セキュリティ侵害インジケーター (IoC)

IoCとは何か？

侵害の指標とは、基本的に攻撃者が残したパンくず (痕跡) のことで、以下のような幅広いデータポイントが含まれます。

1. URL またはドメイン名: フィッシングサイトまたはコマンド&コントロール サーバーへの接続を示す。
2. IPアドレス：既知の悪意のある発信元との通信を示すものとして注目される。
3. ファイル名：攻撃者による不正な改ざんの可能性がある。
4. ファイル ハッシュ: 特定のマルウェアまたは不正なソフトウェアに固有のもの。

Vectra AIは、これらのIoCの特定と分析を支援し、SOCチームが脅威に迅速に対応し、潜在的な被害を軽減し、組織のセキュリティ体制を強化することを可能にします。

IoCの見つけ方

常にアンテナを張り巡らせ、新たな妥協が発表された場合には、必ずそれに気づくようにすることが重要です。しかし、妥協の新たな指標を耳にしたときに、それに対処できるようにすることも同様に重要です。このセクションでは、一般的な IOC、IOC が示すもの、IOC を気にする理由、IOC をネットワークメタデータから検索する方法について説明します。

ドメインIOC

外部の攻撃者はネットワーク外部からの侵害を管理できる必要があり、ドメインはそのための重要なツールです。最近確認されたSUNBURST SolarWindsエクスプロイトでは、コマンド＆コントロール（C&C）操作が appsync-api.eu-west-1[.]avsvmcloud[.]com のようなドメインを介して実行されていました。また、フィッシング攻撃では、標的の疑惑を避けるために人気サイトを模倣するドメイン名を使用するのが一般的です。例えば、誰かのOutlookアカウントの認証情報を盗もうとするフィッシング攻撃では、疑惑を避けるために outlook.com.enteryourpassword.tk のようなドメインが使用される可能性があります。

ドメインIOC (セキュリティ侵害インジケーター) は、悪意のある行為者によって登録されたドメインであり、このような明確な目的のためにトラフィックが行われているため、侵害の強力なシグナルとなります。ドメインIOCへの通信が確認された場合は、調査が強く推奨されます。

既知の不正ドメイン

既知の不正ドメインのリストは、お手持ちのあらゆるソースから簡単にRecallクエリに変換できます。この変換用のExcelファイルをご用意しました。セキュリティエンジニアから提供されたリストは以下のとおりです。

• バドメイン1[.］
• バドメイン2[.］

まず、このクエリを Lucene クエリに変換します：Resp_domain:(baddomain1.com OR baddomain2.com)

次に、iSession MetadataStream のクエリを実行します。

怪しいドメイン

1. ネットワーク上のユーザーがアクセスする一般的なドメインのリストを作成します。例：facebook、gmail、outlook、社内イントラネット  
2. Vectra Recall iSessionアクティビティでこれらの項目を検索します。例)Resp_domain( corpnet OR facebook OR gmail OR outlook OR office)
3. この検索を保存
4. この検索をソースとして新しい“Data Table” ビジュアライゼーションを作成し、“Term” で行を分割して「resp_domain」で集計します。注: 興味深い用語や珍しい用語を表示する“Significant Terms”で行を分割して、ノイズを減らすこともできます。
5. 検索に一致する、最も頻繁にアクセスされるサイトのリストが表示されます。正規のドメインが最初に表示されます。正規の項目にカーソルを合わせてクリックすると、これらの項目が除外されます。
6. このビジュアライゼーションを保存

このデータテーブルに残っている項目は、さらに調査する価値があります。無害な場合は除外する必要があります。当初は、社内ドメイン名に多くの社内バリエーションが存在する可能性があります。例えば、Vectra AIでは、dev.vectrai.ai や hr.vectra.ai の​​HRアセットなど、Vectra AI社内ドメインが多数あります。これらの誤検知を効果的にトリアージし、適切で実用的なデータを取得する必要があります。

このビジュアライゼーションを数日間手動でチェックした後、残っている結果に満足している場合は、基礎となる検索を保存し、検知 UI の「管理」セクションに移動して、この検索をカスタムモデルに変更します。Custom Models "タブで、新しく保存した検索を見つけ、その編集モーダル内で有効にします。

IPアドレス IOC

どのようなソースからでも、既知の不良IPアドレスのリストを簡単にRecall 変換することができます。これを行うためのエクセルファイルを作成しましたので、セキュリティエンジニアから入手してください。

• 192.0.2.1  
• 192.0.2.2

まず、このクエリを Lucene クエリに変換します：Id.orig_h:( 192.02.1 OR 192.02.2) OR Id.resp_h:( 192.02.1 OR 192.02.2)

次に、このクエリーを iSession MetatadaStream 実行します。

ポートIoC

新しいポートの使い方

ほとんどのソフトウェアは、通信に標準的な外部ポートセットを使用します。ネットワーク上で新しいポートが検出された場合は、環境内に新しいソフトウェアがインストールされた可能性、あるいは場合によっては侵害されたホストからの通信が示唆される可能性があります。Vectra AIは、環境内で新しい外部接続が検知された際に報告する情報レベルの検知機能を提供します。

ストリームを使用してこれらのイベントを集約し、ネットワーク上で新しいソフトウェアが使用されているかどうか、あるいは悪意のあるC2チャネルが設定されているかどうかを監視できます。これらのイベントは主に無害なユーザーアクティビティによって引き起こされますが、組織で承認済みアプリケーションを制限するポリシーがある場合、IT管理チーム以外のシステムから新しいポートが発見された場合、悪意のあるアクティビティ、あるいは少なくともポリシー違反の兆候となる可能性があります。

一般的でないポート使用の急増

ネットワーク活動における非標準ポートの急増は重大な可能性があり、さらなる調査が必要となる場合があります。このポートはマルウェアによって使用されている可能性があるためです。 マルウェア が通信に使用している可能性があるためです。活動量の急増は、さらなる調査を必要とします。

このようなアクティビティを確認するには、時系列ビジュアライゼーションを使用するのが最適です。Vectra Recallには、「指標の追跡：一般的でないポート使用率の急増 - データ」というビジュアライゼーションが既に用意されています。Y軸はカウント用です。

アクティビティの例を以下に示します。最も頻繁に使用されるポートは除外されており、2つのポートで明らかにトラフィックが急増しているのが確認できます。ポート3283はiChatで使用されており、問題がないため除外できますが、ポート40063は新しいため、さらに調査する必要があるかもしれません。また、検索期間中に他には見られなかったトラフィックの急増を示す、独立したドットにも注目してください。

以上に関わるステップ

• 24時間分のiSessionデータで日付ヒストグラムを作成する
• レスポンディングポートごとにデータを別々のシリーズに分割する (id.resp_p)
• 非常に一般的なポート、例えば80/443などをフィルタリング
• Set a minimum threshold of activity to reduce the noise from minor ports by expanding “advanced” and setting {“min_doc_count”:X}, where X would depend on the size of activity on your network, we have set this as 5,000 connections by default.

この視覚化を複製し、組織内で安全であることが分かっているポートで検索クエリを更新することを検討する必要があります。(注：デフォルトのRecall 可視化に変更を加えようとすると、変更は上書きされます。)

同様に、一般的でないポートからのデータ転送の急増も、調べる価値があり、安全であることを確認する必要ががあります。

トラフィックカウントと同じように機能しますが、Y軸は送信されたデータの合計数を表示するように設定する必要があります。“Hunting off Indicators: Spikes in Uncommon Port Usage – data” というビジュアライゼーションを作成しましたので、これを開始点としてご活用ください。

非標準ポート経由のプロトコルのセクションへのリンクも参照ください。

ファイル名 IOC

悪意のあるファイルは、SMBなどのプロトコルを介してネットワーク上に転送され、リモートプロセスやソーシャルエンジニアリングによって標的ホスト上で実行される可能性があります。悪意のある攻撃者が悪用する可能性のある、既知の悪質なファイル拡張子を監視することで、不正な目的でファイルが転送されている事例を見つけることができます。

Vectra Recall SMBファイル・メタデータ・ストリームは、やりとりされた各ファイル名を示し、これらのデータをマイニングして、疑わしいデータを見つけることができます。

ここで 2 つの具体的な例を説明しますが、状況によって結果は異なる場合があります。

• 疑わしいファイル名
• 疑わしい経路

疑わしいファイル名

ユーザーが書き込むファイル名には実際の英語の単語が含まれる傾向がありますが、経験上、ファイル名は侵害の弱い指標となる可能性があります。

例えば、以下のようなものです。

• 非常に長いファイル名 (例 TotallyNotMalwareactuallyThisVeryMuchIsMalware.jpg)
• 母音のないファイル (例：dwtdfh.doc )

しかし、このような検索は、組織的な文脈がなければ非常にノイズの多いものになりかねません。

このようなファイル名は、正規表現（regex）検索を使って検索できます。この検索は非常に時間がかかる場合があるため、最初は15分以上かけて検索を実行し、ノイズが減ったら時間範囲を広げることをお勧めします。

To search for file names of 50 characters of longer, you would run the following search. name:/.{50,}/

You could use similar logic for files without vowels, searching with: name:/.\[bcdfghjklmnpqrstvwxyz]{4,}../

この検索は正規表現で、正規表現のロジックはフォワードスラッシュ / に含まれています。

• .* = 任意のパスにマッチ
• \\ ファイル名の先頭を示すバックスラッシュ
• [bcdfghjklmnpqrstvwxyz]{{4,}=子音が4つ以上並ぶ
• .= フルストップ(拡張子の開始を示す
• .* = 任意の拡張子にマッチ

また、metadata_httpsessioninfoで同様の検索を行い、暗号化されていない http トラフィックを監視することもできます。

上記の検索を使用して、悪意のない一般的なファイル名を削除する必要があります。たとえば、マイクロソフトのアップデートサーバーが特定のフォルダに長いファイル名でファイルを追加した場合、除外フィルタを使用してそれらのファイルを検索から除外することができます。このような誤検知が発生している場合は、ネットワークから削除した後、検索時間の範囲を保存期間いっぱいまで拡大する必要があります。関連するファイルが非常に少なく、セキュリティ上重要であると思われる場合は、検索をカスタムモデルに変更し、これらのファイル名に対する検出を開始することを検討する必要があります。

疑わしいファイルパス

パスによっては、ネットワーク上で不審なものがあり、調査が必要な場合がああります。この場合も、上記の不審なファイル名の例と同様の検索を行うべきです。

組織内で問題のあるファイルパスのリストを収集し、それらへのアクセスを監視するための検索を作成する必要があります。以下の例では、/App/Data/Roaming/ 内のファイルへのアクセスに注目します。

検索は次のように行う：name:/ /App/Data/Roaming/.*/

この検索は、そのディレクトリ内のすべてのファイルアクセスに一致します。当社のシステムでは、2つのアップデートサーバーから多数の正当なアクセスがありました。この検索によるノイズを減らすには、対象のフォルダにアクセスしていると思われる正当なサーバーを探し、そのIPアドレスの横にある縮小アイコンをクリックして、そのサーバーからのリクエストを除外してください。

Ja3 & Hassh

Ja3 と Hassh は、暗号化ハンドシェイクが完了する前に送信された平文パケットから利用可能な情報に基づいて、それぞれ SSL や SSH のアクティビティーのソースを認識することができるフィンガープリント手法です。

Ja3

Ja3はSSL/TLSのフィンガープリントを作成する方法であり、与えられたセッションのクライアントやサーバーを認識するために使われます。例えば、標準的な Tor クライアントはe7d705a3286e19ea42f587b344ee6865 という Ja3 フィンガープリントを持ちます。

Ja3フィンガープリントは、複数のクライアント上で同じアプリケーションが実行したアクティビティを示すことができ、IOCの確認にも使用できます。ただし、高度な攻撃者によってフィンガープリントが改ざんされる可能性があるため、これは万能な解決策ではありません。例えば、ネットワーク上でTORアクティビティが確認されたかどうかを確認するには、metadata_ssl*ストリームにアクセスし、Ja3:e7d705a3286e19ea42f587b344ee6865を検索します。

Ja3の詳細については、githubプロファイル、Ja3フィンガープリントの コミュニティ主導のリポジトリ をご覧ください。悪意のあるJA3フィンガープリントのリストは abuse.ch で確認できます。

Hassh & HasshServer

HasshはSSH接続のJa3と似たようなロジックを使い、SSH接続のフィンガープリントを作成します。これは、特定のクライアントが複数の異なるサーバーとSSHで通信している場所を見つけたり、現れたアクティビティが目新しいものであるかどうかを確認するのに使われます。

Hasshは、厳密に管理された環境で特に役立ちます。ネットワーク内に重要なセクションがある場合は、そのサブネットのSSHアクティビティを具体的に検索し、そこで使用されているHasshを確認できます。これらの接続に対してデューデリジェンスを実施し、悪意のあるアクティビティがないことを確認した上で、安全なハッシュを検索対象から除外する必要があります。除外するHasshは、フィールドの横にある をクリックして除外します。最終的に、このサブネットに新しいHasshが表示されなくなるはずです。この検索を保存し、カスタムモデルとして有効化できます（検知UIの「管理」→「カスタムモデル」から）。

HasshのGithubコミュニティプロフィールには、このデータから他にも多くの用途が挙げられています。

セキュリティ体制を強化し、組織が脅威を迅速に検知・対応できるよう万全の体制を整えるには、IoCの検知が不可欠です。Vectra AIは、既存のセキュリティインフラとシームレスに統合し、リアルタイム検知と実用的なインテリジェンスを提供する高度なソリューションを提供しています。サイバー防御の強化については、今すぐお問い合わせください。