認証サーバのログ分析
本記事では、JPCERT/CC が公開したActive Directory(以下、AD)に対する攻撃の検知と対策について説明します。ADとは、組織内のリソース(アカウントやパスワードなど)を一元管理するシステムです。
攻撃者が組織内ネットワークを侵害する際には、ADに対する攻撃を行い、ドメイン管理者アカウントなどの高い権限の窃取を試みます。ドメイン管理者アカウントはADが管理する全てのリソースをコントロールすることが可能であるため、窃取に成功した場合は大きな脅威となります。
ADに対する攻撃手法
ADの認証の弱点を悪用して攻撃する代表的な手法を以下に紹介します。
ADの脆弱性の悪用
ADの脆弱性の一例として、MS14-068(Kerberos KDC)があり、これを悪用するとドメインユーザがドメイン管理者権限に昇格できます。
インターネット上にこの脆弱性を悪用した攻撃ツールも公開されており、ドメインユーザの認証情報などが窃取できれば、比較的容易にドメイン管理者権限を獲得することができます。
端末に保存された認証情報の悪用
WindowsOSのメモリなどには、端末上で使用したユーザの認証情報(パスワード情報、認証チケットなど)が保存されています。侵害した端末のローカル管理者権限を窃取した攻撃者は、攻撃ツールを使用して、メモリなどに保存されている認証情報を窃取することができます。
このとき搾取される情報がパスワードハッシュであっても、古いバージョンのWindowsでは同じパスワードは同じハッシュ値になるため、パスワードを使い回ししていると、パスワードが破られる可能性が高まります。
ローカル管理者アカウントの悪用
複数のコンピュータで共通のアカウント名やパスワードを設定している場合、1 台のコンピュータでローカル管理者アカウントのパスワードが窃取されてしまします。
さらに、そのコンピュータの中にドメイン管理者やサーバ管理者のコンピュータがあれば、特権アカウントの認証情報を窃取される可能性があります。
ログによる攻撃検知
ADに対する攻撃の検知に有効なイベントログの確認方法について、以下に紹介します。
イベントログの調査
イベントログの調査により、ADに対する攻撃や不審な活動を検知できる可能性があります。
| 調査内容 | 調査方法 | 対処方法 |
| MS14-068の脆弱性を悪用した攻撃 | イベントID4769で、エラーコードが 「0xf」の場合、攻撃を受けた可能性がある | コンピュータは侵害されている可能性があるため調査 |
| Golden Ticket / Silver Ticket の不正使用 | イベントID4624/4672で、アカウントドメインに「eo.oe.kiwi : )」などの文字列が記録された場合、不正使用の可能性がある | コンピュータは侵害されている可能性があるため、ネットワークから隔離して調査 |
| 不審なタスク作成 | イベントID4698、タスクスケジューラ、「C:\Windows\System32\Tasks\」配下などのファイルで不審なタスクを確認 | コンピュータは侵害されている可能性があるため調査 |
| イベントログ消去 | イベントID1102(イベントログ消去)が見つかった場合、正規の消去か確認 | 該当するコンピュータを調査 |
認証ログの調査
イベントログの認証イベントに記録される認証要求元の端末やアカウント名などを調査することで、アカウントの悪用を検知できる可能性があります。
| 調査内容 | 調査方法 | 対処方法 |
| 特権の割り当ての妥当性 | イベントID4672のアカウント名に想定外のアカウントが記録されている場合、不正に権限昇格を行った可能性がある | 不要な特権が割り当てられていた場合は削除 |
| アカウントを利用した端末の妥当性 | イベントID4624/4625/4768/4769/4776で、想定外のアカウントや端末が記録されている場合、侵害されている可能性がある | 不要な管理アカウントは削除し、使用する端末を見直す |
| 認証回数・時間帯 | イベントID4624/4625/4768/4769/4776で、想定時間外、認証回数の急激な変化、認証失敗の多発など確認された場合、アカウントが侵害されている可能性がある | 当該アカウントが使用された端末を調査、認証失敗の多数の原因調査 |
ADに対する対策
予防策
ADへの攻撃に対する予防策は以下になります。ドメイン管理者アカウントを主眼としています。
| 管理専用端末の設置 | AD やサーバの管理用の端末を専用化し、インターネットのアクセスや、アプリケーションの実行を制限する。 |
| セグメントの分離 | ネットワークセグメントを分離し、セグメント間の通信を必要最低限にする。不要なリモートアクセスを制限する。 |
| 特権付与の最小化 | ドメイン管理者権限などの特権の付与は必要最小限とする。有効期限を設け、共同使用などを禁止する。 |
| 更新プログラムの適用 | Windows Update、WSUS などを使用し、最新のセキュリティ更新プログラムを適用する。 |
| 認証情報の保護 | コンピュータのメモリなどに認証情報を保存しない、または、保存される認証情報を保護する機能を利用する。 |
| 適切なパスワード | 共通パスワードの使用を避け、強固なパスワードを設定する。 |
緊急対処
ADに対する攻撃を検知した場合、アカウント悪用による被害を軽減するための緊急対処は以下になります。
| krbtgt アカウントのパスワード変更 | Golden Ticket の無効化のため、krbtgt のパスワードを2回連続で変更する。ドメイン管理者アカウントのパスワードも変更する。 |
| コンピュータアカウントのパスワード変更 | Silver Ticket の無効化のため、侵害を受けたコンピュータのアカウントのパスワードを2回連続で変更する。管理者アカウントのパスワードも変更する。 |
