HEAT攻撃：オフラインでのカテゴリー分けと脅威検知を回避

HEAT（Highly Evasive Adaptive Threats：高度に回避的で適応型の脅威）に関する一連のブログで取り上げたように、現代の攻撃者は従来のセキュリティ防御を簡単に回避してしまいます。攻撃者はユーザーの生産性が最も高い場所を狙い、防御をうまく回避して被害者を侵害するために、HEAT戦術を利用しているのです。

現代のナレッジワーカーは、社内外のパートナーや同僚とのコミュニケーション、生産性を維持するためのWebベースのアプリケーションの活用、仕事のためのさまざまな調査（多くの場合、ニュースへのアクセスなど）のために、ますます多くの時間をWeb上で過ごすようになっています。Pew Research Centerによると、アメリカ人の約8割がオンラインでニュースを入手しており、そのためにソーシャルメディアやインターネットの検索エンジンにアクセスしています。そのような状況下で、あるHEAT攻撃のテクニックがその悪用に効果的であることが分かりました。

セキュリティ業界では、悪意のあるWebサイトにフラグを立てるための方法の1つとして、信頼できるサイトと信頼できないサイトへのカテゴリー分けが行われています。Webセキュリティツールは、そのWebサイトのドメインの使用年数、レピュテーション、人気度、そのサイトが以前に違法または悪質な活動と関連していたかどうかなどの特性を考慮して、これらのサイトをカテゴリー分けします。HEAT攻撃は、信頼できるWebサイトを悪意のあるWebサイトに素早く転換することでWebのカテゴリー分け機能を回避し、マルウェアを配信できるようにするもので、Menlo Labsのチームはこの手法をLegacy URL Reputation Evasion（LURE）と名付けました。

攻撃者はどのようにしてオフラインでのカテゴリー分けと脅威検知を回避するのか

これらの攻撃は、さまざまな方法で行われます。攻撃者はドメインを購入し、信頼を得られるようにサイトを構築し、適切なタイミングでそれを悪意のあるWebサイトに転換させます。あるいは、攻撃者がさまざまな方法を駆使して正規のWebサイトに侵入し、それらをマルウェアの配信手段に変えることもあります。

新しいWebサイトを構築する際には、攻撃者はコンテンツを作成し、時間をかけてWebサイトの信頼を得られるよう行動します。このようなWebサイトには、長期間にわたって悪意のある活動が行われず、正規のコンテンツのみが存在します。攻撃者や攻撃グループは、これらのサイトのサプライチェーンを構築し、攻撃に利用します。

これらのサイトが一定のレピュテーションを得ると、攻撃者はマルウェアの配信や認証情報のフィッシングを可能にするためのスイッチを入れます。これで攻撃者は、SEOによってこのサイトに誘導された訪問者を利用したり、URLを通じて狙った被害者をサイトに誘導したりすることができます。攻撃が完了すると、攻撃者はサイトをシャットダウンするかサイトを元の信頼できる状態に戻すかのいずれかを行います。もし、サイトを信頼できる状態に戻した場合、将来の攻撃で再び利用される可能性があります。

従来のセキュリティツールでその戦術を特定できるようになる頃には、被害は大きくなってしまっています。このようなタイプの攻撃は増え続けており、Menlo Labsのチームは2020年から2021年にかけてカテゴリー分けを回避したWebサイトが137%以上増加し、2019年から2021年にはさらに958%増加したことを観測しました。

このような攻撃が急増した理由のひとつは、Webサイトが依然として脆弱であることです。最近のLog4jの脆弱性について考えてみましょう。Log4jは、アプリケーションのエラーメッセージを記録するために使用されるオープンソースのライブラリです。このライブラリはほとんどのサイトで利用されており、パッチが適用されていない場合、非常に脆弱であるとされます。このような脆弱性を持つ危険なサイトは、静的および動的なコンテンツ検査を回避できるため、今後しばらくの間、正規のWebサイトへの便利な侵入口となることが懸念されます。

これを使った実際の攻撃として、Menlo LabsはSolarMakerに注目しています。この攻撃は、SEOポイズニングを使って、信頼されているトラフィック量の少ないサイトにユーザーを惹きつけます。SEO対策によってこのサイトのトラフィックを増加させた後、悪意のあるコンテンツをサイト内に設置します。私たちの研究によると、セキュアWebゲートウェイは、分析によって悪質な活動を特定しWebサイトを適切にカテゴリー分けする前に、これらのWebサイトへのアクセスを許可しています。

しかし、オフラインでのカテゴリー分けや脅威検知を回避するために設計された攻撃は、これだけではありません。

Bleeping Computerは最近、1週間の間に90万ものWordPressサイトを狙った大規模な攻撃について取り上げました。この攻撃は、エンドポイントで管理者権限が有効になっている場合に、Webサイトへの訪問者を悪意のある広告サイトにリダイレクトしたり、バックドアを提供したりしようとするものでした。Ionut Ilascu氏は「ペイロードの特徴からこの攻撃は単一の攻撃者によるものと思われ、過去1カ月間に少なくとも24,000個のIPアドレスを使用して900,000以上のサイトに悪意のあるリクエストを送信しました。」と書いています。

そしてVolexityが発表した研究では、攻撃者が回避技術を活用した攻撃を拡大させ、何千人ものユーザーに到達させることができることが示されました。Volexityがまとめた攻撃では、InkySquidとして知られる北朝鮮由来のAPTが、ブラウザーのエクスプロイトを使用して多くの被害者に悪意のあるペイロードを配信する方法が詳細に解説されています。彼らは、北朝鮮で広く読まれている新聞「Daily NK」のWebサイトを感染させることで、これを実現しました。

Volexityは「これらのURLは、Daily NKのWebサイトの通常の機能の一部として使用される正規のファイルを指し示していますが、そのコンテンツは攻撃者によって変更され、攻撃者が所有するドメインjquery[.]servicesから悪意のあるJavaScriptを読み込むようユーザーをリダイレクトするコードを含んでいます。攻撃を含むコードは短期間だけ追加されてすぐに削除されるため、悪意のあるコンテンツが常に存在するわけではなく、この活動の特定は困難でした。」と記しています。

この重要性についてもう少し考えてみましょう。攻撃者はURLを作成し、Webクローラーやセキュリティカテゴリー分けエンジンの信頼を得ることができるのです。また攻撃者は、人気がありトラフィックも多いWebサイトに感染して攻撃を行い、エンドポイントのWebブラウザーを通じてマルウェアを配信することもできます。これらのHEAT攻撃を防ぐためには、防御側がこれまでとは異なる考え方をしなければならないことは明らかです。攻撃をうまく阻止するためには、防御側も敵とともに進化する必要があります。

現代においてセキュリティが最も効果的に機能するのは、ユーザーが業務を行う場所（WebブラウザーやWeb接続されたアプリケーション内）の近くで行われた場合です。そして企業のセキュリティチームは、WebベースのHEAT攻撃を阻止し、簡素なポリシー管理の下でエンドポイント全体に一貫したセキュリティポリシーを適用できるテクノロジーを検討する必要があります。HEAT攻撃の脅威が高まっていることを考えると、セキュリティチームはWebの防御にもっと重点を置かなければなりません。