Back to Blog ブログ一覧へ戻る

Vectra AI社のネットワ

ークメタデータを活用

した攻撃者とエク

スプロイトの検知

By
Stephen Malone
|
March 26, 2020

攻撃用のツールやテクニックは、時間とともに変化しますが、攻撃に関わる振る舞いは、ネットワーク内での攻撃者の存在を示す普遍的な指標となります。攻撃の振る舞いを忠実度の高い警告として使用し、迅速な対応を取ることで、様々な攻撃を阻止し、さらなる損害の発生を回避することができます。

ネットワークメタデータを利用すれば、特定の攻撃ツール、エクスプロイト、そしてテクニックをターゲットにした検出ルールの作成が可能となります。このような検出ルールは、攻撃者による低レベルの活動に関する早期の検知や、攻撃者が使用したツールやエクスプロイトのラベル付けに使用することができます。

Vectra AI社では、これら普遍的な攻撃者の振る舞いに焦点をあて、ネットワーク内に潜む攻撃者を摘出することができる、最高クラスのAIおよびMLモデルを提供しています。また、Vectra Recall製品で使用したり、Vectra Streamを使って皆様のSIEMに直接送ることが可能なネットワークメタデータを、Zeekフォーマットで提供しています。利用者は、このネットワークメタデータを使用することで、攻撃者のツールやエクスプロイトを検知するためにビルトインされた、AIおよびMLベースの振る舞い検知機能を補完することができます。‍

攻撃者のツールとエクスプロイトを検知するビルディングブロック

Vectra AI社が提供するネットワークメタデータと、様々なテクニックを組み合わせることで、ネットワーク内に潜む攻撃者のツールやエクスプロイトの検知が可能となります。これらのテクニックは、独自もしくは組み合わせて使用することで、ツールまたはエクスプロイトの種類に対する全般的なマッチングや、特定のツールまたはエクスプロイトに絞り込んだ形でのマッチングを行うことができます。

攻撃者のツールやエクスプロイトの検知に向けた、基本的なネットワークメタデータのビルディングブロックは、以下のような内容になります:

  • DNSドメイン

DNSドメインが、既に知られた不正なドメイン (bad domain) ではありませんか?例えばWannaCryは、DNS ドメインをキルスイッチとして使用していましたが、C2やデータの持ち出しのためにDNSを使用するものも存在します。

  • 認証の発行元

認証の発行元は、想定された信頼のおけるルートですか? 安価な、あるいは無料の認証発行機能は、頻繁にドメインのスクワッティング (占拠) に使用され、中間者攻撃 (MITM) を介してトラフィックを傍受して認証情報を盗み出という目的で悪用されます。

  • IPのソースとディスティネーション

ソースまたはディスティネーションのサブネットは、不正または不審なものではありませんか? IPアドレスは、ネットワーク内での異常な、あるいは不審なトラフィックの検知に使用できます。

  • ユーザーエージェント

ユーザーエージェントは、このネットワークまたはサブネット内での存在が想定されるものですか? ユーザーエージェントは、使用したブラウザまたはフレームワークが何であったかを特定するために使用され、異常あるいは不審な利用の兆候を明らかにします。

  • JA3/JA3Sハッシュ

不正なクライアントやサーバーではありませんか?JA3は、TLSハンドシェーク中に開示される様々な情報を確認し、クライアント (JA3) およびサーバー (JA3S) に対してフィンガープリントを行います。(JA3/JA3Sを使用した、脅威の調査やハンティングの詳細については、こちらのブログをご覧ください)

Vectra Recallによるキュレーション検索

たとえ優れたツールやビルティングブロックを自由に使える場合でも、優れた調査機能を構築することは、決して容易ではありません。対象範囲が広すぎるために漠然とした調査になってしまったり、逆に調査範囲を少し絞り込んだために、本当の脅威を見逃してしまう場合もあります。

しかし、Vectra AI社なら心配無用です!Vectra AI社の研究・データサイエンスチームは、特定のエクスプロイトやツール、フレームワークをターゲットにした、最新の調査を継続的に実施しています。このような調査結果は、Vectra AI社のRecallプラットフォームに反映されるため、ネットワーク内での低レベルの攻撃に関わる振る舞いの検知や、ラベル付けの対応にすぐ取り組むことができます。

最近も、以下の脅威や脆弱性に対する、優れた品質のRecall調査結果を作成し公開しました。

  • Citrix ADC の脆弱性 (CVE-2019-19781)
  • Microsoft暗号化ライブラリのCurveballに対する脆弱性 (CVE-2020-0601)
  • 周知のATPで使用されていることが確認された、Pupyリモートアクセストロイの木馬
  • VPNの脆弱性を標的にしたAPTで使用される、Fox Kittenキャンペーン

このような新たな調査結果の追加によって、既存の広範な調査結果ライブラリを補完し、以下のようなエクスプロイトやツールを使用した脅威の検知やラベル付けが可能になります。

  • EternalBlue
  • Cobalt Strike
  • Metasploit
  • Kali Linux
  • Empire
  • さらに多数の既知のTTP (Tactics Techniques & Procedures)

Vectra Recallカスタムモデルを使った自動探索

高品質の探索機能は調査に有効となりますが、その作成やテストには時間がかかります。これを肩代わりできるのがVectra製品です。Recallカスタムモデルを使用することで、検知に向けたニアリアルタイムでの探索を自動化することができます。Vectra Recallの「Custom Model(カスタムモデル)」 検知機能を有効化するだけで、自動的にマッチングが行われ、一致するものが検出されるとアラートを発信することができます。

攻撃ツールやエクスプロイト、さらにTTPに対するカスタムモデルを有効化することで、ネットワーク内に存在する低レベルの攻撃による振る舞いを、攻撃が本格化する前に迅速かつ容易にトラッキングすることができます。また、これらの活動に対してラベル付けを行うことで、攻撃者の戦略を特定し、より迅速で効率的な対応が可能になります。

ぜひデモをご予約いただき、Vectra Recallを活用した攻撃者とエクスプロイトの検出方法に関する詳細を実際にご確認ください。