先日、わたしたちはレポート「In the Crosshairs: Companies and Nation-State Cyber Threats」を発表しました。世界中のIT領域における意思決定者800人以上に対し、国家が深くか関与するサイバー攻撃についての体験を聞き取り調査しました。その中で、企業や組織がそのアクターによる「置き土産」を検出できるかどうかという質問を投げかけました。驚いたことに、回答者のほぼ72%が、このような「置き土産」を検知することはできるが、その機能や起源を特定できるかどうかというこに関しては、低から中程度は自信を持っていると回答しています。この「置き土産」とは、マルウェアの形をしたバックドア、作成されたアカウント、感染したマシン上でスケジュールされたタスク、レジストリ設定の追加や変更、ネットワーク上にアップロード・配布されたツールキットのことを指します。以前、わたしたちは、長期にわたり被害者のネットワークに侵入した国家による関与が深いと思われる攻撃者に対処しました。その事例を、Operation Harvestで紹介しています。
わたしたちはこの調査期間中、送受信のトラフィックにおいて不審な挙動がないか、ネットワークを隔離して監視しました。同時に、最初に発見されたマルウェアのサンプルに関する知識を応用してリバース分析・動的解析を行った結果、いくつかの指標を得ることができました。そして、この指標をSIEM/EDR/XDRへインプットし、ネットワーク内のどのシステムでこの指標を示しているかを調査しました。いくつかの主要なシステムにおいてフォレンジック調査(メモリダンプなど)を実施して、使用されたツールやコマンド&コントロールサーバー(タイムスタンプを含む)の証拠を、一つずつ次々に見つけ出しました。
MITRE ATT&CKのフレームワークで調査結果をマッピングし、データベースに存在する過去の情報と比較した結果、攻撃の背後にいる国家が関与するグループが2つの候補として浮かび上がりました。この2つの候補について、再びMITRE ATT&CKフレームワークを使用することで、アクターが行ったと思われる手順を特定しました。そして、作成されたアカウント、メモリ内で実行されているいくつかの新しいバージョンのバックドア、Active Directoryへの追加など、クリーンアップできる証拠を発見しました。クリーンアップの後、特定のネットワーク・セグメントを常時監視して不審な活動がないか、目を光らせておくことが重要です。
DFIRのDNAを受け継いで国家レベルの大規模な調査を経験している身としては、発見したファイルの機能と起源を特定できるかという問いに対して、企業や組織が「低から中程度」しか自信を持っていないと回答したという事実には驚きを隠せませんでした。セキュリティ業界ではEDRやXDRなどの技術が進歩しているにも関わらず、なぜ企業や組織はサイバー攻撃者が残した証拠を検出することに苦戦しているのでしょうか。最新のマルウェアを認識するツールが常にあるとは限らないということは、重々承知しています。また、企業や組織がいまだ古いツールを使用していること、人材が不足していること、経験の浅い人材で対応せざるを得ないことも事実です。献身的で経験豊富な専属のリバース・エンジニアを確保することは確かに難しいことですが、隔離した環境やサンドボックスで疑わしいファイルをデトネーションさせて監視するといったプラクティスやテクノロジーは、以前から存在しています。ここで疑問が浮かび上がります。サイバー攻撃の犯人を特定できないのは、経験とスキルの不足によるものか、または時間の不足なのか、技術の不足なのか、それとも購入したツールを正しく利用できていないからでしょうか。わたしの経験から、これらの要素が混在しているのではないかと予想します。正直なところ、残された証拠を見つけること、その経験を積むことは、そう簡単に出来るものではないと言えます。
多くの場合、残された証拠を発見するための情報は存在していますが、その情報は孤立しています。例えば、上記のケースでは、EDRソリューションにデジタルエビデンスのパーツが存在し、Activeディレクトリにいくつかの痕跡が見つかり、メールゲートウェイにスピアフィッシングのメールが残っていました。しかし、これらの事象の間には、相関関係がありませんでした。そこで、組織がアトリビューションを決定し、インシデントを停止させるための重要なツールとして、XDRを活用できます。TrellixのXDRプラットフォームは、サイロ化した痕跡を取り除き、イベントを自動的に集約して分析し、対処が必要な重大なアラートを導き出す製品の一つの例です。「Living security」、常に成長を遂げていくセキュリティ戦略によって、攻撃中であっても攻撃後であっても、悪意のある痕跡を見つけ出すため企業や組織のコントロールポイント全体を常に監視します。
※本ページの内容は2022年3月28日(US時間)更新の以下のTrellix Storiesの内容です。
原文: Who left the backdoor open?
著者: Christiaan Beek