【転載】MITRE Shield Matrix: ブルーチーム(監視側)のためのテクニックマトリックス!

hiro_ retweeted: MITRE Shield Matrix: ブルーチーム(監視側)のためのテクニックマトリックス!素晴らしい! shield.mitre.org/matrix/:



hiro_ retweeted:

MITRE Shield Matrix: ブルーチーム(監視側)のためのテクニックマトリックス!素晴らしい! shield.mitre.org/matrix/

--2020/10/1追記-- 
※出典:https://blog.macnica.net/blog/2020/09/mitre-shield.html

Shield について

Shield はアクティブディフェンスを実現するためのフレームワークです。このフレームワークでは、能動的に攻撃者の活動を検出したり、攻撃者を騙し、対峙することで組織固有で発見される攻撃者のTTPs(戦術、手法と手順)を収集したり、攻撃者の目的を妨害したりするなど、多岐に渡る能動的な防御手法がまとめられています。また、これらShield の情報は、MITRE社が10年以上に渡り、攻撃者と積極的に関わり様々な情報や手口を収集・学習した経験を基に、ナレッジベース化されています。

既に様々な対策を実施済みの組織は、アクティブディフェンスを実現する為の具体的な検討案として利用できると考えています。一方で、「攻撃者を騙す」という様なワードを聞くと、自組織では取り組みにくいと感じる方も多いかもしれません。しかしながら、例えば利用している端末に偽の認証情報を配備し、囮(おとり)の端末を用意し、その端末を監視することで、侵入した攻撃者を過検知を抑えた状態で検出でき、攻撃の標的を実際の資産から反らし、さらにはそのTTPsを観測し将来の攻撃に備えることができるなど多くのメリットが存在しており、欧米ではCyber Deceptionとして実際に取り組まれています。それでも取り組みにくさを感じる場合、Shieldには攻撃の検出(Detect)に関しても記載されています。そのため、攻撃者を騙すような積極的なアプローチでなくとも、攻撃検出の強化という観点でも利用いただけると考えています。

また、Shieldでは、すでに業界標準になりつつあるMITRE ATT&CKとの紐づけも提供されており、特定の攻撃手法に対する防御策を検討する際にも利用いただけます。Shieldに対して、MITRE ATT&CKは、攻撃手法をまとめたナレッジベースです。そのため、ATT&CKは、攻撃側やレッドチームに関連する情報、Shieldでは防御側やブルーチームに関連した情報が集まっていると理解するとイメージがつきやすいかもしれません。(ATT&CKにもMitigationという項目があるため、一概に攻撃のナレッジだけが集約されているわけでは有りませんが・・・)

Shieldの使い方

ShieldではTactics(戦術)とTecqniques(手法)がリスト化されているShield Matrix が、メインページです。この記事では、その前提知識として必要となるTactics(戦術)を最初に確認したいと思います。Shield ページの画面上部のメニューからTacticsを選択します

Tacticsには、防御側が実施したい事項が記載されています。このTacticsの中には、更にTechniquesが書かれており、これを実装することで、アクティブディフェンスを実現していきます。この記載方法はATT&CKと共通しているため、すでにATT&CKをご存知の方には、理解しやすいかもしれません。

01_Active_Defense.jpg

図1 Shield Tactics(戦術)の一部

簡単に各Tacticsが何を示しているのか記載しておきたいと思います。

戦術概要
Channel攻撃者を特定の方向やパスに誘導する
Collect攻撃者のツールの収集、攻撃者の戦術の観測、その他攻撃者に関するインテリジェンスの収集
Contain攻撃者が特定の境界や制約の外に出ていくことを防ぐ
Detect攻撃者が実施している内容の認識を確立、または維持する
Disrupt攻撃者が行っているミッションの全て、または一部分を妨害する
Facilitate攻撃者が行っているミッションの全て、または一部分を可能とさせる
Legitimize欺瞞的なコンポーネント(偽物)に信ぴょう性を加え、攻撃者に本物であると納得させる
Test攻撃者の興味、能力、または振る舞いを判断する

Techniqusからアクティブディフェンスを検討する

Shield ページの画面上部のメニューからMatrixを選択します
各列の最上部は、先ほど確認したTacticsが記載されています。各列の下方にはTechniquesが書かれています。つまり、上述したDetectについて知りたい場合、Detectの列を見ていけば良いということになります。本記事では取り組みやすいと思われる、Detectを例として取り上げてみます。Matrix ページのDetect セル上のリンクをクリックし、Detect に関連したTechniquesの詳細を確認します。

02_Active_Defense.png

図2 Active Defense Matrixの一部

以下がDetectで利用可能な項目となります。

更にこの中から気になるテクニックを選択し、深堀することができます。項目の中には、Decoyというあまり聞き馴染みのない言葉が多くでてきていますが、これは囮(おとり)を意味し、Deception(欺瞞・騙し)という防御対策で利用されている手法の一つです。その他にもHuntingやUser Training、Network Monitoringなどの手法を確認することができます。

本記事では、一例としてNetwork Monitoringについて確認したいと思います。DetectページのNetwork Monitoringのリンクをクリックします。

03_Active_Defense.jpg

図3 Detectページの一部

各Techniquesのページでは、その手法に関する概説、Opptunities(機会)やUse Cases(活用例)、Procedures(実装方法)、このShield の手法に対応するMITER ATT&CK のテクニックについて確認することができます。

04_Active_Defense.jpg

図4 Network Monitoring 詳細(抜粋)

Network Monitoring(図4)に関しては、以下の内容が説明されています。

機会攻撃者の活動によって発生したネットワーク異常などを発見することで、侵入済みの攻撃者の存在を把握する機会を得ることができる
活用例中間者攻撃(Man-in-The-Middle)の振る舞い、通常とは異なる方法でのリモートデスクトップ通信、通常と逸脱するトラフィックの監視
実装方法インターネットへ接続するデコイネットワークを含む、全てのデバイスの通信ログを一箇所に集める

Network Monitoring は、各ネットワーク装置からNetflowデータを収集し分析したり、NDR(Network Detection & Response)と呼ばれる製品群を導入したりすることで実現できます。

MITRE ATT&CK からアクティブディフェンスを検討する

攻撃の検出を強化しようと考えた場合、自組織で不足している部分を補強したいと考えることの方が自然かもしれません。本記事では、MITER Evaluation APT29(*)の結果を利用して、EDRが未検出の攻撃手法と組織が不足している防御層が一致しているという仮定でShieldを利用してみたいと思います。

* MITRE社とEDRベンダーが協力して行ったEDR製品でのテスト。攻撃者グループ APT29(COZY BEAR)の攻撃手法がテストでは利用された。

05_Active_Defense.png

図5 MITRE ATT&CK Evaluation(APT29)の結果

上記図5のグラフは、特定のEDR製品の戦術毎の検出結果です。テストで実施された手法は、単体で悪意を見出すことが難しいものも含んでいるため、全ての攻撃手法を検出することは困難です。しかし、少なくともCredential Access 以降のフェーズの検出状況が、顕著に低くなっていることが分かります。つまり、何らかの追加対策が必要であると考えられると思います。

本記事では、検出状況が芳しくないCommand & Control のフェーズにおける"Standard Application Layer Protocol(T1071)" に着目します。この手法は、MITRE Evaluationで検出されていなかった攻撃手法の一つになります。

上記の結果を基に、Shield を使って防御層の強化を考えてみたいと思います。MITRE Shieldページから、ATT&CK Mapping と進みComplete Mapping をクリックします。

06_Active_Defense.png

図6 MITRE ATT&CK - Sheild Complete Mapping(抜粋)

このComplete Mapping のページから、"Standard Application Layer Protocol(T1071)" を探します。探す際には、ATT&CK側のアップデートなどもあるため、手法名よりもID(e.g. T1071)での検索の方がスムーズに確認できます。T1071で検索すると、先程確認したNetwork Monitoring の記載を見つけることができます。つまり、"Standard Application Layer Protocol(T1071)" に対応するためには、Network Monitoring を実装すれば良いということが分かります。

07_Active_Defense.jpg

図7 T1071に対応したActive Defense の手法

まとめ

MITRE社の新しいフレームワークであるShileldと使い方について簡単にご紹介しました。今回はとっつきやすいと思われる検出の活用事例を一つお伝えしました。しかしながらShieldではより多くのTacticsをカバーしています。より積極的なChannel やDisrupt などの戦術については、折を見て執筆できればと思います。

なお、本記事ではMITRE Evaluationの結果を参考として強化の検討を行いましたが、自組織での適用を検討する場合には、EDR製品とのギャップにこだわらず、組織全体で対策が不足している攻撃フェーズに焦点を当てて検討してみてください。

【転載】EmotetのダウンローダーのWordをWord Online上で開いたらどうなるか?

EjI-kf4VkAAq0o9.jpg:large

EmotetのダウンローダーのWordをWord Online上で開いたらどうなるんですか?と質問があったので、あまり良くないのですが、やってみました。答えはわかっているのですが感染はしません、が、途中のダイアログで「デスクトップアプリを使って編集をする」ってやると感染するかもです。: EmotetのダウンローダーのWordをWord Online上で開いたらどうなるんですか?と質問があったので、あまり良くないのですが、やってみました。答えはわかっているのですが感染はしません、が、途中のダイアログで「デスクトップアプリを使って編集をする」ってやると感染するかもです。


【転載】クラウドサービスの利用に際しては、年に1回程度大規模障害が起きることを受け入れる必要がある。

復旧]Outlook・Teamsにログインできない!Microsoft 365(Office 365)に障害発生 | アーザスBlog

「Microsoft 365」の約5時間の障害の原因は「コードの問題」 - ITmedia NEWS:

米Microsoftは9月29日(現地時間)、前日に発生した「Microsoft 365」の大規模障害について、影響を受けた企業の管理者宛メールで説明したと米CRNが報じた。

 Microsoftは「コードの問題でインフラの一部で認証要求の処理が遅れ、複数のMicrosoft 365サービスにアクセスできなくなった」と説明した。

 同社は現在、原因究明のためにコードをレビューしており、5営業日以内にインシデントレポートを出すとしている。

 この問題は、米東部時間の28日午後5時25分~午後10時25分の約5時間、ユーザーに影響を及ぼしたという。

ms
Microsoftは日本時間の29日午後1時、問題は解消したとツイートした
これとは別に、Azureでも28日午後5時25分~午後8時23分の間、認証操作中にエラーが発生したという。こちらの原因は「最近加えた構成変更がバックエンドに影響し、認証要求の遅延を引き起こした」としている。

【転載】マルウェア感染対策としてPowershellの制御を検討すべきか!?



サイバースパイグループ「DeathStalker」とその攻撃手段:

Kasperskyのエキスパートは、取引の機密情報を盗み出すことを専門に行うサイバー犯罪者グループの存在を突き止めました。同グループには「DeathStalker」というコード名が付けられています。これまでに標的となった組織を見ると、DeathStalkerの目的は主に、フィンテック企業、法律事務所、金融アドバイザーを攻撃することにあるようです。外交関連の組織が攻撃された事例も1件ありました。

標的となった組織のタイプから考えると、DeathStalkerは特定の情報を販売目的で探しているか、「需要に応じた攻撃」をサービスとして提供していると考えられます。要するに金銭目的です。

DeathStalkerが活動を始めたのは2018年もしくはそれよりも前で、2012年に活動を開始していた可能性があります。最初に当社エキスパートの注意を引いたのは、攻撃に使用されていたPowerShellベースのインプラント「Powersing」でした。最近の攻撃でも同様の手法が使われています。

攻撃の方法

DeathStalkerはまず、スピアフィッシングによって標的のネットワークに侵入し、何らかの文書に見せかけた悪意あるLNKファイルをその企業の社員に送ります。このファイルはシステムのコマンドラインインタープリター(cmd.exe)を起動するためのショートカットで、これを使って悪意あるスクリプトを実行します。標的となった人のコンピューターには、特に意味のない文書が表示されます。そのファイルはPDF、DOC、またはDOCX形式であるため、普通のファイルを開いたかのように見えます。

興味深いことに、この悪意あるプログラムには指令サーバーのアドレスが含まれません。その代わり、このプログラムは一般のサービスプラットフォーム上に公開されている投稿にアクセスし、一見すると意味不明な文字列を読み取ります。実はその文字列は暗号化された情報で、これを読み取ることで、次段階の攻撃が発動します。このタイプの攻撃方法は「デッドドロップリゾルバー(Dead Drop Resolver)」と呼ばれます。

攻撃の次段階では、攻撃者がコンピューターを掌握し、悪意あるショートカットを自動実行フォルダーに配置し(システム上で継続的に動作できるようにするため)、本当の指令サーバーとの接続を確立します(サーバーのアドレスは、正規のWebサイト上に掲載されている別の意味不明な文字列を復号することで入手します)。

基本的に、Powersingが実行するのは2つのタスクです。一つは感染したコンピューター上でスクリーンショットを定期的に撮影して指令サーバーに送信すること、もう一つは指令サーバーからダウンロードされたPowerShellスクリプトを実行することです。さらに別のツールを実行するために、感染したコンピューターに足がかりを築くことが目的です。

セキュリティメカニズムを欺く方法

Powersingは、攻撃の全段階で、さまざまな方法を使ってセキュリティ対策をくぐり抜けようとします。使われる方法は標的によって異なります。それだけでなく、このマルウェアは、標的のコンピューターでセキュリティ製品が動作していることを認識すると、戦術を変えたり自らを無効化したりすることが可能です。当社エキスパートは、このサイバー犯罪者グループは標的を研究し、攻撃ごとにスクリプトに調整を加えていると考えています。

しかし、DeathStalkerが使うテクニックのうち最も興味深いのは、一般のサービスをデッドドロップリゾルバーのメカニズムとして使用している点です。固定のURLに、暗号化された情報が投稿、コメント、ユーザープロフィール、コンテンツ説明などの形で置かれています。以下は攻撃に利用されていた投稿の例ですが、「My keybord doesnt work…(キーボードが使えません…)」などのコメントの後に、意味不明な文字列が続いています。



このように、誰かが一般のWebサイトにアクセスしているだけであるとセキュリティ製品が判断するように仕向けて、指令サーバーと通信を開始したことが分からないようにしています。当社エキスパートが特定した事例の中では、このような投稿はGoogle+、Imgur、Reddit、ShockChan、Tumblr、Twitter、YouTube、WordPressに見つかりましたが、攻撃者が利用しているサービスがこれですべてではありません。それにもかかわらず、このような一般的なサービスに対するアクセスをすべて企業がブロックするとは、まず考えられません。

DeathStalkerグループとマルウェア「Janicab」および「Evilnum」との関連性、また脅威存在痕跡(IOC)を含むPowersingの技術的な情報について詳しくは、DeathStalkerに関するSerurelist記事をご覧ください(リンク先は英語)。

DeathStalkerから企業を守るには

DeathStalkerの手法とツールを見ていくと、比較的規模の小さい企業であっても遭遇する可能性のある脅威の姿が浮かび上がります。もちろん、DeathStalkerの攻撃はAPTではなく、特に複雑な手法を用いているわけでもありません。しかし、彼らの使うツールは、多くのセキュリティ製品をかいくぐるようにカスタマイズされています。当社エキスパートは、以下の対策を推奨しています。

  • Powershell.exeyやcscript.exeのようなスクリプト言語のインタープリターが実行するプロセスには、特別な注意を払う。業務上必要がないのであれば、無効にしましょう。
  • メールに添付されたLNKファイルを使って侵入してくる攻撃を警戒する。
  • エンドポイントにおける検知および対応(Endpoint Detection and Response:EDR)機能を備えた製品など、高度な保護テクノロジーを利用する。
Kasperskyでは、エンドポイント保護プラットフォーム(Endpoint Protection Platform:EPP)とEDRの両機能を備える統合型ソリューションをご用意しています。詳しくはこちらをご覧ください。