攻撃テクニック
トラフィックのミラーリング
トラフィックのミラーリングはネットワーク診断の重要な要素ですが、同時にデータ流出への扉を開くものでもあります。ここでは、この攻撃手法について知っておくべきことを説明します。
定義
トラフィックのミラーリングとは?
トラフィック・ミラーリングはAmazon Virtual Private Cloud(VPC)の機能で、ネットワーク・トラフィックをコピーして、検査やトラブルシューティング・ツールなどの別の宛先に送信することができる。AWSによると、この技術はEC2インスタンスに接続されたネットワークインターフェイスからインバウンドとアウトバウンドのトラフィックをコピーすることで機能する。このミラーされたトラフィックを、UDPリスナーを持つネットワークまたはゲートウェイのロードバランサー、または別のインスタンスのネットワークインターフェースに送信できる。コンポーネントには以下が含まれる:
- トラフィックのミラーソース(通常はエラスティック・ネットワーク・インターフェース(ENI))。
- トラフィック・ミラーリング・ターゲット、セキュリティ・アプライアンス、モニタリング・アプライアンス
- トラフィックのミラーセッション、つまりソースとターゲットの間の接続
トラフィックミラーフィルタ、またはどのトラフィックをコピーして送信するかを決定するインバウンドとアウトバウンドのルール
仕組み
トラフィックのミラーリングの仕組み
トラフィックのミラーリングは、スイッチ、ルーター、専用ネットワーク・タップなど、ネッ トワークのさまざまなポイントで実装できる。ミラーリングされたトラフィックは、通常、セキュリティ・アプライアンス、侵入検知システム(IDS)、侵入防御システム(IPS)、またはセキュリティ情報・イベント管理(SIEM)システムに向けられる。その目的は、元のトラフィックのフローを中断することなく、これらのツールにリアルタイムのデータを提供することです。以下のような利点がある:
- 可視性の向上:リアルタイムでトラフィックを監視することで、サイバーセキュリティチームはネットワークアクティビティを包括的に把握することができます。この可視性は、不審な行動や潜在的なセキュリティ・インシデントを特定する上で極めて重要です。
- 非侵入型モニタリング: トラフィック・ミラーリングにより、ネットワーク・データを受動的に監視できるため、セキュリティ対策が通常のネットワーク運用を妨げることはありません。
- 脅威検知の強化: ミラーリングされたトラフィックは、機械学習とAIが異常、悪意のある活動、横方向の動きを検出するネットワーク検出およびレスポンス ソリューションに供給することができます。
- パフォーマンス・モニタリング:セキュリティだけでなく、トラフィック・ミラーリングは、ネットワーク管理者がより効率的に問題を診断し、解決するのに役立ちます。
- コンプライアンス: トラフィック・ミラーリングは、ネットワーク・アクティビティの継続的な監視とロギングを保証することにより、規制要件へのコンプライアンスを維持するのに役立ちます。
トラフィックのミラーリングはネットワーク診断の基本的な部分である一方、攻撃者がデータを流出させる手段でもあることに注意する必要がある。
攻撃者がそれを使う理由
なぜ攻撃者はトラフィックのミラーリングを使うのか?
攻撃者は、トラフィック・ミラーリングを使用して、ネットワーク通信を無許可で傍受、キャプチャ、分析します。ネットワーク・トラフィックを複製し、自分たちがコントロールする場所に向けることで、攻撃者は機密情報へのアクセス、通信の監視、ネットワーク内の脆弱性の悪用を行うことができます。
攻撃者がトラフィックのミラーリングを採用する主な理由
機密データの傍受
- クレデンシャル・ハーベスティング:攻撃者は、ネットワーク経由で送信されたユーザー名、パスワード、および認証トークンをキャプチャすることができます。これにより、システム、アプリケーション、サービスへの不正アクセスが可能になります。
- データの盗難:個人データ、財務記録、知的財産、機密業務通信などの機密情報が傍受され、流出する可能性がある。
- セッション・ハイジャック:セッションクッキーやトークンをキャプチャすることで、攻撃者はアクティブなユーザーセッションを乗っ取り、正当なユーザーになりすましてさらなるアクセスを得ることができます。
ネットワークの偵察と監視
- ネットワークのマッピング:ミラーリングされたトラフィックを分析することで、攻撃者はネットワーク・トポロジーを理解し、デバイス、サービス、通信パターンを特定することができます。
- 脆弱性の特定:トラフィック解析により、悪用可能な古いソフトウェア、安全でないプロトコル、設定ミス、脆弱な暗号化方式が明らかになることがあります。
- 盗聴:攻撃者は、情報収集、機密会話のスパイ、将来の攻撃のための情報収集のために通信を監視することができます。
暗号化とセキュリティ対策のバイパス
- SSL/TLSの傍受:攻撃者が暗号化されたトラフィックを暗号化前または復号化後に傍受できれば、平文のデータにアクセスできる。
- 検知の回避:トラフィックを内部でミラーリングすることで、攻撃者はファイアウォールや侵入検知システムなど、外部の脅威を監視する境界セキュリティ対策を回避することができます。
高度な攻撃を容易にする
- 中間者(MitM)攻撃:トラフィックのミラーリングにより、攻撃者は通信当事者の間に位置することができ、通信ストリームに悪意のあるデータを傍受、変更、または注入することができます。
- Command and Control (C2)通信:攻撃者は、ミラーリングされたトラフィック内に秘密のチャネルを確立し、疑いを持たれることなく侵害されたシステムを制御することができる。
- malware のインジェクション:トラフィックを操作することで、攻撃者はmalware ペイロードを標的のシステムに配信することができます。
データの流出
- ステルス的なデータ転送:ミラーリングされたトラフィックは、時間をかけて大量のデータを流出させるために使用され、検知される可能性を低くすることができます。
- データのエンコードとステガノグラフィ:攻撃者は正規のトラフィックパターンやファイルの中にデータを隠し、流出を目立たなくすることがあります。
攻撃者がトラフィックのミラーリングを実装するために使用する方法
ネットワーク機器の侵害
- ルーターとスイッチポートミラーリングやSPAN(Switch Port Analyzer)セッションを設定するために、ネットワークインフラストラクチャデバイスに不正アクセスすること。
- ネットワーク・タップ:ネットワーク運用を中断することなくトラフィックを捕捉するために、ネットワークケーブルを遮断する装置を物理的に設置すること。
悪意のあるソフトウェアのインストール
- パケット・スニッファー:Wireshark、tcpdump、カスタムスニッファなどのソフトウェアを侵害されたシステムに導入し、ネットワークパケットをキャプチャする。
- ルートキットとmalware: カーネルレベルで動作する高度なmalware を使用して、ネットワーク通信を不可視で傍受する。
プロトコルの脆弱性を突く
- ARPスプーフィング/ポイズニング:アドレス解決プロトコルのテーブルを操作して、攻撃者のシステム経由でトラフィックをリダイレクトすること。
- DNSスプーフィング:DNS応答を改ざんしてトラフィックをリダイレクトし、ユーザーを悪意のあるサイトに誘導する。
ワイヤレスネットワークの侵害
- 不正アクセスポイント:不正な無線アクセスポイントを設置し、無線トラフィックを傍受すること。
- イービルツイン攻撃:正規のWi-Fiネットワークを模倣し、ユーザーを騙して接続させ、攻撃者にトラフィックを傍受させる。
プラットフォーム検出
検知 悪質なトラフィックのミラーリング
悪意のあるトラフィックのミラーリングを事前に検知する唯一の方法は、高度なAIと機械学習です。そのため、Vectra AIのセキュリティ・エンジニアは、トラフィック監視に特化した高度なAI主導 検出モデルを構築しました。セキュリティアナリストはこのモデルを使用して、AWSのコントロールプレーンAPIがいつ呼び出されたかを確認します。これは、トラフィックミラーリングを活用しようとする悪意のある試みの最も初期の兆候です。
