Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

FBIが感染したExchangeサーバからWebシェルを削除

つぶやいてみた。 海外事件

FBIは、ハッカーが多くの米国組織のMicrosoft Exchangeサーバにインストールしたマルウェアを削除する権限を裁判所に求め、悪意あるスクリプトを削除する特別オペレーションを実施した様です。

www.infosecurity-magazine.com

米国当局は、3月にパッチが適用された脆弱性の大規模な悪用に続いて、数百のMicrosoftExchangeサーバーで実行されているWebシェルを削除する裁判所命令を求めました

司法省(DoJ)は昨日この動きを発表し、システム所有者は感染したサーバーから何千もの悪意のあるスクリプトを削除できたものの、何百も存続したと説明しました。

攻撃は早くも1月に始まりましたが、バグが数か月後に公開されるとさまざまなグループが山積みになったため、最終的には30,000人ものUS ExchangeServerの顧客が侵害の影響を受けた可能性があるとの報告があります。

Webシェルは、攻撃者が戻るための永続的なバックドアを実現するために感染したマシンにインストールされ、ランサムウェアやコインマイナーなどの追加のマルウェアを展開するために使用されました。

DoJによると、FBIは、残りの各Webシェルを介して影響を受けるサーバーにコマンドを発行し、固有のファイルパスで識別された問題のあるスクリプトを削除しました。

(Infosecurity Magazine記事より引用)※機械翻訳

 

キタきつねの所感

FBIが企業にインストールされた悪意あるプログラムを削除するオペレーションを実施した様ですが、過去にこうしたオペレーションが実施されたのを聞いた事がありません。

それだけに、FBIが悪意あるサイバー攻撃者から米国企業(市民)を守り、脅威と戦う事に対する強い意志を感じますが、別な見方をすれば3月10日に出されたExchangeサーバ脆弱性の注意喚起、検出ツール、パッチだけでは最大で3万とも言われるExchangeサーバの侵害組織「守り切れない」と判断するに足る情報をFBIが入手していたのだと思います。

 

この記事は、米司法省の4/13リリースが元ソースの様です。

www.justice.gov

司法省の国家安全保障局のジョンC.デマーズ副検事総長は、「起訴だけでなく、すべての法的ツールを使用してハッキング活動を妨害するという司法省の取り組みを示しています」と述べています。「検出ツールやパッチのリリースなど、これまでの民間部門や他の政府機関の取り組みと組み合わせることで、官民パートナーシップが我が国のサイバーセキュリティにもたらす強みを一緒に示しています。まだまだやるべきことが残っていることは間違いありませんが、そのような取り組みにおいて同省が不可欠で必要な役割を果たすことに尽力していることも間違いありません。」

 

日本ではこうしたオペレーションの実施がほぼ不可能だと感じるのが、善意のFBIオペレーションであり、司法の事前の許可の下で実施しているとはいえ、組織に「事前の告知なく」悪意あるWebシェルを削除している点です。

※FBIはこれからWebシェル削除(サニタイズ)したすべての組織に通知をする様です

 

オペレーションの実施内容部分を見ると、

多くの感染したシステム所有者は、何千ものコンピューターからWebシェルを正常に削除しました。他の人はそうすることができないように見えました、そして何百ものそのようなウェブシェルは軽減されずに存続しました。この操作により、米国のネットワークへの永続的な不正アクセスを維持およびエスカレートするために使用された可能性のある、初期のハッキンググループの残りのWebシェルが削除されました。FBIは、Webシェルを介してサーバーにコマンドを発行することで削除を実行しました。これは、サーバーがWebシェル(一意のファイルパスで識別される)のみを削除するように設計されています。

米司法省リリースより引用)※機械翻訳

 

悪意ある(判別できている)Webシェルだけに絞ってログインしてコマンド発行によって削除する”ホワイトハッキング”だった様です。

FBIが把握していないファイルパスに不正設置されたWebシェルや、Webシェル経由で既にエンドポイント等にインストールされた別なマルウェアや攻撃ツールは、今回のオペレーションの対象外である事から、まだ組織にマルウェアが残存している可能性があるものの、相当数の組織における最大脅威は(一時的に)取り除かれた様です。

※散々Exchangeサーバの脆弱性が警告され、検出ツールまで出ていた中で「まだ」Webシェルが残っていた(=放置していた)組織ですので、別な攻撃で再感染を受ける可能性を専門家からは懸念されています。

 

残念ながら日本では、警察組織や他の公的組織がFBIの様なプロアクティブな」オペレーションを実施してくれる可能性はほぼないかと思いますので、企業や組織は、ソフトウェアベンダ(Microsoft)や、国内外の権威組織(IPAJVNCISAやFBI等)、サポートベンダの注意喚起を、よくウォッチして脆弱性対応を廻していく事が肝要かと思います。

 

余談です。FBIが実施した特別オペレーションの内容から考えると、ProxyLogon攻撃を仕掛けてきたサイバー攻撃(※中国の政府系ハッカーが関与していると言われています)や、その背後にいると言われる国家に対して、FBI(米国)には十分なハッキング能力があるのだと誇示する目的もあったのかと思います。

 

もう1つ。Exchangeサーバの脆弱性が4/13に新たにマイクロソフトから発表されました。ProxyLogonの件がありますので、パッチ当てについて検討を急ぐ事が推奨されます。CVE-2021-28480、CVE-2021-28481、CVE-2021-28482、CVE-2021-28483

www.bleepingcomputer.com

 

参考:ProxyLogon

www.ipa.go.jp

msrc-blog.microsoft.com

cyber.dhs.gov

 

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 刑事・警察官のイラスト

 

更新履歴

  • 2021年4月15日 AM