急増するLURE攻撃：攻撃者はどのようにしてレガシーなSWGを回避するのか

攻撃者は、攻撃を拡大して組織を侵害するための巧妙な方法を模索し続けています。その中でも最近特に増えているのが、「LURE（Legacy URL Reputation Evasion：レガシーなURLレピュテーションの回避）」と呼ばれる戦術です。私たちは以前にもこの戦術を取り上げましたが、新たなLURE攻撃が発見されたため、旧世代のセキュアWebゲートウェイ（SWG）や従来型のURLフィルタを使用している組織は、ますます危険にさらされることになるでしょう。そこで、この攻撃について詳しく解説し、企業がこの攻撃を阻止するためにどのような対策を講じればよいかを考えていただくことが重要だと考えています。

LUREは、信頼性に基づいてドメインをカテゴリー分けするWebフィルタを回避する攻撃です。攻撃者は、セキュリティシステムからすでに信頼されていて、しかも保護レベルの低いWebサイトを見つけ出して侵害し、マルウェアの配信やユーザーの認証情報の窃取に利用します。このような攻撃は驚くほど増加しており、私たちはLUREを使った攻撃が過去2年間で950％以上増加していることを確認しました。これらの攻撃は、フィッシングページの公開、ブラウザーでのエクスプロイトの実行、エンドポイントへの悪意のあるファイルの配信などに使用されます。

LURE攻撃は、HEAT（Highly Evasive Adaptive Threats：高度に回避的で適応型の脅威）の一種です。HEAT攻撃とは、Webブラウザーを攻撃経路とするサイバー脅威の形態であり、現在のセキュリティスタックにおける複数の検知レイヤー（ファイアウォール、SWG、サンドボックス分析、URLレピュテーション、フィッシング検知など）をうまく回避するテクニックを活用しています。HEAT攻撃は、攻撃者がマルウェアを配布したり、認証情報を漏洩させたりする際の最初の手段として用いられることが多く、ランサムウェア攻撃を成功に導きます。

新たなLURE攻撃を特定

BleepingComputerは、最近のレポートでLURE攻撃を取り上げました。この記事では、効果的なフィッシング攻撃の一環としてリバーストンネルサービスが増加していること、そしてそれが一般的なURL短縮ツールと組み合わせて使用されていることについて、詳しく解説しています。

LURE攻撃であれば、攻撃者はこれまでのように攻撃に使用するためのドメインを登録して構築する必要がありません。BleepingComputerが報告したように、これらの攻撃者は「自分のコンピュータ上でローカルにフィッシングページをホストし、外部のサービスを通じて接続をルーティングすることができます。URL短縮サービスを使えば、何度でも新しいリンクを生成して検知を回避することができるのです。」

この戦略であれば、攻撃者はフィッシングサイトがホスティングプロバイダーに届くのが早すぎて攻撃が効果的でなくなることを心配する必要がなく、標的を侵害するまで必要なだけリンクを生成することができるのです。これらのテクニックはいずれも、従来のレピュテーションベースのURLフィルターを回避するものです。

攻撃者は、LURE攻撃で創造性を発揮する

BleepingComputerが取り上げたLURE攻撃は、Menlo Labsの研究チームが最近観測したLURE型HEAT攻撃の最も新しい例に過ぎません。もう1つの例は、5月に取り上げたBrowser in the Browser（BitB）攻撃です。BitB攻撃では、攻撃者は、保護レベルの低いWebサイトを侵害し、FacebookやGoogleなどの信頼できるサイトのサインインページに見せかけた偽のポップアップウィンドウを作成し、潜在的な被害者に対して悪意のあるサイトが合法であるかのように見せかけます。ポップアップは偽物ですが、多くのフィッシング攻撃と同様に、URLは正当なものである場合がほとんどです。このポップアップは、偽のウィンドウに入力された情報からログイン情報を取得し、それを元に動作するよう設計されています。

Menlo Labsはその他のLUREの例として、CAPTCHA機能を利用して悪意のあるWebサイトを正規のものに見せかけ、ユーザがアクセス情報を提供するよう誘導する方法について解説しています。

LUREベースのランサムウェア攻撃の仕組み

攻撃者は、認証情報の収集からランサムウェア攻撃まで、さまざまな目的でLURE型HEAT攻撃を使用します。ランサムウェア攻撃では、攻撃者はLURE HEATテクニックを使用して、防御レベルの低いWebサイトを侵害します。そのWebサイトがすでに良いレピュテーションを持ち、信頼できるものとして分類されている場合、Webカテゴリ分けツールやその他のフィルタリングベースの防御技術では、このサイトをブロックしたり、フラグを立てたりすることはできません。

ここで、何が起こっているのかを説明します：

• 侵害されたWebサイトは悪質なPDFをホストしており、それが検索結果に表示されます
• ユーザーがSEO対策されたリンクをクリックすると、複数のHTTPリダイレクトの後、悪意のある第1段階のマルウェアのペイロードがエンドポイントにダウンロードされます
• 攻撃者はこのバックドアアクセスを利用してシステム情報を収集し、攻撃をさらに進めます
• 攻撃者はこの時点で、ダークウェブ経由で最高額を提示したランサムウェア攻撃者にアクセス手段を販売するか、自らペイロードを配信します
• ランサムウェア攻撃者は、Cobalt Strikeなどの攻撃ペイロードをバックドア経由で配信し、ネットワーク内でラテラルムーブメント（横方向への移動）をできるようにします
• 攻撃者は、Active Directoryへの侵入を成功させることで、ドメインを完全に侵害します
• 接続されているすべてのワークステーションにランサムウェアを配信します

エンドポイントに侵入し、マルウェアを送り込んで、攻撃者が組織内を横方向に、かつ深いレベルまで移動することを目的としたLUREのようなHEAT攻撃は、日常的に発生しています。このような攻撃を阻止するためには、まず、企業がどのような攻撃の影響を受けやすいかを理解する必要があります。そうして初めて、リスクのある領域を特定し、影響を軽減することができます。

LURE攻撃の阻止

このような攻撃を防ぐために、Menlo Securityは最近、HEAT Security Assessment Toolkitをリリースしました。このツールキットは、HEAT攻撃に対する組織の耐性をより良く理解するための、軽量のペネトレーションテストおよび外部露出評価を提供します。セキュリティチームはHEAT Checkツールを使って、LUREやその他のHEAT攻撃の影響を受けやすい領域を特定するための軽量のペネトレーションテストを実行することができます。この評価では、攻撃者が現実世界で実際に使用しているいくつかのHEAT攻撃を活用して、ユーザーが危険に晒されているかどうかを安全に判断できます。

HEAT Check は、実際には悪意のあるコンテンツを配信しません。業界標準の EICAR ファイルを使用して、企業のHEATへの露出を評価します。EICARは、European Institute for Computer Antivirus Research（EICAR）が開発した、標準的なマルウェアテキストファイルです。EICARファイルが配信されても現在使っているセキュリティスタックのアラートがトリガーされない場合、そのセキュリティ技術はHEAT攻撃を防御するために必要なレベルの保護を提供していないことになります。

セキュリティチームは、HEAT Checkツールに加え、Splunkbaseで利用可能になったMenlo Security HEAT Analyzer App for Splunkも利用することができます。これにより、外部とデータを共有するリスクを負うことなく、ネットワークに影響を与えた可能性のあるHEAT攻撃に関する可視性を得ることができます。この評価ツールは、お客様のWebトラフィックを分析し、HEAT攻撃に影響されやすいかどうかを判断し、お客様のネットワークが現在何らかの形でHEATにさらされているかどうかを判定します。