2024年初頭、ある大規模なK-12学区がサイバーセキュリティを強化するためにThreatDown MDRと提携した。提携後間もなく、ThreatDown MDRのアナリストは異常な活動パターンを検出し、それがSolarMarkerという高度なバックドアの仕業であることを特定した。SolarMarkerは少なくとも2021年から学区のシステム内に存在しており、数年にわたってデータを外部に送信していた可能性がある。
事件は、不審なIPアドレス(188.241.83.61)へのアウトバウンドネットワーク接続を試みるPowerShellの異常なインスタンスの検出から始まった。この接続試みはMalwarebytes Web Protection (MWAC)によって阻止され、セキュリティ侵害の可能性の最初の兆候となった。調査により、クライアントのエンドポイントポリシーでエンドポイント検出と対応(EDR)の設定が無効になっていることが判明し、詳細なエンドポイントデータをキャプチャして分析するためのFast Response Scanning (FRS)の使用が妨げられた。
調査と分析の最初のステップでは、netstatを使用してアクティブなネットワーク接続を照会し、PowerShellのインスタンスが動作していることが明らかになった。このPowerShellインスタンスの性質をさらに理解するために、プロセスID (PID)を使用してWindows Management Instrumentation Command-line (WMIC)でコマンドラインが調査され、難読化されたコードが明らかにされた。
SolarMarkerの難読化されたPowerShellコードは抽出され、明確化のためにリファクタリングされた。分析により、マルウェアの操作の以下のコンポーネントが明らかになった:Base64エンコードされた文字列を復号化キーとして使用し、特定のファイルパスにエンコードされたデータを対象とし、暗号化されたペイロードを読み取り、復号化し、実行する。
対応と軽減のために、悪意のあるPowerShellインスタンスを終了し、エンコードされたペイロードを含む特定のフォルダを削除し、持続性メカニズムを徹底的に検索し(幸いにも発見されなかった)、包括的な脅威スキャンを実行し、クライアントとの可視性を高めるためにインシデントをエスカレーションした。再起動後のチェックは、持続性の欠如、新しいPowerShellインスタンスの発生のないこと、および不審なネットワーク接続のブロックを確認し、感染の成功した修復を示した。
【ニュース解説】
2024年初頭、ある大規模なK-12学区がサイバーセキュリティを強化するためにThreatDown MDRと提携しました。この提携により、ThreatDown MDRのアナリストは異常な活動パターンを検出し、それがSolarMarkerという高度なバックドアの仕業であることを特定しました。このマルウェアは少なくとも2021年から学区のシステム内に潜んでおり、数年にわたってデータを外部に送信していた可能性があります。
事件の発端は、不審なIPアドレスへのアウトバウンドネットワーク接続を試みるPowerShellの異常なインスタンスの検出でした。この接続試みは、Malwarebytes Web Protectionによって阻止され、セキュリティ侵害の可能性の最初の兆候となりました。調査の過程で、エンドポイント検出と対応(EDR)の設定が無効になっていることが判明し、詳細なエンドポイントデータの分析には手動でのアプローチが必要となりました。
SolarMarkerの分析では、Base64エンコードされた文字列を復号化キーとして使用し、特定のファイルパスにエンコードされたデータを対象とし、暗号化されたペイロードを読み取り、復号化し、実行するという複雑な手法が明らかにされました。この手法は、マルウェアがシステム内でどのように機能していたかを理解する上で重要な手がかりとなりました。
対応として、悪意のあるPowerShellインスタンスの終了、エンコードされたペイロードを含むフォルダの削除、持続性メカニズムの検索、包括的な脅威スキャンの実行などが行われました。これらの対応により、感染は成功裏に修復されました。
この事件は、教育機関がサイバー攻撃の主要な標的であることを改めて浮き彫りにしました。特に、長期間にわたって潜伏し、データを盗み出すような高度なマルウェアに対しては、定期的なセキュリティチェックと最新の防御技術の導入が不可欠です。また、エンドポイント検出と対応(EDR)の設定を有効に保つことの重要性も示されました。このような事件を通じて、教育機関はサイバーセキュリティの強化に向けた取り組みを一層進める必要があると言えるでしょう。
from Stopping a K-12 cyberattack (SolarMarker) with ThreatDown MDR.
