皆さん、こんにちは。
ネットワールドSE 西日本技術部の廣澤です。
今回は前回ご紹介したFortiDeceptorの
「基本動作と検知情報」
について解説します。
この記事は製品概要だけではイメージの難しい
「デコイを利用したセキュリティとは何か?」
について理解を深めていただくことを目的としています。
ぜひ、最後までお読みいただければ幸いです。
※前回の記事はこちら!!
【Fortinet】攻撃者を誘う罠!FortiDeceptor!! - ネットワールド らぼ
攻撃は身近なところから
「基本動作」をご紹介ということで、
今回は実際にFortiDeceptor上のデコイに攻撃を行ってみます。
そして、今回利用する攻撃方法は「RDP(リモートデスクトッププロトコル)」です。
「RDP」と聞いて拍子抜けされた方もいらっしゃるかもしれません。
ですが、「RDP」は実際のラテラルムーブメントで利用される一般的な攻撃方法です。
======================================================
【2025年 フォーティネット グローバル脅威レポート】
RDP ベースのラテラルムーブメント:2024 年に調査されたインシデントの 88% を占めました。
======================================================
攻撃に利用される可能性の高いツールは「利用禁止」にすれば良いかもしれませんが、
「RDP」を今すぐ利用禁止にできる企業は多くありません。
それほど「RDP」は日常業務に深く結びついたツールであり、
安易に制限をかけられない点が攻撃者に選ばれる理由の一つとなっています。
ネットワーク構成とシナリオ
今回の構成とシナリオは以下の通りです。
それでは早速、攻撃者の視点から進めていきます。
①接続先情報の収集
攻撃者として社内に侵入を果たしました。
早速、次の攻撃対象を探すわけですが、不用意な行動(ネットワークスキャン)は、
自分の居場所を露呈する原因になります。
なので、ここは潜入した端末に残っている周辺端末の情報を確認します。
Windowsではレジストリから直近接続を行ったRDPの接続先を確認することができます。
「10.21.14.199」と「10.21.14.71」という端末への接続が確認できました。
加えて、レジストリから接続に利用したユーザ名を確認することも可能です。
「10.21.14.199」について接続時ユーザ名の情報が残っていました。
他多くの標準的な機能を利用することで、攻撃者は危険な手段をとらずに周辺端末の
情報を入手することが可能になっています。
②RDPによる侵害拡散
次に探索で発見したRDPの接続先へ接続します。
「接続」をクリックすると、ユーザ名とパスワードの入力がスキップされ、
そのまま接続に成功してしまいました。
ここで、潜伏端末のコントロールパネルから「資格マネージャー」を確認します。
ユーザ名と一緒にパスワードも記憶されていることが分かります。
接続の度にパスワードを入力することは手間かもしれませんが、
このようにして攻撃者の侵入の手助けになってしまう可能性があるため、
認証情報の記憶設定には注意が必要です。
③デコイ上での探索
RDP接続した端末で更なる調査を続けます。
この端末はドメイン参加している端末であるため、ドメインの情報を確認できます。
ドメインの探索に特別なツールは必要ありません。
「コマンドプロンプト」や「PowerShell」である程度の情報を収集することができます。
接続に利用しているユーザの情報
ADの管理権限を持っているアカウントの名前
ドメインコントローラーのホスト名
他ドメインとの信頼関係
Kerberoasting(ケルベロースティング)の準備
上記のコマンドの実行に「管理者権限」は不要です。
ドメインユーザであれば「誰でも」情報を取得することができます。
今回はここでRDPを切断しますが、一度潜入されてしまうと検出が困難な理由は
上記のように「誰もが標準的なツールで攻撃に十分な情報が収集できる」ためです。
④ログの記録
では、ここまで攻撃者側の視点で攻撃・探索を行ってきましたが、
重要なのはここまでの行動が「FortiDeceptorでどのように検出されているか?」です。
FortiDeceptorでは攻撃者の行動を、
・分析(Analysis)
・キャンペーン(Campaign)
の2つで確認することが可能です。
分析(Analysis)
攻撃者が「デコイに接続してデコイから離れる」までの一連の行動を記録します。
記録される情報には攻撃者の実行コマンドや処理(ファイルを開く/アプリを実行)が含まれます。
キャンペーン(Campaign)
攻撃者は一度の行動で全ての情報を取得するわけではありません。
長期間、複数回に分けて少しずつ情報を取得します。
キャンペーンはその複数回に分けて行われる攻撃をひとまとめにして確認可能な機能です。
表示される1つ1つの情報は分析(Analysis)と大差はありませんが、
時間ごとに分けて行われた行動をまとめて確認できる点が攻撃解析の大きなメリットとなります。
なお、注意点としてFortiDeceptorは、
「自動解析ツールでは無いこと」
「最終的な分析・判断は人によって行われる必要があること」
が本製品を利用する上での重要なポイントです。
⑤アラートメール
上記の通り最終的な対応は専門家の協力が必要となりますが、
「緊急」の対応であればFortiDeceptorでも行うことが可能です。
FortiDeceptorは攻撃を検出したタイミングで管理者に対してアラートメールの送信が可能です。
色々と設定する項目がありますが最低限「脅威度(Severity)」の設定をしておけば大丈夫です。
あとは、FortiDeceptor側で脅威度に該当する攻撃を検出するとメールが送信されます。
メールの内容は簡易的な印象を受けますが、このタイミングで重要なのは、
「Attack IP(潜伏端末)」が分かることです。
潜伏先が分かれば、緊急で物理的な切断や隔離の対応を行うことが可能です。
ちなみに、今回の状況ではデコイにRDPが行われた時点で「Critical」となるため、
正しく端末排除や隔離ができれば、デコイ上で更なる探索は発生しなかったという結末になります。
以上がFortiDeceptorの基本的な動作になります。
最後に
まずは、FortiDeceptorが「攻撃を検出して記録する」という最も基本的な部分をご紹介しました。
似たような製品が少ないので、イメージの付かない部分もまだ多くあるかもしれませんが、
今後、続けていく製品紹介の中でできる限り分かりやすく紹介させていただきますので、
引き続き、FortiDeceptorの情報更新をお待ちいただければと思います。
免責事項
- 本書は、株式会社ネットワールド(以下 弊社)が作成・管理します。
- 本書の記載内容の一部または全部を弊社に無断で改変・転載することを禁じます。
- 本書の記載内容は、一部または全部が将来予告無く変更されることがあります。
- 本書の利用は、利用者様の責任において行われるものとします。
- 本書の記載内容には、最善の注意を払っておりますが、正確性・完全性を保証するものではありません。
従いまして、本書の利用によって生じたあらゆる損害に関して、弊社は一切の責任を負いません。
