最近、私たちは驚くべき発見をした。ハッカーが隠しトンネルを使って金融サービス企業に侵入し、盗みを働いているというのだ!悪者が巨額の資金や個人情報を狙っているとすれば、これは明らかに深刻な問題だ。しかし、我々は一体何に対処しているのだろうか?その答えを明らかにするために、隠しトンネルとは何なのか、そして私がどのようにそれを見つけているのかを掘り下げてみよう。
隠されたトンネル
金融サービスやその他の企業が、ネットワーク内やアプリケーション間でデータを共有するために使用する正規のトンネルには、多くの種類がある。これらのトンネルはしばしば、より効率的なセキュリティ制御をバイパスする通信モードとして機能する。隠されたトンネルも似ているが、その目的は異なる。
洗練されたスキルを悪用する攻撃者は、隠れたトンネルを利用してコマンド&コントロールや情報流出を行います。つまり、通常のトラフィックに紛れ込み、情報の窃取をリモートで制御し、同じトンネルを経由して重要なデータや個人を特定できる情報 (PII) を盗み出すのです。
通常の一般的なプロトコルを使用する複数の接続に紛れ込むため、隠しトンネルを検知するのは非常に困難です。事態をさらに難しくするために、サイバー攻撃者は多くの場合、少量のデータを時間をかけて盗むため、明らかなアラームが鳴ることはない。可能性の幅は、攻撃者の創造力によってのみ制限される。
例えば、一見普通に見えるHTTP-GETは、テキストフィールドに埋め込まれた隠れたマルウェアのリクエストを運ぶかもしれない。同様に、対応するHTTPレスポンス 、コマンド&コントロール・サーバーからの指示を含み、それも所定のフィールド内に隠されているかもしれない。しかし、このような隠されたトンネル攻撃は、単純なテキストフィールドだけに限定されるものではない。秘密の通信は、ヘッダーやクッキーと同様に、様々なフィールドに埋め込むことができます。
隠されたトンネルと通常のトンネルを区別する方法がない限り、被害が出る前に検知 。プロトコルを漸進的に解読しても、有害なメッセージが埋め込まれているため、その本質を明らかにすることはできないだろう。
Vectra 隠されたトンネルを見つける方法
Vectra 常にネットワーク・トラフィックのメタデータを高度に分析し、隠れたトンネルの存在を示すプロトコル内の微妙な異常を明らかにする。やったぞ、ハッカー!
言い換えれば、メッセージが許可されたプロトコルの中で偽装されていたとしても、結果として隠れたトンネルを構成する通信は、全体的な会話の流れに微妙な攻撃行動を導入せずにはいられない。リクエストとレスポンスのわずかな遅延や異常なパターンなどだ。誰かがツナサンドを注文すると、1つのパッケージではなく100の小さなパーツに分割されて届くようなものだ!
これらの動作のヒントに基づき、数理モデルを使用してHTTP、HTTPS、DNSトラフィック内の隠れたトンネルを正確に検知します。また、ディープ・パケット・インスペクションを実行せずに脅威を探索する能力により、どのように実装されていても隠れたトンネルを発見することができます。攻撃者がどのようなフィールドを使って通信を埋め込もうが、見たこともないような難読化テクニックを使おうが関係ありません。攻撃者が通常のプロトコルの動作と異なることをしても、隠れたトンネルの存在は明らかになる。
これらは、セキュリティアナリストが単独で、あるいは十分なスピードで取り組むことのできないタスクです。そのため私たちは、隠れたトンネルを含むサイバー脅威を迅速かつ正確に検知・追跡する独自のスキルを提供し、お客様がより的確に対応できるようにしています。
金融サービスなどさまざまな業界に潜入する巧妙なサイバー攻撃や隠れたトンネルについて詳しくは、 Vectra の2018年スポットライト・レポートをご覧ください。