ついに標的型攻撃のメインとなるActiveDirectoryへの攻撃（認証取得）の話が出てきましたね。

ここでADのログに出る感じかな。

盗み出したパスワードハッシュを、攻撃者がADサーバーに送信するのがPass the hashである。パスワードそのものではなく、パスワードハッシュで認証するというNTLM認証の特徴を悪用している。大規模な標的型攻撃「Night Dragon」にも利用された。古いシステムではパスワードハッシュを平文で扱っているため、攻撃者はIDとパスワードハッシュを入手するだけで認証を回避できてしまう。攻撃者はトロイの木馬やRATをドメイン管理者のPCに忍び込ませることができれば、容易に企業内システムに侵入できるわけだ。 　攻撃者はドメインを制圧した後、リモート・コマンド・ツール「PsExec」を利用してさらに深い攻撃を仕掛ける例をしばしば見かける。管理共有を経由してPsExecを利用すると、同じドメインのコンピュータで様々なプログラムを実行させられる。例えば、パスワードハッシュのダンプツール「PwDump」を実行させれば、効率的にパスワードハッシュを収集できる。シェルを実行して、多くのシステムを乗っ取ることもある。ここまでできれば、あとは攻撃者支配下のサーバーに情報を送るステップ3は容易だ。

［攻撃手法］標的型攻撃はこう動く、AD悪用で同一ドメインを制圧（2ページ目） | 日経 xTECH（クロステック）

見えない化ですね

標的型攻撃をネットワーク的に検知することは難しい。マルウエアに感染させるステップ1では、攻撃者はセキュリティ装置の監視をくぐり抜ける工夫をしている。例えば、通信ポートには80（HTTP）や443（HTTPS）を使って、ファイアウォールを突破する。Webフィルタリング装置やウイルス対策ゲートウエイに対しては、主要製品では検出できないことを確認済みの不正URLとマルウエアを利用する。 　マルウエアの侵入後もやっかいだ。攻撃者がトロイの木馬やRATを操作すると、社内の標的システムからインターネット上の攻撃用サーバーにパケットを送るため、検知できそうに見える。しかし、データ量は数十バイトから数百Kバイトにすぎない。ネットワーク運用管理ツールのレポートでは、異常値として検出するのは困難だ。大きなファイルのアップロードでも、巧妙な手口を用いて痕跡を隠す。 　通信の内容についても、攻撃者は検知を困難にする工夫している。例えば、Web閲覧時に発生した画像ファイルへのアクセスを装う通信が増えてきている。数年前はIRCやHTTPリクエストにコマンドを埋め込む例が多かったが、最近はそこまであからさまな通信を見かけることは少なくなった。

［攻撃手法］標的型攻撃はこう動く、AD悪用で同一ドメインを制圧（2ページ目） | 日経 xTECH（クロステック）