サイバーセキュリティアナリストは、トリアージ、分析、相関、優先順位付けが必要なセキュリティイベントに圧倒されています。あなたがアナリストなら、おそらく素晴らしいスキルを持っているにもかかわらず、退屈な手作業に阻まれていることでしょう。
前回のブログでは、既存の管理ツールを使って自分たちの行動を隠しているレッド・チームを検知するためにブルー・チームを支援した製造業のお客様についてお話しました。今回は、新しい脅威ハンティングとディープ・インスペクションの機能についてお話したいと思います。
私は最近、フィッシング攻撃の被害に遭った顧客のセキュリティチームを支援した。私のゴールは、彼らが私の助けなしに最初に検知した事象をより深く調査する手助けをすることでした。私は攻撃者を見つけることに長けていますが、私の目標は、セキュリティアナリストがより迅速で効率的な脅威ハンターやインシデント対応者になれるよう、人間を補強することです。私たちが協力することで、セキュリティはより良くなるのです。
とにかく、添付されたPDFに埋め込まれた Web サイトリンクへのメール認証情報を要求するフィッシングメールを受け取った従業員から始めました。攻撃者はメール認証情報を入手すると、従業員になりすまして 2 通目のフィッシングメールを社内の他のユーザーに送信しました。
2通目のメールには、攻撃者の足場を社内の奥深くに広げることを意図した別の悪意のあるPDFが含まれていた。幸運なことに、2通目のフィッシング・メールは勤勉な従業員によって発見され、すぐにセキュリティチームに報告されました。セキュリティチームはすぐに Recallに調査を依頼しました。
PDF解析とフィッシング領域
エンリッチされたネットワーク・メタデータを検索可能なインデックスに保存することで、セキュリティチームがフィッシング攻撃の被害者であると疑われた後に何が起こったのか、その詳細をさらに掘り下げることができるようになりました。セキュリティチームは、隠されたマルウェアを特定するために、疑わしいPDFの詳細をよりよく理解したいと考えていました。
PDF にはマルウェアは含まれていなかったが、調査の結果、Office 365 がホストするファイルと、従業員が Office 365 の認証情報を入力するよう促されるフィッシングウェブサイトへのリンクが見つかった。
PDFの作者とフィッシング・ドメインは、必要な限り保存しているメタデータで特定した。作者の名前から、セキュリティチームはオープン・ソースの調査を通じて類似の文書を見つけることができた。
また、セキュリティチームが私のインシデント調査機能を使って、元のメールに含まれていたフィッシング・ドメインを見つけ、そのドメインと通信していたホストデバイスを特定できるようにしました。
プライマリー・ホストデバイス
調査を迅速に進めるため、私は収集したメタデータを特定のホストデバイスやアカウントと関連付けました。これにより、セキュリティチームは特定のデータ範囲にわたって特定の名前に基づいて検索できるようになりました。
今回の調査で、セキュリティチームはフィッシング・メールが最初に送信された時間帯を特定した。これが侵害の始まりでした。次に、フィッシング・メールが送信された前後に何が起こったかを正確に確認するために、そのメールに関連するアカウントとホストデバイスのアクティビティを調べました。
LDAPの使用法
プライマリホストデバイスを調査したところ、最初の侵害の直後に2つの異常な期間が確認されました。最初の時間帯は、ネットワーク全体でLDAPトラフィックが急増した時期と一致した。さらに検証を進めると、このスパイクは、すべてではありませんが、いくつかのセカンダリホストデバイスに存在することがわかりました。
プライマリ・ホストに対する最初のLDAPスパイクを掘り下げると、LDAP偵察に関連するトラフィックがさらに多く検知されました。LDAPのスパイクは、脅威が攻撃のライフサイクルを経て、偵察や横移動の行動に進んでいることを示していました。
DCE/RPCの使用
両方のホストデバイスで、侵害時に分散コンピューティング環境/リモート・プロシージャ・コール (DCE/RPC) トラフィックが急増しました。これらのスパイクはいずれも、顧客環境におけるネットワーク全体の増加とは一致しませんでした。
これらの呼び出しは、ホストデバイス上でのコード実行を必要とすることに注意することが重要である。このトラフィックは、ホストデバイスのシステム上で実行されているアプリケーション、オペレーティング・システム、またはスクリプトによって引き起こされる。
プライマリホストデバイスで見られた1つのスパイクを掘り下げてみると、Active Directory(AD)の偵察に典型的なリクエストの種類と数を含む、10分間で10,000回を超える呼び出しが1件ありました。
セカンダリ・ホストデバイス
最初の通信が送信された後、セカンダリー・ホストデバイスがフィッシング・ドメインと通信した。フィッシング・ドメインとの最初の通信の直後にも同様のスパイクが見られた。
ほぼすべての通信が1台のセカンダリーホストデバイスから発信されていた。プライマリーホストで見られた活動と同様に、リクエストの突然の増加とリクエストのタイプは、偵察行動を示唆していた。
結論
観察されたアーティファクトと調査から、私のリコール機能はセキュリティチームにフィッシング・メール攻撃に関する決定的なコンテキストと、迅速な対応方法に関する詳細なガイダンスを与えた。
協力して脅威の範囲を特定し、攻撃がネットワーク内部でさらに深く広がる前に、危険にさらされているホストデバイスを特定しました。