脅威インテリジェンス・モデルをサイバー調査に適用する方法

2023年4月13日
Renaud Leroy
MXDRセキュリティアナリスト
脅威インテリジェンス・モデルをサイバー調査に適用する方法

アナリストが侵入を検知するとき、最も重要な要素は侵入のコンテキストを分析することである。これは、攻撃者の戦術、技術、手順(TTP)を特定することによって行います。脅威インテリジェンス・モデル(キル・チェーンおよびダイアモンド・モデル)は、侵入の分析を迅速化します:

  • 攻撃者 (複数) の活動方法
  • 攻撃が侵入のどの段階にあるか
  • 攻撃から次に何が予想されるか

Attack Signal Intelligence™を搭載した、Vectra AI主導の脅威検知とレスポンスプラットフォームが提供する追加的な洞察により、以下のように、侵入時にコンテキスト化された検知を見ることができます。

情報に基づいた意思決定のためのリアルタイム侵入分析

Vectra AI主導の脅威検知とレスポンスプラットフォームがどのように侵入分析をリアルタイムで可能にし、文脈に応じた自動レスポンスで情報に基づいた意思決定を行えるのか、詳しく見ていきましょう。

相関性のある検知は、侵入にコンテキストの象限スコアを与える

相関する複数の検知がアラートをトリガーし、被害ホストはVectraのHIGHクワドラントスコアに入った。

Vectraのクワドラントスコアリングは、攻撃者が使用するテクニックの数と攻撃自体の進行状況に基づいて、攻撃の緊急度に優先順位を付けます。ハイ・クワドラントとクリティカル・クワドラントにあるホストとアカウントは、緊急性が高く、直ちに注意を払う必要があると考えられます。

この高いクワドラントスコアは、顧客のEDRからのエンドポイントアラートによって確認された。この重要なインテリジェンスを武器に、Vectra MDRアナリストは調査を続行しました。

トリガー検知とVectra 脅威インテリジェンスMatch

この検知をきっかけにさらに分析が進められ、ホストがDNSアクティビティを生成しているか、悪意のある外部IPまたはドメインに関連する直接接続を行っていることが判明しました。このケースでは、ドメインrotation.craigconnors[.]com (以下、「rotation」と呼ぶ) がポート8080に直接接続されており、悪意のあるものと考えられます。データが交換されます (数KBの送受信)。攻撃フェーズはC&Cに関連しており、外部敵対者のインフラ通信を示す。
参照:

データ交換 (数KBの送受信)。攻撃フェーズはC&Cに関連しており、外部敵対者のインフラ通信を示す。


脅威グループの活動を理解し詳細に説明することで、Vectra MDRは、フィンガープリンティングなのか?それは wscript を介して行われたのか?キルチェーンにおける攻撃者の目標は何か?

Vectra
‍ MDRは脅威の行動を明確にし、文脈を与えてくれる。

特権の異常:異常なサービス - Insider

別の検知は、特権スコアが低いアカウントが、特権スコアが大幅に高いサービスにアクセスするために、同じく特権スコアが低いホストから使用されたときにトリガーされた。カーテンの反対側では、この感染したホストはKerberoasting攻撃を行っており、TGSチケットを要求することでHTTPサービスをトリガーすることで、特権の異常を検知しました。

特権の異常:異常なサービス - Insider

特権スコアとそのリスクとは?

この検知の脅威スコアは、3つのKerberosエンティティ(アカウント、ホスト、サービス)の特権スコア( 「AI検知のケーススタディ」セクションの「特権」と呼ぶものの詳細については、このリンクを参照 )によって駆動される:ネットワークにおける特権クレデンシャルの濫用とクラウド ")の3つのKerberosエンティティ(アカウント、ホスト、サービス)によって決定されます。脅威スコアは、高い特権を持つサービスが低い、または中程度の特権を持つホストやアカウントからアクセスされた場合など、特権スコアの不一致の度合いによって決定されます。

特典スコアとは

この検知は、攻撃者の横移動フェーズの試みの一部である。特権アカウント、ホスト、サービスを含むネットワーク内の横移動は、組織をデータ取得と流出の重大なリスクにさらす。
‍ この検知は、攻撃者の横移動フェーズの試みの一部である。

調査-メタデータとピボット

メタデータを保存することは、あなたの環境で観察された不審な行動を、リアルタイムでもレトロスペクティブでも検索できるからだ。

侵入の可能性を第三者から通知されるのは常に嫌なものだ。しかし、侵入が現実のものとなり、監視やデータ収集の能力にギャップがあることに気づけば、もっと最悪だ。

充実したメタデータを保存したAI主導の脅威検知とレスポンスプラットフォームのおかげで、調査やインシデント対応に進むことができ、アクティビティやトリガーされた検知を分類してイベントのタイムラインを作成することができます。

以下は、悪意のある活動を再構築し、コメントや仮説を立てるために私たちが検索できたいくつかの「バケツ」である。

* 注意:IOCは文脈を持つ指標である:IPはIOCではない。C2または敵のインフラを示すIP(例えば、侵害されたWordPress、敵のダウンローダーを提供するIPはIOCである)。
** ダウングレード暗号攻撃が観測され、調査された。
Vectra***
↪Cf_200D

侵入分析-活動グループ

そして、いくつかの活動を評価し、その活動方法についてグループ分けをする。

ここでは、いくつかの関連した活動の「手口」について説明する。このためにキルチェーンモデルを使用し、侵入のフェーズを記述し、サイバー侵入活動の特定 (そして防止) のために敵の指標をマッピングする。

「キルチェーンに沿ったいくつかのサイバー攻撃活動の「手口


次のパートでは、上記の緑色のキル・チェーンにさらに焦点を当てます。上の画像に示されているように、現代の侵入ではいくつかのアクティビティ・グループを識別することができます。その中には、私たちが調査している実際の侵入とは無関係なものもあります(ここでは、他のサイ バー犯罪の能力とリンクしている「アクティビティ・グループ1」)。また、他のグループに依存しているものもあります。


もし攻撃が止められなかったら?

もし緑の「活動グループ2」を止めなかったらどうなっていただろうか?赤の「活動グループ3」は活動を続けることができたでしょう。例えば、"Activity Group 3 "は "Activity Group 2 "の以前のアクセスを利用して、独自のマルウェアやペイロードをロードしています(Cobalt Strike 、マルウェア、そしてランサムウェアの展開をお読みください)。

これは、「アクティビティ・グループ2」がペイ・パー・インストール、またはイニシャル・アクセス・ブローカーの有料サービスを提供していることを示す、ビジネス依存の可能性がある。

ダイヤモンドモデル

インテリジェンスの世界から来たダイヤモンド・ モデルは、悪意のある活動「だけでなく、活動と敵対者の両方を発見、開発、追跡、グループ化し、最終的に対抗するために使用される中核的な分析概念」にも使用できます。このモデルは、以下に説明する侵入の各イベントレベル (すなわち、左側のKCフェーズ) で適用することができます。

ダイアモンド・モデルは、以下に説明する侵入の各イベント・レベル (すなわち、左側のKCフェーズ) で適用することができる。


これは、すべての悪意ある事象に存在する4つの中核的な特徴を記述したものである:「敵対者が、被害者に対してインフラストラクチャー上の能力を使用することによって、意図したゴールに向かって一歩を踏み出し、結果をもたらすこと。


なぜこうしなかったのか? MITRE ATT&CK を使わなかったのか?使った。

アナリストとして、MITRE ATT&CKがカウントしている能力/トラデクラフトや攻撃手法だけでなく、ダイヤモンドモデルの4つの頂点 (敵、能力、インフラ、被害者) を包括するモデルを使用し、TTPやマルウェア (複数可) だけでは定義できない「脅威」を表現しました。

最後に、このモデル表現で観察された活動グループそのものをマッピングすることができる。

MITRE ATT&CK 、能力/トラデクラフトと攻撃手法だけでなく、攻撃手法も包含するモデルを使用した。
ここで取り上げたIOCと攻撃手法は縮小可能であり、純粋に架空の例として取り上げている。目的は、どの活動グループの包括的なレビューを提供することではなく、プロセスと使用法の詳細を提供することである。

赤字の項目は、私たちがこの活動グループの "最も "信頼できると考える特徴である。つまり、これらのうち1つでも変化していれば、活動グループは違うということです。

ここでは、この活動グループの核となる構成要素を定義しようとする:例えば、JavaScriptを難読化する方法、観察された攻撃方法論、ロシアのホスティング使用環境はすべて、この活動グループを追跡する共通のポイントになり得ます。

結論

AI主導の検知と優先順位付けを、調査のためにエンリッチされたメタデータを使用した人間の分析と組み合わせることで、組織内の脅威を特定し、それに対抗することができます。AI主導 ツール、人間の洞察力、メタデータのこの組み合わせは、一貫性のある反復可能なプロセスにおいて、必要な専門知識、コンテキスト、明快さを提供します。このプロセスは、脅威インテリジェンスを侵入分析に適用する際に最も重要です。このプロセスにより、アナリストは時間をかけて同じ言語で脅威を包含し、説明することができ、観察されるものを明確にすることで、脅威インテリジェンスを簡素化し、強化することができます。このようにモデル化された脅威から得られるハントおよび防御行動は、脅威のライフサイクルにおいて、情報に基づいた迅速な意思決定を可能にすることで、すべての顧客にとって有益なものとなるでしょう。

よくあるご質問(FAQ)