サイバー攻撃の手法高度サイバー攻撃の概要を理解したい 3 4 5 Active Directory に対する攻撃手法 Active Directory のイベントログを活用した高度サイバー攻撃の検知 Active Directory に対する攻撃の対策 Active Directory への攻撃手法を理解したい ログを分析してActive Directoryへの攻撃を検知し 侵害されたコンピュータやアカウントを特定したい攻撃抑止のための予防的対策や 検知されたActive Directoryへの攻撃に対する緊急対処について知りたい 6 最後に ー - Appendix 攻撃手法や検知 対策に必要な設定についてより詳細に知りたい 3

Active Directory の概要 Active Directory とは Microsoft 社が提供している 組織内のコンピュータやユーザを集中的に管理できる仕組み ドメイン : コンピュータやユーザを管理する際の管理単位 ドメイン管理者 : ドメイン配下の全てのリソースをコントロールできる権限を持つアカウント 4

2 章 高度サイバー攻撃の手法 5

高度サイバー攻撃のプロセス 侵入を防ぐのは難しい 攻撃を早期検知して被害を低減する 攻撃者は Active Directory への攻撃を行い 横断的侵害を容易にするため 認証情報やより高い権限の窃取を試みる 6

3 章 Active Directory に対する攻撃手法 7

Active Directory に対する攻撃の例 攻撃者はドメイン管理者権限などを窃取し 正規の管理者になりすまして 長期にわたって使えるアクセス権限の獲得を試みる 8

Active Directoryに対する攻撃手法攻撃手法は大きく分けて2つ 1. Active Directoryの脆弱性の悪用 2. 端末に保存された認証情報の悪用 いずれも攻撃手法やツールも公開されており 比較的容易に攻撃できる Active Directory 環境で使用される認証方式 (Kerberos/NTLM 認証 ) の脆弱性や仕様上の弱点が狙われることが多い 9

攻撃手法 1( Active Directory の脆弱性の悪用 ) Kerberos 認証の脆弱性を悪用し ドメイン管理者権限を取得する方法 Kerberos KDC の脆弱性 (CVE-2014-6324 / MS14-068) の悪用を確認している 上記脆弱性により ドメインユーザがドメイン管理者に権限昇格することができる ツールが公開されており 比較的容易に攻撃が可能 10

攻撃手法 2( 端末に保存された認証情報の悪用 ) 端末のメモリには過去にログインした認証情報が残存していることがあり これを窃取する 攻撃手法内容どのように悪用するか Pass-the-Hash NTLM 認証のパスワードハッシュでログインできる仕組みを悪用して不正にログインする パスワードを使いまわしている ( 同じパスワードハッシュでアクセスできる ) ことを利用し 他のコンピュータにログイン Pass-the-Ticket Kerberos 認証で使われる認証チケットを悪用して不正にログインする 正規ユーザになりすまして検知を回避する Golden Ticket Silver Ticket を作成する 11

Pass-the-Ticket Kerberos 認証で使用される認証チケットを窃取したり 不正に作成することにより サービスを不正に利用する TGT : Service Ticket を要求するためのチケット Service Ticket : サービスにアクセスするために必要なチケット 12

Golden Ticket / Silver Ticket Golden Ticket ( 攻撃者が不正に作成した TGT) ドメイン管理者権限を窃取することで作成できる ドメイン管理者を含む任意のユーザになりすますことができる 有効期限が10 年で 任意の端末上やアカウントで使える Silver Ticket( 攻撃者が不正に作成した ST) 各サーバの管理者権限を窃取することで作成できる サーバの管理者や利用者になりすまして任意のサービスにアクセスできる 有効期限が 10 年で 任意の端末上やアカウントで使える DC にアクセスせずに使用できる =DC にログが残らない いずれも 不正に作成された正規の認証チケットであるため 検知が難しい 13

4 章 Active Directory のイベントログ を活用した横断的侵害の検知 14

ログ確認のフロー Windows のログ ( イベントログ ) から攻撃の痕跡を効率的に検知する手法を紹介 フローチャートで 状況に応じて確認すべきポイントや参照すべき章を明確化 15

攻撃手法とログの調査方法 確認対象の対応 攻撃手法と有効な検知手法の対応表を掲載 調査すべき機器と調査が有効なバージョンを明記 16

不審なログの調査 攻撃の可能性がある 特徴的で比較的容易に検知できるイベントログを紹介 以下は 不審なログの調査の一例として Kerberos KDC の脆弱性 MS14-068 を悪用する攻撃を検知する方法 調査対象 不審と判断する基準 検知したら何をすればよいかなどについて 具体的に記載 17

認証ログの調査 平常時 ( 運用 ) と比較して不審かどうかを判断する必要がある以下は 認証ログの調査の一例として 意図しないアカウントに特権が割り当てられていないか調査する方法 調査対象 確認観点 具体的なイベント IDと項目名などについて 具体的に記載 18

アカウントの悪用に気づきやすい環境の紹介 管理者アカウントを使用する端末の限定 悪用を検知しやすい例 ( 端末とアカウントが 1:1) 悪用を検知しにくい例 ( 端末とアカウントが多 :1 または多 : 多 ) Admin Admin Active Directory Active Directory 感染端末で管理者アカウントが悪用された際に気付きやすい 感染端末で管理者アカウントが悪用されても気付きにくい 管理者権限を窃取されるリスクも低減できる 19

5 章 Active Directory に対する 攻撃の対策 20

Active Directory に対する攻撃の対策 以下 2つの観点で記述 1. 予防策 :Active Directoryへの攻撃を抑止するための対策 2. 攻撃を検知した際の緊急対処 : 被害を軽減するための対策 攻撃手法と有効な対策 対策の適用対象を表に整理して掲載 21

予防策の例 ( セグメント化 ) セキュリティレベルに応じてセグメント ( ネットワーク アカウント ) を分離し 侵害範囲を制限する ドメイン管理者権限を窃取されるリスクを低減 22

予防策の例 ( セキュリティ更新プログラム適用 ) セキュリティ更新プログラムを適用することで脆弱性の改修や セキュリティの機能向上を実現できる セキュリティ更新プログラム KB3011780 KB2871997 改修 機能向上の内容 Kerberos KDC の脆弱性 MS14-068 の改修 メモリに平文や 容易に平文に復元できるハッシュ (LM ハッシュなど ) が残存しなくなる 主に攻撃手法 1 Active Directory の脆弱性 の対策 優先的に適用すべき更新プログラムを紹介 23

予防策の例 ( 認証情報の保護 ) メモリに認証情報を保存しない または残存する認証情報を保護する機能を活用し 認証情報の窃取を防ぐ 保護機能 LSA Protection Protected Users Restricted Admin Credential Guard 保護される情報 未署名または Microsoft 以外によって署名されたプロセスからメモリを保護する このグループに所属するアカウントはセキュリティが強固な Kerberos 認証のみ使用する リモートデスクトップの接続先コンピュータに認証情報を残さない LSA(Local Security Authority) の認証情報が仮想化によってホスト OS から隔離された保護環境に保護される 主に攻撃手法 2 端末に保存された認証情報の悪用 の対策 24

攻撃を検知した際の緊急対処の例 Golden Ticket の無効化 一度 Golden Ticket を作成されてしまうと MS14-068 の更新プログラムを適用しても 侵害されたアカウントのパスワードを変更しても 効果がない 被害拡大抑止に有効な緊急対処について 適用時の注意事項や手順なども併せて紹介 25

Appendix 26

Appendix の構成 攻撃手法や検知 対策のために必要な設定などについて より詳細に知りたい方向けの参考情報 ( 以下はAppendixの例 ) Active Directoryの攻撃手法 (Golden Ticket / Silver Ticketを使用する攻撃 ) の検証結果 ログの保管状況やActive Directoryの運用状況などの実態調査の抜粋結果 27

Appendix の構成 28

2026 © docsplayer.net プライバシー | 利用規約 | フィードバック