Trusted Design

T1133 - External Remote Services

概要

Adversaries may leverage external-facing remote services to initially access and/or persist within a network. Remote services such as VPNs, Citrix, and other access mechanisms allow users to connect to internal enterprise network resources from external locations. There are often remote service gateways that manage connections and credential authentication for these services. Services such as Windows Remote Management and VNC can also be used externally.(Citation: MacOS VNC software for Remote Desktop)

Access to Valid Accounts to use the service is often a requirement, which could be obtained through credential pharming or by obtaining the credentials from users after compromising the enterprise network.(Citation: Volexity Virtual Private Keylogging) Access to remote services may be used as a redundant or persistent access mechanism during an operation.

Access may also be gained through an exposed service that doesn’t require authentication. In containerized environments, this may include an exposed Docker API, Kubernetes API server, kubelet, or web application such as the Kubernetes dashboard.(Citation: Trend Micro Exposed Docker Server)(Citation: Unit 42 Hildegard Malware)

Adversaries may also establish persistence on network by configuring a Tor hidden service on a compromised system. Adversaries may utilize the tool ShadowLink to facilitate the installation and configuration of the Tor hidden service. Tor hidden service is then accessible via the Tor network because ShadowLink sets up a .onion address on the compromised system. ShadowLink may be used to forward any inbound connections to RDP, allowing the adversaries to have remote access.(Citation: The BadPilot campaign) Adversaries may get ShadowLink to persist on a system by masquerading it as an MS Defender application.(Citation: Russian threat actors dig in, prepare to seize on war fatigue)

管理者によるコメント

T1133「External Remote Services」（外部リモートサービス） は、攻撃者が組織の外部ネットワークから、社内ネットワーク（プライベートネットワーク）に直接接続できる正規のアクセス経路を悪用、または乗っ取る手法です。

この手法は、主に「初期侵入（Initial Access）」および「永続化（Persistence）」の目的で実行されます。

1. 概要

この手法で攻撃者は、「悪意のあるマルウェアを送り込むことなく、正規の社員やシステム管理者のフリをしてネットワークの境界線を突破すること」を実現します。

何を実現できるのか

• 初期侵入:
  社員がテレワークや出張先から社内システムにアクセスするための「入り口」を乗っ取り、社内ネットワークの足がかりを得ます。

• 強固な永続化:
  独自のバックドア（C2サーバーとの通信）を仕掛けなくても、奪取したアカウントでVPNなどにサインインするだけで、いつでも安全に再侵入できます。

2. 対象となる主なサービス

組織が外部向けに公開している、以下のようなリモート接続・管理用のゲートウェイが標的になります。

• VPN (Virtual Private Network):
  常時公開されており、最も狙われやすい社内ネットワークへの入り口です。

• RDP (Remote Desktop Protocol):
  Windowsの遠隔操作機能。3389番ポートがインターネットに直接露出している環境は、格好の標的になります。

• SSH (Secure Shell):
  主にLinuxサーバーのリモート管理用。

• VDI (Virtual Desktop Infrastructure):
  CitrixやVMware Horizonなどの仮想デスクトップ環境。

3. 攻撃の流れ

攻撃者は、主に「認証情報の悪用」または「機器の脆弱性」を突いて侵入します。

1. アクセス経路の特定:
   インターネット全体のスキャンやOSINT（公開情報調査）により、ターゲット企業が公開しているVPNゲートウェイやRDPのログイン画面を見つけます。

2. 侵入手段の実行:
   

   • パターンA（認証情報奪取）:
     フィッシング詐欺や、過去の漏洩データ、あるいはブルートフォース（総当たり攻撃）によって、正規社員のログインIDとパスワードを入手してログインします。

   • パターンB（脆弱性悪用）:
     VPN機器やファイアウォールのOSに存在する、未修正の脆弱性（エクスプロイト）を突き、認証をバイパスして内部に侵入します。

3. 社内ネットワークへの展開:
   接続が確立されると、攻撃者の端末は社内LANに直接参加した状態（または踏み台サーバーを確保した状態）になり、ここから社内の別端末への「横展開（Lateral Movement）」を開始します。

4. 防御・対策

境界ディフェンスの強化と、ゼロトラストモデルへの移行が鍵となります。

• 多要素認証（MFA）の徹底:
  これが最も重要な対策です。 パスワードが漏洩しても、スマホアプリやハードウェア鍵による二段階認証が設定されていれば、攻撃者の侵入を阻止できます。

• 脆弱性の迅速な修正（パッチ管理）:
  VPNやゲートウェイ機器の脆弱性は真っ先に狙われます。メーカーからセキュリティアップデートが公開されたら、最優先で適用します。

• 露出の制限（アクセス制御）:
  外部リモートサービスのログイン画面にアクセスできる接続元IPアドレスを、特定の国や拠点、あるいは特定の取引先に制限（ジオブロッキングなど）します。

• 接続ログの異常検知:
  「普段と違う時間帯のログイン」「同じアカウントが数分間で日本と海外から同時にログインしている（不可能な移動）」といった異常なログをSIEM等で検知します。

5. 関連する主なCWE

• CWE-287: Improper Authentication:
  認証の仕組みの不備、またはMFAの欠如により不正アクセスを許す問題。

• CWE-306: Missing Authentication for Critical Function:
  重要な接続経路において適切な認証が要求されていない設計不備。

6. 関連する代表的なCVE/事例

近年猛威を振るっているランサムウェア攻撃の多くが、この T1133 を最初の侵入口としています。

• CVE-2023-3519 (Citrix NetScalerの脆弱性):
  2023年に大規模な悪用が確認された脆弱性で、外部から認証なしでリモートコード実行が可能となり、多くの企業で初期侵入の起点となりました。

• CVE-2024-21887 / CVE-2024-21893 (Ivanti Connect Secureの脆弱性):
  2024年初頭に世界中で深刻な被害をもたらしたVPN機器の脆弱性。これを突いて多くの政府機関や大企業が T1133 の手法で侵入されました。

実務上のアドバイス

現代のセキュリティにおいては、「外部公開しているVPNやRDPは、常に攻撃者からノックされ続けている」という前提で動く必要があります。自社のドメインやパブリックIPに対して、意図せず3389番ポート（RDP）などがインターネットに露出していないか、定期的に外部からスキャン（Shodanの活用など）して棚卸しを行ってください。

分析

この攻撃手法を利用する脅威アクター

この攻撃手法を利用する脅威アクターは登録されていません。

関連する CVE

• CVE-2014-7247

攻撃手法 – 脅威アクター Graph

---

← Technique一覧に戻る ← Tactics一覧に戻る