2023年9月27日、米国土安全保障省サイバーセキュリティ・インフラ庁(CISA)は、警察庁及び内閣サイバーセキュリティセンター、米国家安全保障局(NSA)、米連邦捜査局(FBI)及びとともに合同の注意喚起レポートを発出しました。
概要
注意喚起レポートによれば、BlackTechは、日米の軍を支援する事業体を含む、政府、産業、テクノロジー、メディア、エレクトロニクス、テレコミュニケーションの各セクターを標的としています。多国籍企業がすべての子会社との接続を見直し、アクセスを検証し、アタックサーフェスを限定するためにゼロ・トラスト・モデルの導入を検討する必要性を強調しています。
ステルス・ルーターのバックドアによるアクセス維持
BlackTechは、カスタマイズされたファームウェアのバックドアを使用して、複数の Ciscoルータに侵害しました。バックドア機能は、特別に細工された TCP または UDP パケットによって有効化および無効化されます。この TTP は Cisco ルーターだけに限定されるものではなく、他のネットワーク機器でもバックドアを有効にするために同様の技術が使用される可能性があります。
特定の Cisco IOSベースのルーターのファームウェアを、悪意のあるファームウェアに置き換える
ルーター上で昇格した特権を持ち、コマンドライン実行によってファームウェアを置き換え、悪意のあるファームウェアは、永続的なバックドア・アクセス を確立し、活動を難読化するために使用されます。変更されたファームウェアは、ビルトイン SSH バックドアを使用し、BlackTech 接続がログに記録されることなく、BlackTech のアクターが侵害されたルーターへのアクセスを維持することを可能にします。 まず古い正規のファームウェアをインストールすることで、ルーターに 組み込まれているセキュリティ機能を迂回し、そのファームウェアをメモリ上で修正することで、ブートローダとファームウェアをインストールできるようにします。これで修正されたファームウェアが検出を回避し続けることを可能になります。
Cisco ルーターのファームウェアに潜むサイバー攻撃者に関するレポート
Advisory ID: cisco-sa-csa-cyber-report-sept-2023
Ciscoはこの注意喚起レポートをレビューし、以下の重要な事項を明示します:
- これらの攻撃で最もよく見られる最初のアクセス・ベクトルは、盗まれた、または脆弱な管理者認証情報です。報告書に記載されているように、ログの無効化やファームウェアのダウンロー ドなど、特定の設定変更には管理者認証情報が必要なので注意が必要である。
- Cisco の脆弱性が悪用された事実はありません。攻撃者は、管理者レベルのコンフィギュレーションやソフトウェアの変更を実行するために、漏洩した認証情報を使用しました。
- 最新の Cisco デバイスには、セキュアブート機能が搭載されており、変更されたソフトウェアイメージのロードと実行はできません。セキュアブートの詳細については、Cisco Trustworthy Technologies Data Sheet を参照してください。
- 報告書に記載されている盗まれたコードサイニング証明書はCiscoのものではない為、それが攻撃に用いられたことなども把握しておりません。
これらの重要な点は、ブログ「攻撃者はレガシー デバイスをターゲットにし続ける」で説明されているベスト プラクティスに従うよう顧客にアドバイスするCiscoの一貫したスタンスとメッセージと一致しています。
BlackTech のアクターは、Embedded Event Manager(EEM)ポリシーを隠す
EMM:通常、Cisco IOS で使用され、指定されたイベントに対して実行されるタスクを自動化する機能
侵害された Cisco ルーターに加えられた変更の存在を隠し、難読化することがあります。侵害されたルーターでは、BlackTechが作成したEEMポリシーが特定のコマンドを待ち受け、難読化措置を実行したり、指定された正当なコマンドの実行を拒否したりします。このポリシーには、
- 指定された正規のCisco IOS CLIコマンドの出力に含まれる特定の文字列を含む行を削除する機能と、
- 関連するEEMポリシーのコピー、リネーム、移動コマンドをブロックしてフォレンジック分析を妨げるなど、他の正規のCLIコマンドの実行を阻止する機能があります。
BlackTechの悪意のある活動を検出し緩和するテクニック
注意喚起レポートでは、以下の検出および軽減テクニックを推奨しています。BlackTechにとって、このルーターバックドアの特定のシグネチャを無効にするような値を変更することは些細なことです。より強固な検知のために、ブートローダやファームウェア・イメージの不正ダウンロードやリブートについて、ネットワーク・デバイスを監視すべきです。また、SSH を含むルーター宛ての異常なトラフィックを監視する必要があります。
- VTY(Virtual Teletype)回線に「transport output none」コンフィグレーションコマンドを適用して、アウトバウンド接続を無効にする。このコマンドを使用すると、一部のコピーコマンドが外部システムに正常に接続できなくなる。
注:ネットワークデバイスに無許可の特権レベルでアクセスできる攻撃者は、この設定変更を元に戻すことができる。
- ネットワーク・デバイスから外部および内部システムへのインバウンド接続とアウトバウンド接続の両方を監視する。一般に、ネットワーク・デバイスは、ルーティングやネットワーク・トポロジー情報を交換するため、または時刻同期、ロギング、認証、モニタリングなどのために管理システムと接続するためにのみ、近くのデバイスと接続する必要があります。可能であれば、アクセス・リストやルール・セットを近隣のネットワーク・デバイスに適用することで、ネットワーク・デバイスからの不正なアウトバウンド接続をブロックする。さらに、管理システムを別の仮想ローカル・エリア・ネットワーク(VLAN)に配置し、非管理 VLAN 宛のネットワーク・デバイスからのすべての不正なトラフィックをブロックします。
- VTY回線または特定のサービスにアクセスリストを適用して、管理サービスへのアクセスを制限し、ネットワーク管理者が使用するIPアドレスのみを許可します。ログイン失敗ログ」および「ログイン成功ログ」構成コマンドを使用して、または集中型認証、認可、およびアカウンティング(AAA)イベントを確認することによって、ログインの成功と失敗のログを監視します。
- ブートローダとファームウェアの完全性と真正性のチェックが強化された、セキュアなブート機能を持つ機器にアップグレードする。特に、使用済みの機器やサポートが終了した機器は、できるだけ早く交換することを最優先すること。
- 一つのパスワードが漏洩した懸念がある場合は、すべてのパスワードと鍵を変更する。
- ネットワーク・デバイスによって生成されたログをレビューし、不正なリブート、オペレーティング・システム・バージョンの変更、コンフィギュレーションの変更、ファームウェア・アップデートの試みを監視する。予想される設定変更およびパッチ適用計画と比較し、変更が許可されたものであることを確認する。
- ネットワーク・デバイス・インテグリティ(NDI)手法の文書に記載されているファイルとメモリの両方の検証を定期的に実施し、ネットワーク・デバイスに保存され実行されているソフトウェアへの不正な変更を検出する。
- ファームウェアの変更を監視する。定期的にブートレコードとファームウェアのスナップショットを取り、過去の正常なイメージと比較する。
参考:警察庁及び内閣サイバーセキュリティセンターからの注意喚起レポート
【リスク低減のための対処例】
○ セキュリティパッチ管理の適切な実施
○ 端末の保護(いわゆるエンドポイント・プロテクション等)
○ ソフトウェア等の適切な管理・運用、ネットワーク・セグメンテーション
○ 本人認証の強化、多要素認証の実装
○ アカウント等の権限の適切な管理・運用
○ 侵害の継続的な監視
○ インシデント対応計画、システム復旧計画の作成等
○ ゼロトラストモデルに基づく対策
詳しくはこちらへ👇
【注意喚起】
— 内閣サイバー(注意・警戒情報) (@nisc_forecast) September 27, 2023
2023年9月27日、警察庁及び内閣サイバーセキュリティセンターは、米国家安全保障局(NSA)、米連邦捜査局(FBI)及び米国土安全保障省サイバーセキュリティ・インフラ庁(CISA)とともに合同の注意喚起を発出しました。https://t.co/JIeJ2r6kSX pic.twitter.com/gUdc9V3LIQ
