インサイダーの脅威を検知する:OT/ICS サイバーセキュリティの課題
今すぐ登録
アカデミー
ラボ
採用情報
パートナーログイン
サポート
産業用重要インフラを狙うマルウェア「GreyEnergy

産業用重要インフラを狙うマルウェア「GreyEnergy

アレッサンドロ・ディ・ピント
|
2018年10月29日

この記事は2019年8月5日に更新されました。

最近、ITセキュリティ・ソフトウェアとサービスを提供するESETによって、エネルギー部門を標的とする新たな高度持続的脅威(APT)が公表された。APTグループとマルウェアの両方にGreyEnergyと名付けたESETは、このマルウェアが2015年12月に20万人以上のウクライナ人に電力システムをダウンさせたBlackEnergyの後継であると考えている。

Nozomi Networks セキュリティ・リサーチ・チームは、このマルウェアの評価を開始しました。以下に、このマルウェアについて現在までに判明していることを示します。

GreyEnergyは洗練されたICS高度持続的脅威である

GreyEnergyはAdvanced Persistent Threat(APT)で、過去3年間、重要インフラを積極的に標的としてきた。既報の通り、ウクライナとポーランドにある標的に対して展開されているが、将来的には他の国の標的にも焦点を当てる可能性がある。

Nozomi Networks Security Teamは、これまでにGreyEnergyインシデントに関与した主なコンポーネントを収集し、マルウェアについて判明していることを以下に示します:

  • 攻撃は2つの方法のいずれかで始まる。1つ目は、悪質なコードを含むMicrosoft Word文書を標的組織の人々に送る電子メール・フィッシング・キャンペーンである。もう1つは、標的となる組織の一般向けウェブサーバーへの直接攻撃である。
  • 感染後、管理者権限なしで実行される基本的なバックドア「GreyEnergy mini」から始まるモジュラー・アーキテクチャを使用する。
  • 新しいモジュールをリモートで取得することで、自身の能力を向上させる。
  • 各モジュールは、システムに関する情報の収集、スクリーンショットの取得、押されたキー入力の採取、ファイルシステムとのやりとりなど、非常に特定のタスクを管理する。
  • このアーキテクチャの利点は、脅威者が侵害された環境に応じて、バックドア経由で新たな機能を追加できることだ。
  • GreyEnergyはまた、感染したシステム間でピアツーピアネットワークを構築し、1つのノードだけがアップデートのためにCommand & Controlリモートサーバーにコンタクトするようにする。これは、多数のノードが外部のURLにアクセスするのではなく、たった1つのノードがアクセスすることで、疑いを持たれないようにするステルス戦術です。

現在までのところ、GreyEnergy APTは、産業制御システムに影響を与えることができるモジュールを含んでいないため、スパイ活動のみに使用されているようだ。

しかし、重要なインフラシステムに損害を与えることができるモジュールを含むように進化する可能性がある。さらに、将来的には金融、政府、メディアなど、さらに重要なセクターを標的にする可能性もある。

GreyEnergyからICSを守る

現在、GreyEnergy に ICS 攻撃モジュールが含まれていることは知られていませんが、将来は含まれる可能性があります。また、スパイ活動やその他の理由で、ネットワークやシステムに関する情報を収集されることは避けたい。

しかし、GreyEnergy APTのいくつかのコンポーネントは現在一般に公開されており、セキュリティ製品によって検出可能であるため、脅威行為者はこれを変更すると考えられる。おそらく新しいバージョンが現在開発中であるか、あるいは使用可能な状態になっているのだろう。

Nozomi Networks をご利用のお客様は、Guardian に自動的にプッシュされた GreyEnergy の新しいチェックを受け取っています。近日中に詳細を発表する予定です。

さらに、当社の異常ベースの検知システムは、ネットワーク経由で送信される不審なパケットを監視することで、同じAPTファミリーの新たな未知のサンプルを特定することができます。そのようなサンプルが発見された場合、アラートが表示され、適切な対応を取ることができます。

システムを安全に保つために、私たちが推奨することは以下の通りです:

  • 悪意のある電子メールや添付ファイルの見分け方など、電子メールによるフィッシング・キャンペーンの危険性について従業員を教育する。疑わしい文書はすべてセキュリティ部門に報告することの重要性を強調する。
  • 公開されているすべてのサーバーを、最新のセキュリティパッチで最新の状態に保つ。

そして最も重要なことは、重要インフラ・ネットワークは常に専用のサイバー・セキュリティ・システムで監視され、ネットワークに存在する脅威をプロアクティブに検知することである。

2019年2月更新

このブログの公開以来、私はGreyEnergyの感染方法の1つについて調査プロジェクトを実施した。私は、悪意のあるMicrosoft Word文書(maldoc)を標的の組織に送信するフィッシング・メールについて調査した。

以下の研究論文では、マルウェアキャンペーンのこの側面に関する私のリバースエンジニアリングについて説明し、その真の機能を隠すためにGreyEnergyが使用したアンチ解析技術について説明しています。

以下もリンクされている:

  • このトピックに関する次の2つのブログ記事
  • このマルウェアのさらなる分析を容易にするために私が開発したGreyEnergy分析ツール

見つかりませんでした。
見つかりませんでした。

グレイエナジーMaldocからバックドアまでのマルウェアを解剖する

GreyEnergyはAPT(Advanced Persistent Threat:高度な持続的脅威)で、過去数年にわたり、ウクライナをはじめとする東欧諸国のエネルギー部門を標的にしていたと考えられている。
リソースを見る
見つかりませんでした。
アレッサンドロ・ディ・ピント
著者について

アレッサンドロ・ディ・ピント

Security Research Manager,Nozomi Networks .アレッサンドロ・ディ・ピントは、マルウェア解析、ICS/SCADAセキュリティ、侵入テスト、インシデントレスポンスに豊富な経験を持つ攻撃型セキュリティ認定プロフェッショナル(OSCP)です。GIAC Reverse Engineering Malware (GREM) および GIAC CyberThreat Intelligence (GCTI) 認定資格を保有。研究論文「TRITON: The First ICS Cyber Attack on Safety Instrument Systems」および「Analyzing the GreyEnergy Malware: from Maldoc to Backdoor」を共著。

関連記事

A Deep Dive into Glupteba Internals

Nozomi Networks 2024 Look-Back and 2025 Predictions for OT/ICS Security

フエニックス・コンタクト社製mGuard産業用ルーターに最大Root RCEを許す不具合

和合PLCの脆弱性:産業施設のリスクを理解する

サブスクライブ

LinkedIn

デモ

プラットフォーム

プラットフォームの概要VantageCentral Management ConsoleGuardianGuardian AirArcAsset IntelligenceThreat Intelligence (脅威インテリジェンス)Smart PollingPSIRT

プロフェッショナルサービス

概要デザイン配備ファストトラック最適化プロジェクト管理

ソリューション:ビジネスニーズ

脅威の検知と対応継続的なネットワーク監視資産在庫管理リスクと脆弱性の管理IoT セキュリティデータセンターのサイバーセキュリティ

ソリューション:コンプライアンス

NERC CIPNIS2 指令TSA セキュリティ指令

ソリューション:産業

空港電気事業ヘルスケア連邦政府製造業海事鉱業石油&ガス医薬品鉄道小売スマートシティ上下水道

詳細

パートナーリソース会社概要お問い合わせアカデミー採用情報ラボリーガル
LinkedIn ロゴ
© 2024 Nozomi Networks Inc. All Rights Reserved.プライバシーポリシーと認証。システムの状態