AnyDeskの侵害:概要と推奨事項
2024年2月2日、人気のあるリモート・アクセス・ソリューションAnyDeskはサイバー攻撃を受けて本番システムの侵害につながったことを発表しました。その結果、AnyDeskのWebポータルへのコード署名証明書とユーザーパスワードが取り消されました。
このResecurityのブログ(2月3日付)によると、脅威アクターは18,000件を超えるAnyDeskの認証情報をダークWebで販売しました(図1)。この最近の侵害と認証情報の販売とのつながりはまだ不明ですが、このインシデントは漏えいしたAnyDeskの認証情報の不正利用によるリスクがあることを示しています。
図 1:ダーク Web 上で提供される AnyDesk 認証情報(https://securityaffairs.com/158595/cyber-crime/anydesk-credentials-leaked-dark-web.html の画像)
この記事は、環境のリスクレベルを評価し、潜在的な侵害を特定して緩和するためのリソースを防御者に提供することを目的としています。
組織への潜在的な影響
AnyDeskソフトウェアは多くの組織で広く使用されており、Akamaiが監視しているネットワークの約25%でAnyDeskが使用されていることがわかっています。AnyDeskの侵害によって、3つの主なリスクの可能性があることが分かっています。パスワードの侵害、盗まれた証明書の悪用、そしてサプライチェーン攻撃の可能性です。
AnyDeskパスワードの侵害
AnyDeskは、攻撃者がユーザー認証に使用される秘密情報を侵害することはできないと主張していますが、いずれにしても、予防策としてAnyDeskのWebポータルのパスワードを取り消すことを選択しました。
攻撃者が実際にこれらのパスワードを侵害できた場合、AnyDeskユーザーはCredential Stuffing攻撃を受けるリスクにさらされます。つまり、攻撃者は同じ認証情報を使用して異なるサービスへの認証を得ることを試み、異なるサービスで再利用されているパスワードを悪用する可能性があります。これにより、攻撃者は他の機密サービスにアクセスできる可能性があります。
コード署名証明書の窃取
攻撃者は、クライアントに配布された実行ファイルに署名するためにAnyDeskが使用する証明書を侵害することができました。攻撃者は、証明書を侵害することで、実行可能ファイルにAnyDeskとして署名し、正当な証明書であるように見せかけることができます。これにより、セキュリティ製品を回避し、アナリストを欺くことができます。
サプライチェーン攻撃の可能性
これについて明確な証拠はまだありませんが、ソフトウェアサプライチェーン攻撃のリスクを考慮する必要があります。攻撃者はAnyDeskの本番環境をかなり支配していたため、悪性のペイロードをAnyDeskのコードベースに挿入するのは比較的簡単で、クライアントが侵害される可能性がありました。
検知と緩和
この攻撃は、AnyDeskユーザーをターゲットにすることを最終目的とした大規模なオペレーションの一部である可能性があります。そのため、このインシデントは現在進行中のものとして扱う必要があります。攻撃者はAnyDeskのシステムから重要な情報を窃取することができましたが、それが使用されたかどうかやどのように使用されたかはまだ不明です。
そのため、Akamaiは防御者に次の方法で環境に対する潜在的なリスクを評価するよう推奨しています。
AnyDeskの使用を特定する
既存のインストール済みAnyDeskおよびユーザーに緩和手順を適用する
AnyDeskに関連する疑わしい活動をプロアクティブにハンティングする
AnyDeskの使用を特定する
AnyDeskは企業の手続きの一部として使用できますが、エンドユーザーが手動でインストールすることもできます(いわゆる「Bring Your Own Software」)。これは、組織が正式にAnyDeskを使用していなくても、影響を受ける可能性があることを意味します。
ホストインジケーター
AnyDeskの使用は、ホストレベルのさまざまなインジケーターで特定できます。これらのインジケーターの包括的なリストは、X(旧Twitter)で@mthechtによって共有されています。Akamaiはそのリストに対応する一連のosqueryを提供しており、それを使用してこれらのアーティファクトを検知できます。
プロセス
AnyDeskのプロセスは、AnyDeskのキーワードを含むパスを調べることで特定できます。
次のクエリーはこれらのサービスを検知します。
SELECT
name as process_name,
path as process_path
FROM
processes
WHERE
path LIKE '%anydesk%'
サービス名
AnyDeskは、次のサービス名を使用します。
AnyDesk Service
AnyDesk
AnyDeskMSI
次のクエリーはこれらのサービスを検知します。
SELECT
name as service_name,
path as service_path
FROM
services
WHERE
name = 'AnyDesk Service' or
name = 'AnyDesk' or
name = 'AnyDeskMSI'
レジストリキー
AnyDeskは、設定を保存するためのレジストリキーを作成します。次のクエリーはこれらのキーを検知します。
SELECT
key
FROM
registry
WHERE
key LIKE '%\SOFTWARE\Clients\Media\AnyDesk’ or
key LIKE '%\SYSTEM\%ControlSet%\Services\AnyDesk' or
key = 'HKEY_CLASSES_ROOT\.anydesk'
名前付きパイプ
AnyDeskは、\adprinterpipeという名前付きパイプを使用します。次のクエリーはこの名前付きパイプを検知します。
SELECT
processes.name as process_name,
processes.path as process_path,
pipes.name as pipe_name
FROM
pipes
LEFT JOIN
processes
ON
processes.pid = pipes.pid
WHERE
pipes.name = 'adprinterpipe'
ネットワークインジケーター
AnyDeskの使用を特定するためには、ネットワークログを検査する必要があります。宛先ポートと宛先ドメインの2つのインジケーターを使用できます。
宛先ポート
AnyDeskでは、6568、7070、50001、50002、50003という異なるポートが使用されます。
Akamai Guardicore Segmentationユーザーは、Revealモジュールを使用して、これらのポート上でトラフィックをマッピングし、プロセスレベルで通信を分析し、AnyDeskのアクティビティを即座に特定できます(図2)。
図 2:Akamai Guardicore Segmentation Reveal によって生成された、ネットワーク内の AnyDesk 通信を示すネットワークマップ
宛先ドメイン
AnyDeskのクライアントプロセスは通常、*.net.anydesk.comのAnyDeskドメインに到達します。
Akamai Guardicore Segmentationユーザーは、ネットワークログをフィルタリングすることで、このドメインへの通信を特定できます(図3)。
図 3:ネットワークログをフィルタリングして AnyDesk ドメインへの通信を特定
緩和手順を適用する
AnyDeskの使用が特定されたら、次の2つの重要な緩和手順を実行する必要があります。
古いAnyDeskクライアントを更新する
パスワード関連のリスクを評価する
古いAnyDeskクライアントを更新する
7.0.15および8.0.8より前のAnyDeskバージョンは、窃取された証明書によって署名されており、現在この証明書は失効しています。そのため、信頼できる証明書で署名された最新バージョンにクライアントを更新することが推奨されます。
パスワード関連のリスクを評価する
AnyDeskユーザーはCredential Stuffing攻撃のリスクにさらされる可能性があるため、環境内のすべてのAnyDeskユーザーアカウントを特定し、その認証情報が他の重要なサービスに再利用されたかどうかを確認することを推奨しています。
不審な活動をハンティングする
パスワード関連のリスクに加えて、この侵害の結果として生じる主なリスクが2つあります。
窃取されたコード署名証明書の悪用
AnyDeskソフトウェアによるサプライチェーン攻撃の可能性
防御者は、これらの両方のシナリオの特定を試みる必要があります。
失効した証明書の使用を特定する
osqueryを使用して、失効した証明書で署名された実行可能ファイルを環境内で特定できます。次のクエリーはこれを実行します。
SELECT
processes.name as process_name,
processes.path as process_path,
authenticode.subject_name as signer,
authenticode.serial_number as serial_number
FROM
processes
INNER JOIN
authenticode
ON
processes.path = authenticode.path
WHERE
authenticode.serial_number = '0dbf152deaf0b981a8a938d53f769db8'
その他に、Florain Roth氏のこのYARAルールを使用し、失効した証明書で署名された不審な実行ファイルを検知することができます。
異常なAnyDeskのふるまいを特定する
AnyDeskソフトウェア内で拡散された潜在的なバックドアを検知するためには、AnyDeskを使用するマシンに特に注意を払う必要があります。ソフトウェアバックドアはアプリケーションの通常のふるまいを変更するため、防御者に検知の機会がもたらされます。
このようなバックドアを示す可能性のある異常には、異常な宛先ポート、プロセスの起動、新しいレジストリキーなどがあります。
Akamai Hunt(Akamaiのマネージド型脅威ハンティングサービス)は、さまざまな異常検知の手法で環境を常に監視して未知の脅威の検知を試みるという形で、お客様を保護します。
特にAnyDeskのケースでは、Akamai Huntは既存のAnyDeskの展開に関する詳細な情報と推奨事項をお客様に提供しました。これには、悪性のアクティビティであると考えられる、失効した証明書の使用の可能性に関する情報が含まれます。さらにHuntは、変更された可能性のあるAnyDeskプロセスによって実行された異常なアクティビティがないか、顧客環境を常に監視します。
まとめ
この侵害が最後になるとは限りません。弊社は状況を継続的に監視しており、侵害が発生した場合には、今後のブログ記事でさらなる詳細な情報とガイダンスを提供します。
このブログ記事では、現在入手可能な情報に基づいたAkamaiの見解と推奨事項について概要を紹介しています。Akamaiではレビューを継続的に行っているため、本資料に含まれる情報は変更される可能性があります。また、弊社のXアカウントで更新をリアルタイムでご確認いただけます。
