AIとシグネチャなしでZeroLogonエクスプロイトを検出する

2020年9月22日
Stephen Malone
シニア・プロダクト・マネージャー
AIとシグネチャなしでZeroLogonエクスプロイトを検出する

急速に進行する重要な脆弱性やゼロデイによって、シグネチャに依存して脅威を照合するレガシー・サイバーセキュリティ製品の弱点が露呈している。シグネチャは、既知の脅威や歴史的な脅威に対する継続的な保護を提供するために有用ですが、セキュリティリサーチャーによって脆弱性が発見され、新しいシグネチャが作成されるまでは、新たな脅威に対して多くのことを行うことはできません。悪用可能な脆弱性は、セキュリティ・リサーチによって発見されるまでに何年も存在する可能性があり、その結果、あなたは無防備な状態にさらされることになる。ZeroLogonのような脆弱性の場合、エクスプロイトの威力とスピードを考えると、防御が遅れればビジネスが終わる可能性もある。

しかしVectraは、サイバーセキュリティに対して根本的に異なるアプローチをとっている。Vectraの洗練された攻撃者行動AI/MLモデルは、攻撃に使用される特定のツールやシグネチャに関係なく、攻撃行動を検知 。そのため、Vectra AI の顧客は、脆弱性が発表される前であっても、この新たな脆弱性を活用する可能性のある攻撃キャンペーンに対する実質的な検知能力を有している。

これらのレガシー・サイバーセキュリティ製品にとっては、シグネチャを作成し、このエクスプロイトから顧客をある程度保護するために奔走する忙しい時期となった。これらの新しいシグネチャはもちろん助けになるだろうが、手遅れになる人もいるだろうし、これらの保護を回避するためにエクスプロイトが少し変化するのも時間の問題だ。ここ数日、多くの競合他社 (例えばExtraHop、CoreLight、Awake) が脆弱性の公開後、新しいZeroLogonシグネチャのリリースに奔走しているのを目にしました。それ以前はどうだったのでしょうか?カバーされていたのでしょうか?脆弱性が悪用されるのは、セキュリティ・リサーチによって公開されたときだけだと信じていいのでしょうか?

Vectra ゼロログオン検出のためのAI/MLモデル

このエクスプロイトを成功裏に使用するには、攻撃者がローカルネットワーク上にいる必要がある。外部攻撃者の場合、Detectは、外部リモートアクセス、Hidden HTTP/HTTPS/DNSトンネル、またはSuspicious Relayの形で、侵害されたホストからの コマンド&コントロール(C&C) を確認するでしょう。外部攻撃者であれ内部攻撃者であれ)脆弱性を悪用した後は、RPC Targeted ReconでカバーされているDCSyncを見ることになるでしょう。攻撃者が管理者アクセス権を獲得すると、私たちの洗練された特権アクセス分析(PAA)検知は、この新しいアクセス権の使用法をカバーします。Suspicious AdminSuspicious Remote ExecutionSuspicious Remote Desktopの ような他のモデルも、横方向の動きに関するカバレッジを提供します。RDP ReconおよびRPC Reconは、外部攻撃者がネットワーク周辺を探索する際に発生する可能性があります。

Cognito検知 は、反応的で容易に回避されるシグネチャではなく、変化しないもの、すなわち攻撃者の振る舞いに焦点を当てることで、出現しつつあるゼロデイや動きの速い脅威からお客様のビジネスを保護します。

Vectra AIプラットフォームによるZeroLogon検出の強化

検知攻撃行動を発見することに重点を置くことは、攻撃者を発見するための真に耐久性のあるメカニズムです。Vectra AIプラットフォームは、より深い調査と脅威ハンティングを可能にする当社の高度な検出機能を補完します。ZeroLogon脆弱性については、新しいRecall ダッシュボード(NetLogon Exploit Dashboard)を公開し、ネットワーク内でこの脆弱性を活用しようとする試みをより可視化できるようにしました。

ZeroLogon の潜在的なケースを追跡するVectra AI Platform のサンプル・ダッシュボード

ZeroLogon脆弱性を理解する

最大深刻度のCVE (ZeroLogon - CVE-2020-1472 - CVSS 10) が最近報告されました。この脆弱性を利用すると、攻撃者はネットワークへのトラフィックを発信する能力以上の特権を必要とすることなく、ネットワークへのマスターキーであるドメイン管理者認証情報を驚くほど迅速かつ容易に取得することができます。この脆弱性は、Windows Server OSがNetLogon RPCプロトコルを処理する方法の欠陥によって引き起こされ、攻撃者はパスワードリセットイベントで身元を偽造し、ドメインコントローラーのマシンアカウントを含むあらゆるパスワードをリセットすることができます。

Microsoftはその後、Windows Serverの脆弱なバージョンにパッチを適用している。この脆弱性についての詳しい情報はこちら、Microsoft社からの影響するバージョンとパッチ情報についてはこちらをご覧ください。

サイバー攻撃の検知とレスポンスへのアプローチを変更する準備ができ、Recallが攻撃者のツールやエクスプロイトをどのように見つけることができるかを詳しくお知りになりたい場合は、Vectra 、今すぐデモをご予約ください。

よくあるご質問(FAQ)

ZeroLogonとは?

ZeroLogon (CVE-2020-1472)は、Windows Netlogonにおける重大な脆弱性であり、攻撃者が管理者アクセス権を得ることを可能にする。

ZeroLogonが特に危険なのはなぜか?

ZeroLogonは、攻撃者が認証なしでドメイン管理者の認証情報を取得することを可能にするため、危険である。

ZeroLogon検出にAIを使用するメリットは何ですか?

AIはプロアクティブな検知、より迅速なレスポンス 、シグネチャなしで新しい脅威や進化する脅威を識別する能力を提供する。

ZeroLogonはどのようにWindows Serverを悪用するのか?

ZeroLogonはNetlogonプロトコルの欠陥を悪用し、攻撃者に認証の偽造やパスワードのリセットを許してしまう。

Vectra AIはどのようにZeroLogon検出をサポートしていますか?

Vectra AIは、ネットワーク・トラフィック・データの継続的な監視と分析を行うことで、検知をサポートする。

Vectra AI検知 ZeroLogon exploitはどのようにしているのか?

Vectra AIは機械学習モデルを使用して、検知 、ZeroLogonエクスプロイトを示す異常な行動やネットワーク・アクティビティを示します。

組織はどのようにしてZeroLogonから保護できるのか?

組織はパッチを適用し、異常な活動を監視し、Vectra AI のような高度な検出ツールを使用すべきである。

Vectra Recall 脅威検知をどのように強化するのか?

Vectra Recall ネットワーク・トラフィックや異常を詳細に可視化することで、より詳細な調査と脅威の発見が可能になります。

ZeroLogonはどのようにWindows Serverを悪用するのか?

シグネチャレス検知は、事前に定義されたシグネチャに頼らず、挙動に基づいて脅威を特定できる点で重要である。

ZeroLogonエクスプロイトを検出した後、どのような手順を踏むべきか?

検出後、影響を受けたシステムを隔離し、パッチを適用し、パスワードを変更し、さらなる悪用を防ぐために徹底的な調査を行う。