とあるセキュリティ監視サービスにて，CPUのアクティビティ(使用量？)の急増が不審な動作として検知された．結果的に，これはランサムウェア攻撃に関わる動作であった可能性が高いという結論に至ったとのこと．

確かに，ランサムウェア被害といえば暗号化処理を高速に，多数のファイルに対して行うのでCPUのアクティビティ増加ってありそう．だから，暗号化の始まりとかを検知したのかなぁと思っていた．が，実際に検知されたのは情報を持ち出した際のファイルアクセスの急激な増加によるものであったらしい．

インシデント概要

侵入

ユーザが正規のブラウザアップデートだと思わされたファイルをダウンロードし、悪意のあるJavaScriptペイロードを実行。

このダウンロードにより、 Active Directory情報の列挙、主要なローカルシステム情報、メモリ内の資格情報の検索、その他のさまざまな一連の自動偵察が開始。

数分以内に、第二段階のマルウェアが、永続化のために定期的なスケジュールタスクとして展開された。その後、正規のPythonがインストールされてSOCKSプロキシとして機能する暗号化されたPythonスクリプトもダウンロードされた。これにより、企業ネットワークをインターネット経由で直接公開。

よくあるような認証情報の収集

攻撃者はエンドポイントへの侵入後、すぐにターゲットネットワーク内で認証情報と権限昇格のための試行を開始。ネットワーク共有をスキャンしてRDPなどの認証情報を含むファイルを探す他，VPN用のOVPNファイル，ローカルパスワードマネージャであるKeePass Vaultsなど．

ChromeとEdgeのローカル状態データベースなどブラウザに保存されている認証情報の抽出も行っていた．

ActiveDirectoryでの権限昇格

攻撃者は最初の侵入から約4時間後にドメイン管理者アカウントの制御を開始したことが判明しましたとのこと。

調査中にこのAD環境では，証明書サービス（AD CS）の証明書設定ミスによる脆弱性ESC1経由で権限昇格が可能になってたらしい．ESC1だと，AD内のユーザアカウント何にでもなれるので直ぐにDomain AdminsやAdministrator(ADの)になれる．

データ持ち出し時に検知されたCPUスパイク

ランサムウェア攻撃者がActiveDirectory環境のほぼ全てを掌握した後に行われるのは情報持ち出し．

この事例では，Azureにデータを転送するAzcopyの使用が確認された．

ここで，ファイルアクセスが急激に増加．ファイルアクセス増加によるCPU使用率の急上昇が何らかの検知ルールに引っかかった．具体的には，平均して該当ユーザは1日あたり1,000個のファイルを読み取っていたらしいが，データ流出当日には約27万個のファイルを読み取りが発生．明らかにヤバい．

所感

個人的なイメージとして，EDRはマルウェアが動いたときに検知できる．例えばランサムウェアの暗号化，スティーラーによる認証情報収集，バックドアのための設定変更など．しかしながら，外部へのデータ送信は送信先がブラックリストに該当しなければ防げないことが多いイメージ．SIEM-SOCとか何らかのSIEM環境があれば別だが．

なので，こういうシステムで分かりやすい異常動作というのが色んなセキュリティソフトに組み込まれたら良いなぁ(願望)

参考

・How a CPU spike led to uncovering a RansomHub ransomware attack
https://www.bleepingcomputer.com/news/security/how-a-cpu-spike-led-to-uncovering-a-ransomhub-ransomware-attack/

・RansomHub – What You Need to Know About the Rapidly Emerging Threat
https://www.varonis.com/blog/ransomhub