Embed Size (px)
Citation preview
Active Directoryのログ調査の重要性
2018年 4月 26日
東京大学大学院情報学環セキュア情報化社会研究寄付講座
1. はじめに
Active Directory(以下、AD)は組織のユーザやリソースを一元的に管理できることから標的型攻撃の対象となりやすい。
JPCERT/CCによると、AD環境が侵害される事例を多数確認しており [1] 、被害組織の多くで ADの管理者権限が悪用されたこ
とが報告されている。また、AD のログが十分な期間保存されておらず、調査が困難なケースもあったという。ADへの攻撃に対
する脅威が高まっている一方で、 AD のログをセキュリティ観点で確認することの重要性が認識されていない傾向があるといえ
る。そのような状況では、攻撃に気づくことができずに被害が拡大したり、侵害されたコンピュータやアカウントを特定できず、
有効な対策がとれない可能性が高いと考えられる。そうした事態を避けるために、AD のログを適切に保管し、定期的に ADのロ
グを確認することが重要となる。
2. Active Directory に対する攻撃
標的型攻撃において、組織のネットワークに潜入した攻撃者は、効率的な侵害を目的として、AD環境における最高の特権であ
るドメイン管理者権限の窃取を試みる傾向がある [2]。ドメイン管理者は AD環境の全てのリソース (ユーザやコンピュータなど)
に対する管理権限を持つため、攻撃者にドメイン管理者権限を窃取されると、大きな脅威となる。本章では、標的型攻撃における
Active Directory に対する攻撃について述べる。
標的型攻撃のステップ
典型的な標的型攻撃のステップは、サイバーキルチェーンと呼ばれるステップに分けることができ、本稿では簡易的に以下 4つ
に分類する。
• 準備:標的組織の情報を入念に調査し、攻撃ツールやマルウエアなど攻撃の準備を整える• 潜入:実行ファイルを添付した標的型メールの送付などにより、組織内の端末をマルウエアに感染させる• 横断的侵害:組織内ネットワークの探索や感染の拡大を行い、目的を達成するまで組織内ネットワークを横断的に侵害する• 目的達成:機密情報の窃盗など本来の目的を達成する
図 1 標的型攻撃のステップ
1
攻撃者は、業務を装った標的型メールの送付や、取引先のWebサイトを改ざん等を通じて、標的とする組織の端末をマルウエア
に感染させる。一部の攻撃では巧妙な手口を使うためマルウエアの感染を防ぐのは難しく、侵入を想定したうえで対策を講じる必
要性がある。例えば、感染端末を踏み台にして組織内ネットワークでの横断的侵害を検知するような対策が重要となる。
AD に対する攻撃手法
攻撃者は、横断的侵害のステップでADに対して攻撃を行い、ドメイン管理者権限の窃取を試みる。AD環境では、主に Kerberos
認証や NTLM 認証が使用されるが、これらの認証方式の仕様を悪用した攻撃が報告されている [3][4]。各認証方式について簡潔に
説明する。
• Kerberos 認証:AD環境で主として使用される認証方式であり。Ticket-Granting Tickets (TGT) 、Service Ticket (ST)
と呼ばれる認証チケットを使用して、認証サーバであるドメインコントローラ(以下、DC)が一元的に認証を行う。認証チ
ケットには有効期限 (デフォルトでは 10時間)があり、有効期限が切れると、再発行が行われる
• NTLM 認証:パスワードをハッシュ化した値(以下パスワードハッシュ)を使用して、アクセス先のコンピュータが認証を
行う。主に AD環境に属さないWindowsで使用される認証方式であるが、AD環境においても、IPアドレスによるアクセ
スを行った場合などに使用されることがある。
これらの認証方式の仕様を悪用する代表的な攻撃手法について紹介する。
• Pass-the-Hash:NTLM 認証で使われる正規ユーザのパスワードハッシュをコンピュータのメモリなどから窃取し、窃取し
たパスワードハッシュを使用して他のコンピュータへ不正にアクセスする攻撃手法
• Pass-the-Ticket:Kerberos認証で使用される正規の認証チケットをメモリなどから窃取し、AD環境のサービスを不正に使
用する攻撃手法
• ADの脆弱性の悪用:攻撃に悪用されることが多い脆弱性の一例として、MS14-068 [5]があげられる。本脆弱性を悪用する
と、一般ユーザがドメイン管理者に昇格することが可能となる。インターネット上に攻撃ツールも公開されており、比較的
容易に攻撃を行うことが可能である
これらの手法を使用して、ドメイン管理者権限を窃取した攻撃者は、長期的なアクセス権限を手に入れるために、Golden Ticket
を作成することが多い。Golden Ticketは、攻撃者が不正に作成した正規の署名付きの認証チケット (TGT)であり、ドメイン管
理者権限を窃取した攻撃者は、チケットの署名に必要な情報を入手し、攻撃ツールを使って Golden Ticketを容易に作成すること
ができる。
Golden Ticketは、任意のアカウントになりすますことが可能で、かつチケットの有効期限が長い (デフォルトでは 10年)とい
う特徴がある。攻撃者がドメイン管理者アカウントに対する Golden Ticketを作成した場合、ドメイン管理者権限を長期的に使用
することが可能となり、大きな脅威になる。
3. Active Directory のイベントログを活用した攻撃検知
Golden Ticketは正規の署名が付いた認証チケットであるため、Golden Ticketを作成されてしまうと、検知が非常に難しくな
る。Golden Ticketの作成にはドメイン管理者権限の窃取が必要であるため、ドメイン管理者権限の悪用を早期に検知することが
重要である。AD環境では認証ログが DCに一元的に記録されるため、DCのイベントログ (セキュリティ)を定期的に確認するこ
とでアカウントの悪用を効率的に検知できる可能性がある。また、認証チケットの有効期限内は DCに認証要求が行われないため、
重要なサーバについても、ログを定期的に確認することが望ましい。ただし、ADに対する攻撃では正規のアカウントが悪用され
ることが多いため、一目で攻撃と判断できるログが残るケースは少ない。そのため、平常時と比較し、通常と異なる事象がないか
2
図 2 ADに対する攻撃
を確認する必要がある。ADログの主要な確認観点として、通常の運用で記録されないような不審なログの調査、および認証ログ
の調査の2つが上げられる。具体的な確認方法については [1]を参照のこと。
• 不審なログの調査:Microsoft社がモニタリングを推奨しているイベント [6]や、運用で頻繁に行わないようなログ消去など
のイベント、攻撃が試行された際に記録される可能性がある特定のエラーコードなどを調査する
• 認証ログの調査:認証ログに記録されるアカウントや端末などの情報を確認し、運用と比較して意図しないログがないかを調査する
イベントログはログ量が膨大であることや、ログのフォーマットが複雑であること、同じイベント IDが重複して記録されるこ
となどの理由から、人手で調査を行うことは容易でない。イベントログから必要な項目を抽出し、分析できるツールを使用するこ
とで、効率的にログを確認することができる。
3. Active Directory保護を目的としたトレーニングの実施
ADのログ調査やセキュリティ対策の重要性を認識してもらうためには、トレーニングを実施することも有効である。弊学では、
ADセキュリティに関するトレーニングを実施しており、本章では、昨年度、重要インフラ企業のセキュリティ関係者を対象に実
施したトレーニングの結果から得られた知見について紹介する。トレーニング内容としては、社内環境を模した ADの環境を受講
者に構築してもらい、その環境に対して標的型攻撃を模倣した攻撃を実施した。その後、受講者が各チーム毎に発生した事象を調
査し、インシデントレスポンスやセキュア化を行う演習を実施した。以下は、演習で行なった攻撃の一例である。
1. 認証情報窃取ツール (mimikatz)を使ったメモリ上の認証情報の窃取
2. MS-14-068の脆弱性を悪用したドメイン管理者への権限昇格
3. ファイルサーバ上の機密情報の窃取
3
4. ドメイン管理者権限の Golden Ticketを使用した再侵入および情報窃取
インシデントレスポンス演習は以下二つのステップに分けて実施した。
• 意図的に脆弱な環境を作り、セキュリティ脅威や対策をレクチャーする前に攻撃を実施• 受講者がセキュア化を行なった環境に対して、再度攻撃を実施。ただし、Golden Ticketについては、脅威を体感してもら
うために意図的に解説を行わず、攻撃後に解説を実施
実施した攻撃と、攻撃に対する防御に成功したチームの割合は表 1の通りであった。「-」は攻撃を実施していないことを示す。
表 1 実施した攻撃と防御可否
攻撃 防御成功率 (1回目) 防御成功率 (2回目)
1(メモリ上の認証情報の窃取) 33% 100%
2(MS-14-068の脆弱性悪用) 33% 100%
3(Golden Ticketを使用した攻撃) - 27%
N=15
セキュリティ対策未実施の状態であった 1回目の攻撃では、大多数のチームが防御することができなかった。一方、2回目の攻
撃では、ADの脆弱性を悪用する攻撃などについてはログ調査を通じて攻撃を検知して、パッチ適用などのセキュリティ対策を実
施しており、大部分のチームが防御することができた。しかし、Golden Ticketを使用した攻撃については、大多数のチームが防御
することができず、結果として Golden Ticketを使用して情報窃取を行うことが可能であった。この結果からも、Golden Ticket
はログから判別することが難しいことが分かる。そのため、初期の段階 (ドメイン管理者権限を窃取された時点)で気づくことが重
要である。また、トレーニングを通した実践的なレクチャーは効果的であり、受講者が自組織に戻ってからも、ログ調査や調査結
果を踏まえた具体的対策の適用などを実行できる能力が習得できると考えている。
4. 終わりに
ADは標的型攻撃の対象となりやすく、特にドメイン管理者権限が狙われる傾向にある。攻撃者にドメイン管理者権限を窃取さ
れた後は、検知が非常に難しくなることから、DCや重要なサーバのログを定期的に確認し、ドメイン管理者権限の悪用を早期に
検知することが重要である。また、ADに対する攻撃を確認した場合は、[1]を参考に、被害を抑止するための対処も併せて実施い
ただきたい。
4
5. 参考情報
参考文献
[1] JPCERT/CC, ログを活用した Active Directory に対する攻撃の検知と対策, https://www.jpcert.or.jp/research/AD.html
[2] JPCERT/CC, Active Directory の ド メ イ ン 管 理 者 ア カ ウ ン ト の 不 正 使 用 に 関 す る 注 意 喚 起,
https://www.jpcert.or.jp/at/2014/at140054.html
[3] Microsoft, Mitigating Pass-the-Hash and Other Credential Theft,
https://download.microsoft.com/download/7/7/A/77ABC5BD-8320-41AF-863C-6ECFB10CB4B9/Mitigating-Pass-the-
Hash-Attacks-and-Other-Credential-Theft-Version-2.pdf
[4] CERT-EU, Protection from Kerberos Golden Ticket, https://cert.europa.eu/static/WhitePapers/CERT-EU-
SWP 14 07 PassTheGolden Ticket v1 1.pdf
[5] Microsoft, マイクロソフトセキュリティ情報MS14-068 -緊急, https://technet.microsoft.com/ja-jp/library/security/ms14-
068.aspx
[6] Microsoft, Securing Active Directory: An Overview of Best Practices, https://technet.microsoft.com/en-
us/library/dn205220.aspx
5
