Technique - T1072-

T1072 - Software Deployment Tools

概要

Adversaries may gain access to and use centralized software suites installed within an enterprise to execute commands and move laterally through the network. Configuration management and software deployment applications may be used in an enterprise network or cloud environment for routine administration purposes. These systems may also be integrated into CI/CD pipelines. Examples of such solutions include: SCCM, HBSS, Altiris, AWS Systems Manager, Microsoft Intune, Azure Arc, and GCP Deployment Manager.

Access to network-wide or enterprise-wide endpoint management software may enable an adversary to achieve remote code execution on all connected systems. The access may be used to laterally move to other systems, gather information, or cause a specific effect, such as wiping the hard drives on all endpoints.

SaaS-based configuration management services may allow for broad Cloud Administration Command on cloud-hosted instances, as well as the execution of arbitrary commands on on-premises endpoints. For example, Microsoft Configuration Manager allows Global or Intune Administrators to run scripts as SYSTEM on on-premises devices joined to Entra ID.(Citation: SpecterOps Lateral Movement from Azure to On-Prem AD 2020) Such services may also utilize Web Protocols to communicate back to adversary owned infrastructure.(Citation: Mitiga Security Advisory: SSM Agent as Remote Access Trojan)

Network infrastructure devices may also have configuration management tools that can be similarly abused by adversaries.(Citation: Fortinet Zero-Day and Custom Malware Used by Suspected Chinese Actor in Espionage Operation)

The permissions required for this action vary by system configuration; local credentials may be sufficient with direct access to the third-party system, or specific domain credentials may be required. However, the system may require an administrative account to log in or to access specific functionality.

管理者によるコメント

T1072「Software Deployment Tools」（ソフトウェア展開ツール） は、組織内の多数のコンピュータにソフトウェアを自動的にインストール・更新するために使われる「管理ツール」を攻撃者が乗っ取り、マルウェアの配布や実行に悪用する手法です。

本来はIT管理者の「味方」であるツールが、攻撃者の「最強の武器」に変わってしまうパターンです。

1. 概要

この手法で攻撃者は、「組織全体への一括かつ正規ルートでの侵害」を実現します。

何を実現できるのか

一斉感染: 1台ずつ攻撃する手間を省き、管理下の全端末（数千台規模も可能）に対して一度にマルウェアを送り込み、実行させることができます。
高い信頼性の悪用: 管理ツールによる実行は「正規のシステム更新」として扱われるため、エンドポイントのアンチウイルスやEDRが警告を出さず、スルーしてしまう可能性が非常に高いです。
権限の継承: これらのツールは通常、各端末で「SYSTEM」や「Administrator」といった最高権限で動作しているため、攻撃者は侵入した瞬間から管理者権限を手に入れたことになります。

2. 攻撃の流れ

攻撃者はまず、ネットワーク内の「管理サーバー」を特定し、その制御権を奪うことに全力を挙げます。

管理サーバーの特定: 偵察フェーズで、Microsoft Configuration Manager (SCCM)、PDQ Deploy、Ansible、Chef、Puppet、あるいは資産管理ソフト（LanScope Cat, SKYSEA Client Viewなど）が動いているサーバーを探します。
認証情報の奪取: 管理サーバーにログインするための特権IDを、フィッシングや他の端末からのメモリ抽出（Mimikatzなど）で入手します。
悪意あるパッケージの作成: 正規のソフト配布手順を模倣し、マルウェアを「パッチ」や「必須ソフト」としてパッケージ化します。
配布の実行: ツール上の操作で、全端末または特定の部門の端末に対して「即時実行」の指示を出します。

3. 防御・対策

管理ツールの「管理者」をいかに守り、監視するかが鍵となります。

管理サーバーの隔離: ソフトウェア展開ツールを動かすサーバーには、一般ユーザーがアクセスできないよう厳格なネットワーク分離を行います。
多要素認証 (MFA) の強制: 管理コンソールへのログインには必ずMFAを要求します。パスワードが盗まれても、物理的な認証がなければ操作させないようにします。
配布物の整合性チェック: スクリプトやバイナリを配布する前に、デジタル署名を確認する、あるいは「承認ワークフロー」を導入して、一人だけの判断で全社配布できない仕組みを作ります。
実行ログの監視: 「深夜に全社一斉にスクリプトが動いた」「普段使われない管理コマンドが実行された」といった挙動をSIEMでアラート化します。

4. 重要ポイント

「諸刃の剣」: IT運用の効率化のために導入したツールが、ひとたび乗っ取られると、被害を数分で組織全体に広める「最速の感染経路」になります。
信頼の連鎖: ユーザーは「管理ツールが何かインストールしている」のを見ても、正規の業務だと思い込み、不審に感じない心理的隙があります。

5. 関連する主なCWE

CWE-285: Improper Authorization: 管理ツール内での権限分けが不十分で、一部の権限奪取から全社配布権限まで昇格できてしまう問題。
CWE-306: Missing Authentication for Critical Function: ソフトウェアの配布という極めて重要な機能に対し、再認証や承認プロセスが欠落している不備。

6. 関連する代表的な事例

特定の脆弱性よりも、攻撃グループによる「戦術」として有名です。

NotPetya (2017年): ウクライナの会計ソフト「MeDoc」のアップデート機能が乗っ取られ、世界中の企業にランサムウェアが数時間で拡散しました。
SolarWinds (2020年): 厳密にはサプライチェーン攻撃（T1195）ですが、展開ツールに近い「ビルド/更新システム」が乗っ取られた点で共通しています。
APT41: 中国背景の攻撃グループ。複数のケースで、ターゲット組織の内部にあるソフトウェア展開ツール（SCCMなど）を探し出し、それを使ってネットワーク全体に横展開したことが確認されています。

実務上のアドバイス

組織内のソフトウェア展開ツールが「誰によって」「いつ」「何を」配布したかの履歴を、管理サーバーの外部（Syslogサーバーなど）にリアルタイムで転送・保存しておくことは、万が一の際の追跡において生命線となります。

分析

この攻撃手法を利用する脅威アクター

この攻撃手法を利用する脅威アクターは登録されていません。

攻撃手法 – 脅威アクター Graph

← Technique一覧に戻る ← Tactics一覧に戻る

Trusted Design