指揮統制
主な洞察
- パロアルトネットワークスの調査によると、検出されたmalware 90%以上が、何らかのC2通信を利用して攻撃者に報告していた。
- ベライゾンのデータ侵害調査報告書によると、侵害の70%近くが何らかの形でC2活動に関与しており、サイバー攻撃におけるC2活動の役割が浮き彫りになっている。
Command and Control (C2)通信は、攻撃者が侵害されたシステムの制御を維持し、悪意のある活動の実行やデータの流出を指示するために極めて重要です。これらの通信は、攻撃のライフサイクルにおける重要な段階であり、被害者の環境への持続的かつステルス的なアクセスを可能にします。このガイドでは、脅威を軽減し、組織の資産を保護するために、C2 通信を特定し、遮断することの重要性を強調します。
攻撃者がコマンド&コントロールチャンネルをどのように悪用するかを理解する
ネットワークベースの攻撃では、攻撃者はコマンド&コントロールチャネル (C&C) を悪用してアクションを実行します。ホストマシンに悪意のあるソフトウェアを導入することで、攻撃者は外部サーバーとの接続を確立します。驚くべきことに、感染したホストマシンが実行するアクションを決定するのは外部サーバーから受信した指示であり、それによって攻撃者は攻撃を進めることができるのです。
Cobalt StrikeやMetasploitのようなコマンド&コントロールツールは、攻撃者によって一般的に使用されています。これらのツールはチャネルの暗号化をサポートし、検知を回避するためにドメインフロンティングやセッションジッターのようなテクニックを使っています。
暗号化に関係なくコマンド&コントロールを検知する
Vectra AI は、コマンド&コントロール・チャネルを検出するために異なるアプローチを採用しています。暗号化や回避技術に関係なく、Vectraのセキュリティ主導のアプローチは確実に検出します。Vectraのセキュリティ研究チームは、数学主導のアプローチに頼るのではなく、行動パターンに着目しています。
コマンド&コントロールチャンネルの振る舞いを調査したところ、最も明確な指標は時間経過に伴うネットワークトラフィックの形状にあることを突き止めました。この時系列データを分析することで、Vectraのデータサイエンティストはディープラーニングモデル、特に異なる時間スケールの事象を理解することに優れたLSTM (長期短期記憶) を採用しました。これにより、使用されている特定のツールに関係なく、コマンド&コントロールの対話の性質を効果的に特定することができます。
通常のトラフィックとは
外部システムからの良性トラフィックの代表例を想定してみましょう。
上の例では、ホストマシンが外部サーバーに定期的にシグナルを送信しています。ビーコンとして知られるこれらのシグナルは、システムの接続を維持し、効果的に通信するために、さまざまなサービスで一般的に使用されています。
しかし、ビーコンは悪意のある目的に悪用されることもあります。ストックティッカーやチャットアプリなど、ビーコンを合法的に使用する場合と、悪意のあるコマンド&コントロールチャネルに使用する場合の微妙な違いを理解することが重要です。
不審なトラフィックとはどのようなものか?
コンセプトをよりよく理解するために、悪意のある暗号化トンネルの具体的なケースをご紹介します。
上のグラフに明確なパターンがあるのがわかるでしょうか?これらのスパイクは、攻撃者のコマンドが送信され、システムのレスポンスが感染しているのがわかります。「受信バイト」の最初のスパイクは、プロンプトなしで発生し、すぐに感染したマシンの反応が続きます。
これらのパターンを分析することで、Vectraのデータサイエンティストはこの振る舞いを認識する効果的な方法を発見しました。コマンド&コントロールチャンネルの振る舞いを表す時系列データは、音声認識や自然言語処理で使用されるデータと共通点があります。この類似性により、チームは識別にディープラーニングモデルを採用することになりました。
Vectraは、LSTM (長期短期記憶) として知られる強力なタイプのニューラルネットワークを利用し、攻撃の振る舞いを検知。この特殊なアーキテクチャは、複数の時間枠にまたがるイベントの分析に長けており、コマンド&コントロールの会話データを包括的に理解することができます。LSTMは、実際のサンプルやアルゴリズムによって生成されたさまざまなサンプルで学習され、さまざまなシナリオ、ツール、構成、環境をキャプチャします。その結果、このモデルは、採用されているツールに関係なく、制御チャネルを示す包括的なパターンを識別することができます。
この分析で使用されたアルゴリズムアプローチは、Vectraがネットワークセッションデータをフォーマットする方法によって可能になりました。 VectraはZeek のようなメタデータを提供できますが、そのカスタムパーサーは、ネットワーク通信の 1 秒未満の間隔の解析を提供することで、標準のZeek機能を超えています。 この詳細レベルにより、無害な通信と悪意のある通信の両方を明確に可視化できるため、私たちのデータサイエンスチームは幅広い問題に対して最も効果的なアルゴリズムを利用できるようになります。
独自のメタデータと洗練されたアルゴリズムの組み合わせにより、Vectraは攻撃者を効果的に特定することができます。表面レベルのシグナルだけでなく、通信データそのものに注目することで、このアプローチは攻撃者ツールの変化や暗号化されたトラフィックに対しても回復力を維持します。さらに、明確な振る舞いシグナルにより、重要な情報やステルス的な攻撃者の行動を不注意にフィルタリングする可能性のある抑制フィルタの必要性がなくなります。
Command and Control 通信はサイバー攻撃の要であり、プロアクティブな検知と妨害戦略が必要です。Vectra AIは、セキュリティチームがリアルタイムでC2脅威を検知、調査、無力化するための高度なソリューションを提供します。高度なサイバー攻撃に対する防御を強化し、重要な資産を保護するために、今すぐお問い合わせください。
サイバーセキュリティの基礎知識
よくあるご質問(FAQ)
Command and Control (C2)通信とは何か?
C2通信とは、攻撃者が標的ネットワーク内の侵害されたシステムとの通信を維持するために使用する方法です。これらのチャネルにより、攻撃者はコマンドを発行し、データを盗み、追加のmalware展開することができます。
C2通信はどのように機能するのか?
C2 通信は通常、攻撃者のサーバーと侵害されたシステムとの間にリモート接続を確立することで動作します。これは、HTTP、HTTPS、DNS、またはカスタムプロトコルなど、さまざまなプロトコルを使用して実現できます。
C2通信の検知はなぜ難しいのか?
C2通信の検知は、そのステルス性、暗号化の使用、正当なネットワーク・トラフィックの模倣などのために困難であり、従来の検知方法を回避するのに役立っている。
C2活動の一般的な指標とは?
一般的な指標としては、異常なアウトバウンド・ネットワーク・トラフィック、同じIPアドレスやドメインへの繰り返し接続、不規則なデータ・フロー、既知の悪意のあるIPアドレスやドメインなどがある。
組織はいかにしてC2コミュニケーションを検知 し、破壊するか?
組織は、異常や既知の C2 パターンを検知 するために、エンドポイント検知・対応(EDR)、ネットワーク・トラフィック分析(NTA または NDR)、侵入検知システム(IDS)、脅威インテリジェンス・フィードを組み合わせて使用することができます。
C2通信の特定において脅威インテリジェンスが果たす役割とは?
脅威インテリジェンスは、C2通信に関連する既知の悪意のあるIPアドレス、ドメイン、シグネチャに関する情報を提供し、セキュリティチームがこれらの脅威をより効果的に特定してブロックできるようにします。
攻撃者はどのようにしてC2通信を隠すのか?
攻撃者は、ドメイン生成アルゴリズム(DGA)、高速フラックス・ネットワーク、暗号化などのテクニックを使ってC2通信を隠蔽し、通常のネットワーク活動の中にトラフィックを隠します。
サンドボックスはC2通信の特定に役立つか?
はい、サンドボックスは、リモート接続の確立の試みなど、その挙動を観察するために、疑わしいファイルやURLを制御された環境に隔離することで、C2通信を特定するのに役立ちます。
チェックされていないC2通信の結果とは?
チェックされていないC2コミュニケーションは、データ漏洩、経済的損失、業務の中断、ネットワークインフラの長期的な危険につながる可能性がある。
C2コミュニケーションにおけるインシデントレスポンスの重要性
インシデントレスポンスは、C2通信の被害を食い止め、軽減するために極めて重要です。迅速な対応により、データの流出、malware 拡散、システムのさらなる侵害を防ぐことができます。