Vectra ネットワーク・メタデータを使った攻撃者ツールとエクスプロイトの発見

2020年3月26日
Stephen Malone
シニア・プロダクト・マネージャー
Vectra ネットワーク・メタデータを使った攻撃者ツールとエクスプロイトの発見

攻撃ツールや攻撃手法は時間の経過とともに変化しますが、攻撃行動はネットワーク内の攻撃者を示す安定した指標であり続けます。攻撃振る舞い を忠実度の高いシグナルとして使用することで、攻撃を阻止したり、さらなる被害を防止したりするための対策を迅速に講じることができます。

ネットワーク・メタデータを使用して、特定の攻撃ツール、エクスプロイト、またはテクニックをターゲットとする検知を作成できます。これらの検知は、低レベルの攻撃者の活動を早期に示すために使用したり、攻撃者が使用するツールやエクスプロイトにラベル付けして振る舞い検知のために使用したりできます。

Vectra は、これらの安定した攻撃者の行動に焦点を当てることで、ネットワーク内の攻撃者を明らかにするためのクラス最高のAIおよびMLモデルを提供します。また、Zeek 形式のネットワークメタデータを提供し、Vectra Recall製品で利用したり、Vectra Stream製品でセキュリティ情報イベント管理 (SIEM) に直接送信したりすることができます。当社のネットワーク・メタデータを使用して、組み込みのAIおよびMLベースの振る舞い検知を補完し、攻撃者のツールやエクスプロイトを発見することができます。

攻撃者のツールとエクスプロイトを見つけるための構成要素

Vectra ネットワーク・メタデータとさまざまなテクニックを組み合わせることで、ネットワーク内の攻撃者ツールやエクスプロイトを特定することができます。これらのテクニックは、個別に使用することも、ツールやエクスプロイトのクラスに対する一般的なマッチングを作成するために併用することも、特定のツールやエクスプロイトに対する非常に特化したマッチングを作成することもできます。

攻撃者のツールやエクスプロイトを見つけるための基本的なネットワーク・メタデータの構成要素には、次のようなものがある:

  • DNSドメイン

DNSドメインは既知の悪質ドメインか?例えば、WannaCryはキルスイッチとしてDNSドメインを使用したが、他にもC2やデータ流出にDNSを使用しているものがある。

  • 証明書発行者

証明書発行者は期待された信頼できるルートか?格安または無料の証明書発行者は、中間者攻撃(MITM)を使ってトラフィックを傍受し、認証情報を盗むドメイン・スクワッティングで頻繁に使用されている。

  • 送信元IPと宛先IP

送信元または宛先のサブネットが悪質または疑わしいことが知られているか?IPアドレスは、ネットワーク内の異常または疑わしいトラフィックを識別するために使用することができます。

  • ユーザーエージェント

ユーザーエージェントは、このネットワークまたはサブネット内で予想されるものですか?ユーザーエージェントは、使用されているブラウザやフレームワークを記述するために使用され、異常な使用や疑わしい使用を示すことがあります。

  • JA3/JA3Sハッシュ

クライアントまたはサーバーは既知の悪質なアクターか?JA3 は TLS ハンドシェイクの間に開示されるさまざまな情報を見てクライアント(JA3)とサーバー(JA3S)をフィンガープリントします。(脅威の調査やハンティングで JA3/JA3S ハッシュを使うより多くの方法についてはこのブログをチェックしてください)。

によるキュレーション検索Vectra Recall

最高のツールやビルディング・ブロックを自由に使えたとしても、良い検索を構築するのは難しい!ある検索は範囲が広すぎてノイズになるし、ある検索は範囲を少し狭めたために本当の脅威を見逃してしまうかもしれない。

しかし、Vectraがあなたをサポートします!当社のセキュリティ・リサーチとデータ・サイエンス・チームは、特定のエクスプロイト、ツール、フレームワークをターゲットとした新しい検索に継続的に投資しています。これらの検索は、当社のRecall プラットフォームに公開され、ネットワーク内の低レベルの攻撃振る舞い の発見とラベリングに先手を打つことができます。

最近では、以下のような脅威や脆弱性について、質の高いRecall 検索を作成し、公開しています。

  • Citrix ADC の脆弱性 (CVE-2019-19781)
  • Microsoft 暗号ライブラリに Curveball の脆弱性 (CVE-2020-0601)
  • Pupy Remote Access Trojan、有名なAPTに使用されていることが確認される
  • VPNの脆弱性を狙うAPTが使用するFox Kittenキャンペーン

これらの新機能は、以下のエクスプロイトやツールを使用した脅威を発見し、ラベル付けするのに役立つ既存の検索の広範なライブラリを補完するものです:

  • エターナルブルー
  • Cobalt Strike
  • メタスプロイト
  • カリ・リナックス
  • 帝国
  • その他、多くの悪質な戦術、技術、手順(TTP)が知られている。
Vectra Recall コンソールのスクリーンショット

Vectra Recall カスタムモデルによる検索の自動化

高品質の検索は調査にとって貴重ですが、作成とテストには時間がかかります。Vectra にお任せください。リコール・カスタム・モデルを使えば、ほぼリアルタイムで検知のための検索を自動化することができます。Vectra Recall検索の「カスタム・モデル」検知を有効にするだけで、自動的にマッチングし、マッチングが見つかるとアラートが表示されます。

攻撃ツール、エクスプロイト、またはTTPに対してカスタムモデルを有効にすると、本格的な攻撃になる前に、ネットワーク内の低レベルの攻撃振る舞い を迅速かつ簡単に追跡することができます。また、このようなアクティビティにラベル付けを行うことで、攻撃者のプレイブックを特定し、より迅速かつ効果的なレスポンス 。

攻撃者のツールやエクスプロイトを見つけるためのVectra Recallの使い方を詳しく見るには、デモをご予約ください。

よくあるご質問(FAQ)