Cisco Japan Blog

Cisco Japan Blog / zzfeatured / ”Typhoon” の真っ只中の嵐を乗り越える

2025年2月21日 Leave a Comment
zzfeatured

”Typhoon” の真っ只中の嵐を乗り越える

1 min read



この記事は、Talos Intelligence Group によるブログ「Weathering the storm: In the midst of a Typhoon」(2025/2/20)の抄訳です。

 

まとめ

Cisco Talos は、いくつかの大手米国通信事業者に対する広範な侵入活動の報告を注意深く監視してきました。この活動は、2024 年後半に最初に報告され、その後米国政府によって確認されたもので、高度に洗練された脅威アクター「Salt Typhoon」によって実行されています。このブログでは、このキャンペーンに関する我々の観察結果を報告し、アクターの活動を検出し防止するための推奨事項を示しています。

公開されているレポートによれば、この脅威アクターは、いくつかのケースでコアネットワークインフラストラクチャにアクセスし、そのインフラストラクチャを使用し、様々な情報を収集することができたとされています。我々が発見した痕跡に基づいて、シスコの脆弱性(CVE-2018-0171)が悪用された可能性があるのは一件のみでした。これまでの調査による他のすべてのインシデントに関しては、脅威アクターが正当な被害対象者のログイン資格情報を取得することによって シスコデバイスへの Initial Access (初期アクセス)を得たと判断しています。脅威アクターは、複数のベンダーの機器を対象とした環境に長期間にわたって持続しており、あるケースでは 3 年以上アクセスを維持していました。

このキャンペーンの特徴は、ネットワークデバイス上での「Living-off-the-land (LOTL)」技術の使用です。通信事業者が主な被害者である一方で、ここに含まれる推奨事項はすべてのインフラストラクチャを防御する関係者にとって関連があり、できる限り考慮されるべきです。

このキャンペーン中に、新しいシスコの脆弱性は発見されませんでした。Salt Typhoon が他の 3 つの既知のシスコの脆弱性を悪用しているという報告がいくつかありますが、これらの主張を確認する証拠は見つかっていません。問題の脆弱性は以下にリストされています。これらの CVE にはそれぞれセキュリティ修正が利用可能です。脅威アクターはこれらの脆弱性を悪用するために公開されている悪意のあるツールを定期的に使用するため、これらの脆弱性の修正が不可欠です。

したがって、我々の推奨事項はこの特定のケースに関係なく、ネットワークインフラストラクチャを保護するためのベストプラクティスに従うことであり、これは一貫した標準的な指針となります。

 

観察された活動

資格情報の使用と拡張 (Credential use and expansion)

このキャンペーン全体を通じて、漏洩された有効なクレデンシャル情報の使用が確認されていますが、すべてのケースで最初の認証情報が脅威アクターによってどのように取得されたかは現時点では判別できません。脅威アクターは、ネットワークデバイスの構成を取得し、弱いパスワード タイプ (ユーザー情報が暗号的に弱い方法でパスワードを保存できるセキュリティ構成できる機器)でのローカル アカウントを解読することで、追加の認証情報を取得することを積極的に試みているのことが確認されています。さらに、脅威アクターが、ネットワーク デバイスと バックエンドの認証・認可コンポーネントである、TACACS/RADIUS サーバー間で使用される Secret Key を含む、SNMP、TACACS、RADIUS トラフィックをキャプチャしているのも確認されています。このトラフィック キャプチャの目的は、後で使用するために追加の認証情報の詳細を列挙することであることが明確です。

 

設定情報の流出(Configuration exfiltration)

多くの場合、脅威アクターはデバイス構成情報を TFTP や FTP 経由で外部転送しています。これらの構成には、SNMP Read (読み取り) / Write(書き込み : R/W)の Community Stringsや、脆弱なパスワード暗号化タイプが使用されているローカル アカウントなど、そのような機器の構成上で機密性の高い認証情報が含まれていることがあります。弱い暗号化パスワード タイプを使用すると、攻撃者はオフラインでパスワード自体を簡単に復号化できます。機密性の高い認証情報に加えて、構成には名前付きインターフェイスが含まれることが多く、攻撃者は上流および下流のネットワーク セグメントをよりよく理解することができ、このような情報を使用してネットワーク内でさらに偵察し、その後にラテラルムーブメント(水平方向移動、横方向の移動)を行うことができます。

 

インフラのピボット(Infrastructure pivoting)

このキャンペーンの重要なポイントは、攻撃者が侵害されたインフラストラクチャを継続的に移動・利用し、またはピボットしていることに特徴付けられます。この「マシンからマシン」へのピボット、または「ジャンプ」は、おそらくいくつかの理由で実行されます。まず、これにより、脅威アクターは、通常はネットワーク通信が許可されない可能性のある信頼できるインフラストラクチャ セット内を移動できます。さらに、このタイプのインフラストラクチャからの接続は、ネットワーク防御者によって疑わしいとフラグ付けされる可能性が低く、脅威の攻撃者が検出されずに済みます。

脅威アクターは、ある通信事業者が運用する侵害されたデバイスから別の通信事業者のデバイスへと方向転換することがあります。最初の通信事業者に関連付けられたデバイスは、いくつかのケースでは、単なるホップ ポイントとして使用されており、最終的なターゲットではなかったと考えられる事象があります。これらのホップ ポイントの一部は、アウトバウンド データ流出操作の最初のホップとしても使用されることがあります。この方向転換の多くには、非常に様々なメーカーのネットワーク機器の使用が含まれていることが確認できています。

 

設定の変更(Configuration modification)

脅威アクターがデバイスの実行構成・設定の変更と、Bash および Guest Shell の両方に関連するサブシステムを変更したことを確認しました。(Guest Shell は、シスコデバイス上で実行される Linux ベースの仮想環境で、ユーザーは Bash を含む Linux コマンドやユーティリティを実行できます。)


実行構成の変更

  • AAA/TACACS+ サーバーの変更(サーバー IP Address の変更)
  • Loopback Interface の IP Address の変更
  • GRE Tunnel の作成と使用
  • ローカルアカウントの新規作成
  • ACL(Access Control List)の変更、エントリ追加、削除
  • SNMP Community Strings の変更
  • 標準ポートとカスタムポートを利用した HTTP/HTTPS サーバーの変更、有効化


シェルアクセスの変更

  • Guest Shell の有効化および無効化コマンド
  • 基盤となる Linux Shell または Guest Shell 上の sshd_operns(ポート 57722)など、永続的なアクセスのためにカスタムポートにて SSH 代替サーバーを起動
    • /usr/bin/sshd -p X
  • Linuxレベルの User の作成(「/etc/shadow」と「/etc/passwd」の変更)
  • Linux レベルで Root または他のユーザーの下に SSH「authorized_keys」の追加


パケットキャプチャ

脅威アクターは、キャンペーン全体を通じて、以下に示す様々なツールと手法を使用してパケット データをキャプチャを行います。

  • Tcpdump – Linux OS レベルでパケット データをキャプチャするために使用されるポータブル コマンド ライン ユーティリティ
    • tcpdump –i
  • Tpacap – Cisco IOS XRで netio を介して特定のインターフェイスとの間で送受信されるパケットをキャプチャするために使用
    • tpacap –i
  • Embedded Packet Capture(EPC)- パケット キャプチャ データのキャプチャとエクスポートを可能にする Cisco IOS 機能。
    • モニターキャプチャ CAP export ftp://<ftp_server>
    • モニターキャプチャ CAP start
    • モニターキャプチャ CAP clear


運用ユーティリティ(JumbledPath)

脅威アクターは、JumbledPath と呼ばれるカスタム ビルド ユーティリティを使用して、アクターが定義したジャンプ ホストを介してリモートの シスコデバイスでパケット キャプチャを実行することを観測しています。このツールは、ジャンプパスに沿ってログを消去、ログ記録に関する機能を停止し、圧縮され暗号化されたキャプチャを、アクターが定義した別の一連の接続またはジャンプを介して返そうとしました。これにより、脅威アクターは接続のチェーンを作成し、リモート デバイスでキャプチャすることが実行できています。このユーティリティを使用すると、要求の元の送信元と最終的な宛先を難読化でき、また、その操作者は、通常は非公開(またはルーティング可能)なデバイスまたはインフラストラクチャを移動できるようになります。

このユーティリティは GO で記述され、x86-64 アーキテクチャを使用して ELF バイナリとしてコンパイルされています。このアーキテクチャを使用してユーティリティをコンパイルすると、Linux オペレーティング システム全体で広く使用できるようになります。これには、さまざまなマルチベンダー ネットワーク デバイスも含まれます。このユーティリティは、攻撃者が Cisco Nexus デバイス上に構成した Guestshell インスタンスで発見されています。


防御回避(Evasion)

脅威アクターは、侵害されたスイッチ上の Loopback Interface のアドレスを繰り返し変更し、そのインターフェイスをターゲット環境内の追加デバイスへの SSH 接続のソースとして使用して、それらのデバイスに設定されているアクセス制御リスト(ACL)を効果的にバイパスできるようにする事象を確認しています(「インフラのピボット(Infrastructure pivoting)」セクションを参照)。

脅威アクターは、活動を難読化するために、.bash_history、auth.log、lastlog、wtmp、btmp などの関連ログを必要に応じて定期的に消去していました。多くの場合、「guestshell enable」コマンドを使用することで、シェル アクセスが通常の状態に復元することがあります。

脅威アクターは、アクセス制御システムをバイパスするために、制御下にある追加アドレスを使用して認証、承認、アカウンティング(AAA)サーバー設定をすることがあります。

 

検出

このキャンペーンに関連する可能性のある不審なアクティビティを特定するには、次の手順を実行することをお勧めします。

  • ベスト プラクティスに沿って、包括的な構成管理(監査を含む)を実施
  • 包括的な認証/認可/コマンド発行監視を実施
  • 通常のログ記録イベントの容量の減少、ログに記録されたアクティビティとのギャップなど、異常な観測アクティビティがないか syslog および AAA ログを監視
  • 環境を監視し、動作や構成の異常な変化を常に確認
  • ネットワーク デバイスのプロファイル(NetFlow およびポート スキャンによるフィンガープリント)を作成して、新しいポートの開閉や、送受信されるトラフィック(通過ではない)など、表面ビューの変化を確認
  • 異常なボリュームの変化を識別するために NetFlow のネットワークテレメトリを有効活用(NDR : Network Detection and Response)
  • 空でない、または異常に大きい .bash_history ファイルを調査
  • Cisco フォレンジック ガイドを使用して、追加の識別と検出を実行

 

予防策

以下のガイダンスは、すべてのセクターの組織に適用できる手段です。

  • Cisco ネットワーク機器 固有の対策
    • no ip http server」コマンドを使用して、基盤となる暗号化されていない Web サーバーを常に無効化。Web 管理が不要な場合は、「no ip http server」および「no ip http secure-server」コマンドを使用して、基盤となるすべての Web サーバーを無効化
    • Telnet を無効にし、すべての VTY を「transport input ssh」および「transport output none」に設定して、シスコデバイス上のどのVTY 回線でも Telnet が使用できないようにする
    • 必要ない場合は、guestshell サービスをサポートするバージョンに対して「guestshell enable」を使用して guestshell アクセスを無効化
    • no vstack」を使用して Cisco  Smart Install サービスを無効化
    • ローカル アカウント資格情報の構成には Type8 Password を使用します。
    • Type 6 TACACS+ Key 設定を使用します。

 

  • 一般的な対策
    • 更新、アクセス制御、ユーザー教育、ネットワークのセグメンテーションなど、セキュリティのベスト プラクティスを厳守
    • 米国政府および業界からのセキュリティ勧告を常に最新の状態に保ち、記載されている問題を軽減するために推奨される構成変更を検討
    • できる限り積極的にデバイス、ソフトウェアを更新、既知の脆弱性に対する現在のハードウェアとソフトウェアのパッチ適用や、サポートが終了したハードウェアとソフトウェアの交換が含まれる
      • 複雑なパスワードと Community Strings を選択し、デフォルトの資格情報は使用しない
    • 多要素認証(MFA)を使用します。
    • すべての監視および構成トラフィック(SNMPv3、HTTPS、SSH、NETCONF、RESTCONF)を暗号化
    • TACACS+ やジャンプ ホストなどの認証情報をロックダウンし、積極的に監視
    • AAA を使用して、主要なデバイス保護(ローカル アカウント、TACACS+、RADIUS など)の構成変更を許可しない
    • 管理専用インターフェース、その他の特別なインターフェース(SNMP、SSH、HTTP など)の直接接続の可能性を見直す
    • 暗号化されていないすべての Web 管理機能を無効化
    • すべての管理プロトコル(SNMP、SSH、Netconf など)のアクセス制御リストの存在と正確性を確認
    • より強力なキーや暗号化を使用して、全体的な資格情報とパスワードの管理方法を強化
      • ローカル アカウント資格情報の構成には Type 8 Password を使用します。
      • TACACS+ キー設定には Type 6 を使用します。
    • 構成を一元的に保存し、デバイスにプッシュ。デバイスを構成の信頼できる情報源にしない

 

アナリストのコメント

この活動が、高度に洗練された資金力のある脅威アクターによって実行されていると考えられる理由はいくつかあります。たとえば、このキャンペーンの標的型の性質、被害者のネットワークへの高度なアクセス、脅威アクターの広範な技術的知識などです。さらに、このキャンペーンの長いタイムラインは、高度な調整、計画、忍耐を示唆しています。これらは、高度な持続的脅威(APT)や国家支援のアクターの標準的な特徴です。

この調査では、露呈した Smart Install(SMI) を持つ シスコデバイスをさらに広範囲に標的にし、その後、Cisco IOS および Cisco IOS XE ソフトウェアの Smart Install 機能の脆弱性である CVE-2018-0171 を悪用したことも確認されました。このアクティビティは Salt Typhoon の活動とは無関係であるように思われ、特定の攻撃者を特定できていません。以下に観測可能な IP アドレスとして示されているのは、この無関係である可能性のある SMI アクティビティに関連するものです。

Smart Install(CVE-2018-0171)などの既知の脆弱性を持つレガシー デバイスは、使用されていない場合はパッチを適用するか、廃止する必要があります。デバイスが重要でないデバイスであったり、トラフィックを伝送しなかったりする場合でも、脅威アクターが他のより重要なデバイスに侵入するための入り口として使用される可能性があります。

このブログの調査結果は、ここで概説した攻撃に関する Cisco Talos の認識を表しています。この攻撃とその影響は現在も調査中であり、状況は変化し続けています。そのため、この投稿は、新たな調査結果や評価の調整を反映するためにいつでも更新される可能性があります。

 

侵害の兆候(IOC)

IP Address :

(スマート インストールの悪用は Salt Typhoon とは関係ありません)

185[.]141[.]24[.]28

185[.]82[.]200[.]181

Authors

Avatar

木村 滋

コメントを書く