Vectraは 、サイバー攻撃を検出して阻止することでビジネスを保護します。
ネットワーク検知とレスポンス (NDR) のリーダーとして、Vectra® AI はお客様のデータ、システム、インフラを保護します。Vectra AIにより、SOCチームは攻撃者が行動する前に、攻撃者を迅速に発見し対応することができます。
Vectra オンプレミス、クラウドを問わず、拡張ネットワーク上の不審な行動やアクティビティをAIが迅速に特定します。Vectra 、それを見つけてフラグを立て、セキュリティ担当者に警告を発し、即座に対応できるようにします。
Vectra AIは考えるセキュリティ®です。人工知能を活用し、時間の経過とともに検知率やレスポンス を向上させ、誤検知を排除することで、真の脅威に集中することができます。
Vectra AI の検知モデルは、IoC、シグネチャ、その他のモデルのアップデートに依存することなく、オンプレミスからクラウドに至る攻撃の進行にわたってリアルタイムの早期警告と継続的な可視性を提供する。
ハイライト
- 複数のコミュニケーション・チャネル、フェーズ、およびツールを使用し、双方向のハンズオン・キーボード・コントロールを確立した。各フェーズは、IDSツールのシグネチャ、EDR、手作業による脅威ハンティング、さらにはMLベースの検知に対する一般的なアプローチを打ち負かすテクニックを用いて、検知の可能性を最小限に抑えるように設計されていた。
- この攻撃で使用されたDGAは異なっており、被害者ごとに、ローカル属性と被害者ホスト名のエンコーディングから計算されたグローバルに一意なIDを持つ、単一の一意なサブドメインが生成された。
- VectraのAIは回避戦術を見抜き、トンネルがアクティブになるとすぐに検知 。
- Vectraは、ホストとアイデンティティの両方を理解し、キルチェーンの早い段階で攻撃者を追跡して阻止する学習型振る舞い モデルにより、ハイブリッド、オンプレミス、クラウド接続のネットワーク全体を独自に保護する。
【英語版レポート】
概要
現在SunburstまたはSolorigateとして知られているSolarWinds Orionのハッキングは、AIを活用したネットワーク検知とレスポンス (NDR)の必要性を明確に示している。予防的なセキュリティとエンドポイント制御は、その水準を高めてはいるものの不十分であり、レガシーのシグネチャベースの侵入検知システム(IDS)は、侵害の指標(IoC)がまだ存在しない新しい攻撃を検知する際には効果がないことが再び証明された。
SolarWindsの攻撃者は、ネットワーク・サンドボックス、エンドポイント、多要素認証(MFA)を含む予防的コントロールを回避するために、多大な努力と技術を費やしてきた:
- サンドボックスやその他のmalware 分析環境にないことを確認するための広範なチェック。
- 一般的なエンドポイント制御を回避するためのコード署名と正当なプロセスの使用
- Command and Control (C2)ビーコン配布におけるファイルベース解析を回避する新しいインメモリ・ドロッパー
- 盗まれたSAML(Security Assertion Markup Language)セッション署名キーを使用したMFAバイパス。
エンドポイント制御をきれいにバイパスするために必要なスキルと集中力のレベルは、エンドポイント検出とレスポンス (EDR)の最近の進歩の賜物です。しかし、これは同時に、決意の固い洗練された敵は、常に防御とエンドポイント制御をバイパスすることができるということを思い起こさせるものでもあります。
ネットワーク検知とレスポンス(ここで、ネットワークとはエンドポイント以外のすべてのものを指す)を活用することは、このクラスの攻撃に対する防御においてより良いアプローチである。Vectra AI検知モデルは、IoC、シグネチャ、その他のモデルのアップデートに依存することなく、オンプレミスからクラウドまでの攻撃の進行にわたってリアルタイムの早期警告と継続的な可視性を提供する。これらすべてが、Sunburst/ Solorigate/SolarWinds のような攻撃を特定し、被害が発生する前に阻止するために機能します。
オンプレミスからクラウドへの攻撃進行のマッピング
Orionコードの侵害の目的は、攻撃者からデータセンター内の信頼できる特権的なインフラコンポーネント(SolarWinds)へ、信頼できるステルスC2チャネルを確立することでした。
複数のコミュニケーション・チャネル、フェーズ、およびツールを使用し、双方向のハンズオン・キーボード・コントロールを確立した。各フェーズは、IDSツールのシグネチャ、EDR、手作業による脅威ハンティング、さらにはMLベースの検知に対する一般的なアプローチを打ち負かすテクニックを用いて、検知の可能性を最小限に抑えるように設計されていた。
以下では、最初のバックドアからクラウド環境への永続的なアクセスの確立まで、攻撃の主要な目的であったと思われるMicrosoft Office 365/電子メールに特に焦点を当てて、攻撃の進行を概説する。
IoCやシグネチャに依存しないVectra AIカバレッジは、最初のC2チャネルが確立されるとすぐに開始されます。SolarWindsサーバーで直接観測された動作の組み合わせにより、横方向の動きが発生する前から「クリティカル」として優先順位が付けられ、早期の封じ込めが可能になりました。攻撃が進行した場合、追加の検出により、攻撃がクラウドとOffice 365にピボットしても、後続の各フェーズを完全に可視化できます。
ステルスC2チャンネルの確立
C2チャネルは、シグネチャを回避するために注意深く設計されているだけでなく、単純でありながら一般的なMLアプローチでもある。Vectra'sのC2モデルは、より洗練されたAIのアプローチを使用し、回避戦術を見破り、検知 。
DGAらしくないドメイン生成アルゴリズム
バックドアが起動するとすぐに、攻撃者の主要なC2インフラストラクチャをリダイレクトするためにDGAが使用される。バックドアが接触するドメインは動的に生成されますが、このDGAは他のものとは異なります。DGAは通常、ボットネットが脅威情報フィードやブロックリストの先を行くために使用します。被害者システムは、現在アクティブなC2ドメインを最終的に解決するまで、アルゴリズムによって生成された多くのランダムなドメイン(そのほとんどがNXDOMAIN応答を返す)を循環させる。
しかし、この攻撃で使用されたDGAは異なっていた。各被害者に対して、単一のユニークなサブドメインが生成され、ローカル属性と被害者のホスト名のエンコーディングから計算されたグローバルにユニークなIDが侵害された。バックドアはこの単一ドメインに対してランダムな間隔でビーコンを発信した。ドメインは毎回正常に解決された。被害者はCNAME(レスポンス )を受信するまでDNSビーコンを続け、これが攻撃の次のフェーズに移行するシグナルとなり、プライマリC2ドメイン接続を提供した。
DNSビーコンは、セキュリティ・ソリューションによって検知 、ほぼ不可能なように設計されている:
- 使用されているドメインは何年も前のもので、最初に使用される約2ヶ月前にマイクロソフトのIPスペースに移され、レピュテーションやドメインエイジングのアプローチを破っていた。
- NXDOMAINは返されず、一般的なDGA検出のための一次信号が取り除かれた。
- アルゴリズムによって生成されたドメインは、深いサブドメインであった(例:3mu76044hgf7shjf.appsync-api.us-est-2.avsvmcloud.com)。多くの正規サービスはこのレベルでランダム化を使用しているため、ランダム化で検出することは非常にノイズが多く、実用的ではない。
- これは、より多くの情報をエンコードするために使用されるであろうさまざまなサブドメインを探すDNSトンネル検知器を回避する。
攻撃者が使用する手法にもかかわらず、攻撃のこのフェーズは、Vectra Threat Intelligenceと既知のIoCに基づくカスタムモデルによって正確に検出されます。
HTTPSへの切り替え
C2チャネルがアクティブになると、バイナリはDNSビーコンのCNAMEレスポンス で示されるドメインへのHTTPSトンネルを確立する。HTTPS トンネルは DNS トンネルよりも高い双方向性、より効率的なデータ転送を提供し、検知 が困難である。
VectraのAI検知モデルは、HTTPSトンネルが確立されるとすぐにギアを上げる。
初期の HTTPS フェーズでは、最大ビーコン・レートが遅く(1 分、つまり双方向性が低い)、機能が制限された完全カスタム・トンネルを使用している。これは主に2つの目的で使用されているようだ:
(1) 管理者アカウントなど、侵害されたSolarWindsサーバーに関する追加情報を収集する。
(2) TEARDROPドロッパーをダウンロードし、ツールのシグネチャを回避するようにカスタマイズされたCobalt Strike HTTPSトンネルをインストールする。
Cobalt Strike HTTPSトンネルが確立された後、攻撃進行のアクティブなハンド・オン・キーボード・フェーズでは、代わりにこれが活用された。
どちらのHTTPSトンネルも、比較的標準的な方法で通信を行い、定期的に暗号化されたビーコンを介してコマンドと結果を転送する。このツールに革新性はほとんどない。
しかし、DNSビーコンと同様に、ドメインは検出の確率を最小化するために選択された:ドメインはすべて、十分に味付けされ/熟成され、Amazon AWSのIPスペースでホストされていた。この単純な戦術は、驚くことに、パッシブDNSとレピュテーション・システムだけでなく、ほとんどのMLベースの検知システムも回避する。なぜか?ほとんどのML検知は、環境内のビーコンを見つけることから始まるが、ネットワーク内の膨大な数の正当なビーコンのために、これらのモデルは、警告するビーコンと無視するビーコンを選択する方法を必要としている。
この問題に対処する単純な方法は、数週間未満のドメインを使用するビーコンにのみアラートを出すことであり、事実上、少しでも古いドメインにはパスを与えることである。また、特にモバイル・デバイスからのCSP IPレンジの一部をホワイトリストに登録することも一般的である。このアプローチはほとんどのレッド・チームには有効だが、今回のケースで明らかになったように、事前に攻撃を計画した巧妙な敵対者を防御することはできない。
Vectra は、トンネル検出の基盤としてビーコン検出器を使用している。しかし、VectraのHidden HTTP/Sトンネルモデルは、上記のようなアプローチではなく、時系列トラフィックのメタデータに適用される高度なLSTMリカレント・ニューラル・ネットワークを使用し、株価ティッカーのようなものを無視しながら、ビーコン経由のC2インタラクションを識別します。その結果、VectraのAIは、ここで適用された回避戦術を見破り、トンネルがアクティブになるとすぐに検知 。
VectraのAIはここで適用される回避戦術を見抜き、トンネルがアクティブになるとすぐに検知 。
攻撃の進展アイデンティティとクラウド・ピボット
C2チャンネルが正常に確立されると、攻撃を前進させるためのハンズオン・キーボード・コントロールを提供するために使用される。人間的な要素があるため、詳細は環境によって異なる。しかし、Cozy Bear の TTP 全般と SolarWinds 攻撃の両方に関する調査で概説された共通の進行があります。
ドメイン管理者への横移動
信頼されたインフラストラクチャ(SolarWinds)を制御する攻撃者は、SolarWindsのサービスアカウントや、場合によっては管理者アカウントを含むさまざまな特権アカウントにアクセスできるため、完全なドメイン管理者権限への近道を提供します。
難読化されたADfindのバージョンは、攻撃ツールの一部として一般的に報告されており、ドメイン管理者アカウントの識別を含むドメイン列挙に使用されている。Vectra 、Suspicious LDAP Query 検出モデルでドメイン列挙をカバーしている。
グループ関係とドメイン管理者アカウントの理解があれば、次の論理的なステップ は、RPCを使ってドメイン管理者へのパスをマップすることである。Vectra はRPC Recon モデルでこれを検出する。
パスがマップされると、横方向の移動が始まります。調査によると、SolarWindsサーバーで発見されたアカウントでWindows Management Instrumentation(WMI)経由で起動されたタスクスケジューラーが、最も一般的に使用される手口であることが示唆されています。Vectra 、この横の動きに対して2つの方法で検出範囲を提供します:
- 特権アクセス異常:Vectra すべての特権アカウント、サービス、ホストの関係を識別し、マッピングする。コマンドの実行を含め、特権アカウントやサービスを通常とは異なる方法で使用しようとする試みは、検知のトリガーとなる。Vectraの特権アクセス解析の詳細については、zero trust と特権アクセスに関するソリューション概要をご覧ください。
- 疑わしいリモート実行:このモデルは、[src, dst, account, UUID]タプルの学習により、DCE/RPC、WMI、DCOMを介したリモート・コード実行に関連するRPC UUIDに特化したゼロ・インを行います。モデルの学習範囲外のリモート・コードの実行は、検知のトリガーとなる。
SAMLゴールデンチケットとフェデレーション・トラストの変更
ドメイン管理者アカウントを手に入れた攻撃者は、クラウド環境にまでその存在を拡大する機会を狙っていました。Azure ADやその他のフェデレーテッドIDプロバイダではMFAが普及しているため、攻撃者は代わりにSAML署名証明書をターゲットにして盗み、MFAをバイパスするために使用される新しいSAMLトークンを偽造した。SAML 署名証明書は、Active Directory Federation Services(ADFS)サーバーなどのメモリ上で利用可能です。ADFS サーバに移動するテクニックは、ドメイン管理者に移動するテクニックと同じであるが、今はより強力なア カウントを使用する。
Vectra ADFS/SAMLサーバーへの移行の対象範囲は、以前の段階と同じで、特に特権アクセス異常と 不審なリモート実行である。
その後、SAML 署名証明書を使用して SAML トークンを偽造し、Azure AD へのグローバル管理者アクセスを可能にします。VectraAzure ADのSuspicious Sign-Onは 、このアクセスを検出し、IP、ジオロケーション、サインオン方法、ホストなど、サインオンの複数の側面を分析し、異常なアクセスを特定します。
グローバル管理者アクセスが達成されると、敵対者はドメインの Federated Trust コンフィギュレーションを変更することで永続的なアクセスを獲得する。これは、攻撃者が管理する新しい信頼されたドメインを追加するか、新しい証明書を作成して署名するための新しい信頼された認証局(CA)を追加することで実現できる。これらの変更により、攻撃者は、上記の ADFS にアクセスする必要なく、継続的に新しい SAML トークンを発行できるようになります。Vectra は、Suspicious Azure AD Operation 検出モデルを使用して、Federated Trust 構成およびその他の Azure AD 構成への異常な変更を検出します。
Office 365の電子メールとデータへの永続的なアクセス
Office 365は豊富なデータを保持しており、COVID-19パンデミック時のリモートワークをサポートするためのコラボレーションとドキュメント共有の増加により、2020年にはさらに推進される。少なくとも米国連邦政府の特定のターゲットに対しては、継続的な電子メールへのアクセスを得ることが攻撃者の重要な目的であったようだ。発見されたテクニックのひとつは、電子メールの読み取り/書き込みアクセスが可能なOAuthアプリケーション(電子メールアーカイビングアプリケーションなど)の認証情報および/またはX509キーの変更でした。これらの変更により、APIコールを介して継続的にすべての電子メール通信に簡単にアクセスできるようになり、発見される可能性は非常に低くなりました。
VectraAzure ADの冗長アクセス作成は 、OAuthアプリのパーミッションにこのような変更があった場合にトリガーされます。
管理者レベルのOffice 365アクセスでは、電子メールと他のOffice 365データの両方へのアクセスを維持するために、他のさまざまなテクニックを使用することもできます。これらには以下が含まれる:
- 電子メール、Teams、OneDrive、SharePoint など、Office 365 のすべてのチャネルで特定の情報を検索する eDiscovery 検索と Compliance 検索を設定します。これらのアプリケーションは、Vectraの疑わしい eDiscovery 検索 および疑わしい Compliance 検索の 検出モデルの対象となります。
- Power Automateフローを作成することで、HTTP経由、または攻撃者が管理するGoogle DriveやBoxアカウントなどの外部宛先にデータを自動的に流出させることができます。Vectra疑わしいPower Automateの 検出は、このベクトルに対処します。
- メール転送やトランスポート・ルールなど、あまりステルス性の高くない手法も選択肢の一つです。これらもVectra 検出モデル(Suspicious Email Forwarding およびSuspicious Transport Rule)でカバーされています。
NDRの価値
ソーラーウインズのハッキングは、予防的セキュリティを回避した侵害やデータ保護のために検知 、NDRソリューションの有用性と必要性を示している。巧妙化する脅威に対抗するためには、ネットワークベースの技術が不可欠です。
Vectraは、ホストとアイデンティティの両方を理解し、キルチェーンの早い段階で攻撃者を追跡して阻止する学習型振る舞い モデルにより、ハイブリッド、オンプレミス、クラウド接続のネットワーク全体を独自に保護する。
【英語版レポート】
このようなサイバー攻撃の検出と対応へのアプローチを変更する準備ができており、Vectra Cognito Platformが攻撃者のツールやエクスプロイトをどのように見つけることができるかを詳しくお知りになりたい場合は、Vectra 、今すぐデモをご予約ください。
世界中の専門家や企業から信頼されています
