🛡 概要
初期アクセスブローカー Storm-0249 が、エンドポイント検知・応答(EDR)とWindowsの信頼済みユーティリティを悪用し、マルウェア実行・通信・永続化を確立してランサムウェア攻撃の下準備を行っています。ReliaQuestの分析では、SentinelOneの正規コンポーネントに対するDLLサイドローディングで不正コードを署名済みプロセス内に隠し、従来の監視を回避していました。同手法は他EDRでも成立し得る汎用的なTTPであり、ふるまい検知や実行制御の強化が必須です。CVSS: 該当なし(製品脆弱性ではなく手法の悪用)。
🔍 技術詳細
攻撃はClickFix系のソーシャルエンジニアリングから始まります。利用者にWindowsの[Win+R]実行ダイアログへcurlコマンドを貼り付けさせ、悪性MSIパッケージを取得・実行します。加えて、偽装したMicrosoftドメインからPowerShellスクリプトを取得し、その内容をメモリ上にパイプして実行するため、ディスクに痕跡をほとんど残さず、従来型アンチウイルスの検出を回避します。MSIはSentinelAgentCore.dllという悪性DLLをドロップし、被害端末に既に存在する正規のSentinelAgentWorker.exeと同一ディレクトリに配置します。以後、署名済みのSentinelAgentWorkerが起動されるたびに、このDLLがサイドロードされ、信頼されたEDRプロセスの権限とコンテキストで攻撃者コードが実行されます。これにより、OS更新後も継続しやすい永続化が成立します。侵入後の偵察では、reg.exeやfindstr.exeといったLoLBinをEDRプロセス配下で用い、MachineGuidなどの識別子を取得し、暗号化されたHTTPS(信頼済みプロセス発)でC2通信を中継します。通常であれば不審となるレジストリアクセスや文字列検索も、EDRプロセス由来であるため日常動作と見なされ、監視をすり抜ける点が核心です。研究者は、信頼プロセスによる未署名DLLの非標準パスからのロードを検知するふるまい監視、curl・PowerShell・LoLBinの厳格な制御を推奨しています。
⚠ 影響
本手法はIABの侵入後活動を極めて秘匿化し、ランサムウェア運用者への高品質なアクセス提供につながります。MachineGuidでの端末紐付けはLockBitやALPHVが暗号鍵生成に用いる例があり、標的ごとに最適化された暗号化・横展開が想定されます。EDRの信頼を迂回することで、通常のログ相関や署名検知をすり抜け、初動検知が遅延するリスクが高まります。
🛠 対策
- アプリケーション制御: WDACまたはAppLockerで、PowerShellはConstrained Language Mode、curl等LoLBinは原則ブロックまたは最小権限に限定。信頼済みプロセスのモジュールロードは署名必須・標準パス限定。
- モジュールロード監視: SysmonのImageLoad(Event ID 7)やEDRのModuleLoadで、EDRプロセスが未署名DLLや未知ハッシュを読み込む事象を検知・遮断。
- ネットワーク制御: EDRプロセスの外向き通信はベンダードメイン/宛先IPに許可リストで限定。EDRプロセス発の未知SNI・CNや新規ASNへはアラート。
- スクリプト可視化: AMSIテレメトリ・PowerShellログ(モジュール/スクリプトブロック)を有効化し、ダウンロード&インメモリ実行の挙動を検知。
- ユーザー教育: ClickFix型の「Win+Rに貼り付け」誘導への対処訓練。ヘルプデスク成りすまし等の報告経路を強化。
- EDR自己防御設定: ベンダー推奨のTamper Protection/PPL設定と製品ディレクトリの厳格ACL(一般ユーザー書込み禁止)。
📌 SOC視点
- プロセスツリー: explorer.exe(またはShellExperienceHost)からのpowershell.exe/curl.exe/msi関連プロセス起動を相関。Security 4688とSysmon 1でコマンドライン含めて追跡。
- ImageLoad監視: SentinelAgentWorker.exe等のEDRプロセスが、プログラムフォルダ直下以外や一時ディレクトリからDLLを読み込む事象を重点監視。Authenticode不一致や署名なしを高優先度。
- レジストリアクセス: HKLM\SOFTWARE\Microsoft\Cryptography\MachineGuidへのクエリ(Sysmon 13)を、EDRプロセス配下や短時間の連発で優先度引上げ。
- ネットワーク: EDRプロセスからの新規外部ドメイン・IPへのTLSハンドシェイクを検出。SNIがベンダーと不一致の場合は即時調査。
- Windows Installerログ: ApplicationログのMsiInstallerイベントや不審なMSI実行を検知。HTTP経由で取得されたMSIのインストールは要警戒。
📈 MITRE ATT&CK
- Initial Access: User Execution (T1204) — ユーザーにRunダイアログでcurl実行を誘導。
- Execution: PowerShell (T1059.001)/Windows Command Shell (T1059.003) — インメモリ実行とコマンド実行。
- Hijack Execution Flow: DLL Side-Loading (T1574.002) — SentinelAgentWorkerに悪性DLLを読み込ませ実行・永続化。
- Signed Binary Proxy Execution (T1218) — 署名済みEDRプロセスを実行器として悪用。
- Defense Evasion: Subvert Trust Controls (T1553) — 信頼済みプロセスと署名を利用して検知回避。
- Discovery: Query Registry (T1012)/System Information Discovery (T1082) — MachineGuid等で端末識別。
- Command and Control: Web Protocols (T1071.001)/Encrypted Channel (T1573) — HTTPSでC2を隠蔽。
🏢 組織規模別助言
- 小規模(〜50名): 重要端末に限定してWDACの基本ポリシーを適用。PowerShell制限とcurlブロック、EDRプロセスの通信先をFirewallで許可リスト化。ユーザー教育を毎月短時間で実施。
- 中規模(50〜500名): SysmonとEDRのモジュールロード監視を標準化。Sigma/KQLルールでRunダイアログ発のスクリプト実行連鎖を可視化。EDR製品ディレクトリの変更監査をファイル整合性監視(FIM)で常時記録。
- 大規模(500名以上): WDAC+Applockerの段階的適用(監査→強制)。EDRプロセスのネットワークセグメンテーションとeBPF/NSG等でのプロセス単位Egress制御。Threat HuntingでDLLサイドロードのベースライン逸脱を週次確認。
🔎 類似事例
- ClickFix系キャンペーン: ユーザーにWin+Rでコマンド投入を促す手口。
- セキュリティ製品のDLLサイドローディング悪用: 署名済みプロセスに未署名DLLを混在させる一般的TTP。
- MachineGuidの悪用: ランサムウェアの鍵紐付けや被害端末識別に利用。
🧭 次の一手
まずは自社EDRプロセスのモジュールロード監視を有効化し、直近30日の不審DLL読込を棚卸してください。次いで、PowerShellのConstrained Language Mode適用とcurl等LoLBinの使用許可見直しを実施。最後に、EDRプロセスの外向き通信先を許可リスト化し、逸脱時の即時アラートを構成しましょう。
