ニュース:
メンロセキュリティがGoogleとの戦略的パートナーシップを発表
Icon Rounded Closed - BRIX Templates

HEAT攻撃:静的および動的コンテンツ検査の回避

Mark Guntrip
|
February 6, 2022

新型コロナウイルスのパンデミックは、歴史上最も劇的に仕事とコラボレーションの方法を変えてしまいました。かつて、これほど多くの人がこれほど速く変化したことはありません。そしてこの変化は、クラウドサービスの需要を劇的に増加させ、クラウドアプリケーションの導入とデジタルトランスフォーメーションへの取り組みを10年分加速させたのです。

これについて考えてみましょう:Forrester ConsultingがGoogleの委託を受けて実施した調査によると、ユーザーは業務時間の75%をオンラインに費やしており、これには主にWebブラウザーが使われていることがわかりました。さらに、SaaSアプリケーションは99%の組織で使用されています。ただ、これらの数値を確認するためにわざわざ統計を取るまでもありません。私たちは日常生活の中で、Webブラウザーが本質的に新しいオフィス空間になっていることを実感しているからです。

サイバー犯罪者もこのトレンドに気づいており、それを活用するために攻撃を進化させています。HEAT(Highly Evasive Adaptive Threats:高度に回避的で適応型の脅威)についての一連のブログで紹介しているように、犯罪者はブラウザーに侵入するために攻撃手法を変更し、検知を防ぐために既存の攻撃に新しい工夫を凝らしています。クラウドへの移行はビジネステクノロジーを10年分早めましたが、その代わりに従来型のセキュリティ対策は10年分遅れをとってしまったのです。

企業のセキュリティ担当者は、これらの攻撃に対応して企業を保護しなければなりません。そうしなければ、いつか防御力が圧倒的に不足していることに気付くことになるでしょう。サイバー犯罪者はWebブラウザーへの攻撃にHEATを使うようになっており、これらのHEAT攻撃は現在あらゆる形態のマルウェアを配信し、企業を攻撃するために使用されています。そして、その勢いはすぐに沈静化する気配はありません。

ここでは、HEATの4つの中核的な特徴の1つを取り上げ、これらの攻撃がどのようにして静的および動的コンテンツ検査を回避するのかを見てみましょう。

HTMLスマグリングとは

HTMLスマグリングは、サイバー犯罪者が静的および動的コンテンツ検査技術を回避し、悪意のあるペイロードをエンドポイントに送り込むために使用する手法の1つです。HTMLスマグリング攻撃では、攻撃者はJavaScriptのBLOB(Binary Large OBject)要素を作成し、そこに動的にコンテンツを送り込みます。Menlo Labsが観測した攻撃では、マルウェアの作成に使用されたコンテンツは、ユーザーがリクエストしたHTMLページ内にエンコードされていました。コンテンツはWebページ内の要素から動的に作成されるため、ファイルリクエストがインターネット上に送信されることはありません。

つまりこの場合、マルウェアがセキュアWebゲートウェイやサンドボックスなどのネットワークセキュリティアプライアンスによって検査されることはないのです。

興味深いのは、この攻撃手法は一般的にソフトウェアの脆弱性や設計上の欠陥と考えられているものを利用するのではなく、最新のブラウザーの標準的な動作と、ダウンロード速度を最適化しユーザーのWeb体験を向上させるために開発者が普通に使用している技術を悪用しているということです。

これらの攻撃は単なる仮定の話ではなく、現実にあちこちで起きており、それは人々がブラウザー内で作業する時間が長くなっているためです。

HTMLスマグリングの実際の例

Menlo Labsの研究チームはHTMLスマグリングを使ったいくつかのキャンペーンを確認しており、その1つが最近起きたISOMorphのHTMLスマグリングキャンペーンです。このキャンペーンは2021年の夏に確認され、上で詳述したHTMLスマグリングの技術が活用されていました。マルウェアの複数のセクションが別々にブラウザーにダウンロードされ、その後、エンドポイントでのWebページのレンダリング時に組み立てられました。ユーザーがWebページにアクセスした瞬間に、特定の操作をしなくてもエンドポイントにファイルがダウンロードされ、BLOB要素を使用して悪意のある.isoファイルが作成されました。

このISOMorph攻撃は、NOBELIUM(SolarWinds攻撃の背後にいると考えられている攻撃グループ)による攻撃を含む、この手法を使用した他の攻撃に続いて行われました。マイクロソフトは、この手法がバンキング型トロイの木馬「Mekotio」、「AsyncRAT/NJRAT」、「TrickBot」の配信に使用されていることを確認したということです。これは、攻撃者が標的のエンドポイントにコマンドを発行してコントロールし、ランサムウェアやその他の脅威を配布するために使用するマルウェアです。

この攻撃者はISOMorphを使って、人気のコミュニケーションプラットフォームであるDiscordとその約3億人の登録ユーザーをターゲットにしました。Menlo Labsは、悪意のある攻撃者がDiscordを使用してAsyncRATとして知られるリモートアクセス型トロイの木馬(RAT)をホストしているのを観測しました。AsyncRATは検知を回避し、パスワードを記録し、データを流出させるために多くの方法を使います。

従来のセキュリティソフトウェアがHTMLスマグリングを捕捉できない理由

攻撃者は、HTMLスマグリングのようなHEATの手法にますます注力するようになっています。HEATを使えば、セキュアWebゲートウェイやアンチマルウェア、サンドボックス機能、ネットワークやおよびHTTP検査、悪質なリンクの分析、オフラインでのドメイン分析、脅威インテリジェンスフィードなどの一般的な防御を回避してエンドユーザーのブラウザーに到達することができるからです。HEAT攻撃は非常に成功率が高いため、企業のセキュリティ投資は相対的に大幅に遅れることになりました。

これらの攻撃手法は新しいものではありませんが、攻撃者はこれらの手法に習熟し、その規模を拡大しています。これまでも、セキュアWebゲートウェイのエンジンで解析できないほど大きなファイルを送信したり、パスワードでファイルを「保護」したり、ファイルを暗号化したりすることで、セキュアWebゲートウェイをうまく回避することは可能でした。しかしHTMLスマグリングでは、解析するファイルがそもそも存在しないのです。

企業のセキュリティチームは、メールやネットワークなどの従来の攻撃ベクトルばかりでなく、攻撃者がWebブラウザー内で行っていることにもっと注意を払う必要があります。HTMLスマグリングは、その1つの例です。セキュリティチームは、これらに対して適切なレベルの防御策を講じる必要があるのです。

攻撃者はしばらくの間、HEATを使ってWebブラウザーを狙い続けるものと思われます。現代のビジネスにとって、クラウドへの移行とデジタルトランスフォーメーションは、成功のための大きなチャンスですから、これを避けるわけには行きません。遺憾ながら、悪質な攻撃者はこれらのトレンドを悪用する方法への注力を強めていくでしょう。

ブログカテゴリー
タグ付き
linkedin logotwitter/x logofacebook logoSocial share icon via eMail