妥協の指標

妥協の指標（IOC）とは何か？

侵害の指標とは、基本的に攻撃者が残したパンくずのことで、以下のような幅広いデータポイントが含まれる：

1. URLまたはドメイン名：への接続を示す フィッシング サイトまたはコマンド・アンド・コントロール・サーバーへの接続を示す。
2. IPアドレス：既知の悪意のある発信元との通信を示すものとして注目される。
3. ファイル名：攻撃者による不正な改ざんの可能性がある。
4. ファイルハッシュ：特定のmalware 不正ソフトウェアに固有のもの。

Vectra AIは、これらのIoCの特定と分析を支援し、SOCチームが脅威に迅速に対応し、潜在的な被害を軽減し、組織のセキュリティ体制を強化することを可能にする。

IOC（妥協の指標）の見つけ方

常にアンテナを張り巡らせ、新たな妥協が発表された場合には、必ずそれに気づくようにすることが重要だ。しかし、妥協の新たな指標を耳にしたときに、それに対処できるようにすることも同様に重要である。このセクションでは、一般的な IOC、IOC が示すもの、IOC を気にする理由、IOC をネットワークメタデータから検索する方法について説明します。

ドメインIOC

外部アクターは、ネットワーク外部からの侵害を管理できる必要があり、ドメインはこれを管理するための重要なツールです。SUNBURST SolarWindsのエクスプロイトで最近確認されたように、appsync-api.eu-west-1[.]avsvmcloud[.]comのようなドメインを通じてCommand & Control 操作が実行されました。また、これは フィッシング は、ターゲットに怪しまれないように、人気のあるサイトを模倣したドメイン名を使おうとする。たとえば フィッシング outlook.com.enteryourpassword.tkのようなドメインが疑惑を避けるために使われるかもしれない。

ドメインIOC（Indicators of Compromise）は、悪意のある行為者によって登録されたドメインであり、このような明確な目的のためにトラフィックが行われているため、侵害の強力なシグナルとなります。ドメインIOCへの通信が確認された場合は、調査が強く推奨されます。

既知の悪いドメイン

どのようなソースからでも、既知の悪いドメインのリストを簡単にRecall クエリに変換することができます。セキュリティ・エンジニアからこのようなリストを入手できます：

• バドメイン1[.］
• バドメイン2[.］

まず、このクエリを Lucene クエリに変換します：Resp_domain:(baddomain1.com OR baddomain2.com)

次に、iSession MetadataStream次のクエリを実行します。

怪しいドメイン

1. ネットワーク上のユーザーがアクセスする一般的なドメインのリストを作成します。例：facebook、gmail、outlook、社内イントラネット。  
2. Vectra Recall iSessionアクティビティでこれらの項目を検索します。例）Resp_domain( corpnet OR facebook OR gmail OR outlook OR office)
3. この検索を保存
4. この検索をソースとして新しい「データテーブル」ビジュアライゼーションを作成し、行を「ターム」で分割し、「resp_domain」で集計する。
5. 検索に一致する、最も頻繁にアクセスされるサイトのリストが表示されます。正規のドメインが最初に表示されます。正規の項目にカーソルを合わせてクリックすると、これらの項目が除外されます。
6. このビジュアライゼーションを保存する

このデータテーブルに残っている項目は、さらなる調査が必要であり、良性であれば除外すべきである。最初に、あなたの会社のドメイン名に多くの内部バリエーションがあるかもしれません。例えば、Vectra AIでは、dev.vectrai.ai、hr.vectra.aiの人事資産など、膨大な数のVectra AIの内部ドメインがあります。有効で実用的なデータを得るためには、これらの偽陽性を効果的にトリアージする必要があります。

このビジュアライゼーションを数日間手動でチェックした後、残っている結果に満足している場合は、基礎となる検索を保存し、検知 UI の「管理」セクションに移動して、この検索をカスタムモデルに変更します。Custom Models "タブで、新しく保存した検索を見つけ、その編集モーダル内で有効にします。

IPアドレス IOC

どのようなソースからでも、既知の不良IPアドレスのリストを簡単にRecall 変換することができます。これを行うためのエクセルファイルを作成しましたので、セキュリティエンジニアから入手してください：

• 192.0.2.1  
• 192.0.2.2

まず、このクエリを Lucene クエリに変換します：Id.orig_h:( 192.02.1 OR 192.02.2) OR Id.resp_h:( 192.02.1 OR 192.02.2)

次に、このクエリーをiSession MetatadaStream実行します。

港湾 IOC

新しいポートの使い方

ほとんどのソフトウェアは、標準的な外部ポートのセットを使って通信を行う。ネットワーク上で新しいポートが確認された場合、これは環境に新しいソフトウェアがインストールされたことを示すか、場合によっては侵害されたホストからの通信を示す可能性があります。Vectra AIは、新しい外部接続が環境内で観察された場合に報告する情報レベルの検出を作成します。

ストリームを使用してこれらのイベントを集約し、新しいソフトウェアがネットワーク上で使用されているかどうか、あるいは潜在的に悪意のあるC2チャネルが設定されているかどうかを監視することができます。このようなイベントは、ほとんどの場合、良性のユーザー・アクティビティによって引き起こされますが、組織として許可されたアプリケーションを制限するポリシーを持っている場合、IT管理チーム以外のシステムから新しいポートが検出されることは、悪意のあるアクティビティ、あるいは少なくともポリシー違反の兆候である可能性があります。

一般的でないポート使用の急増

一般的でないポートを含むネットワーク・アクティビティが急増した場合、そのポートがmalware 通信に使用されている可能性があるため、重大な影響を及ぼす可能性があり、さらなる調査が必要となる。アクティビティの急増は、さらなる調査が必要です。

このようなアクティビティを確認する最善の方法は、時系列の視覚化です。Vectra Recall 、"Hunting off Indicators：一般的でないポート使用のスパイク - データ" ?Y軸でカウントします。

アクティビティの例を以下に示す。最も一般的に使用されているポートは除外されており、2つのポートが明らかに急増しているのがわかる。ポート3283はiChatに使用されており、良性であるため除外できたが、ポート40063は目新しいため、さらなる調査が必要かもしれない。また、検索期間中に他の時間には見られなかったトラフィックの急増を示す独立したドットにも注目すべきです。

以上のステップを踏んだ：

• 24時間分のiSessionデータで日付ヒストグラムを作成する。
• 応答ポートごとにデータを分割する(id.resp_p)
• 非常に一般的なポート、例えば80/443などをフィルタリングする。
• Set a minimum threshold of activity to reduce the noise from minor ports by expanding “advanced” and setting {“min_doc_count”:X}, where X would depend on the size of activity on your network, we have set this as 5,000 connections by default.

この視覚化を複製し、組織内で安全であることが分かっているポートで検索クエリを更新することを検討する必要があります。(注：デフォルトのRecall 可視化に変更を加えようとすると、変更は上書きされます）。

同様に、一般的でないポートからのデータ転送の急増も、調べる価値があり、安全であることを確認する必要がある。

これはトラフィックのカウントと同じように機能しますが、送信されたデータの合計を表示するようにy軸を設定する必要があります。私たちは、"Hunting off Indicators "という可視化を作成しました：この可視化の出発点として使用できるのは、"Hunting off Indicators: Spikes in Uncommon Port Usage - data "です。

非標準ポート上のプロトコル」セクションへのリンクも参照のこと。

ファイル名 IOC

悪意のあるファイルは、SMBやその他のプロトコルを介してネットワーク上に転送され、リモートプロセスやソーシャルエンジニアリングによってターゲットホスト上で実行される可能性があります。悪意のある行為者が使用する可能性のある特定の既知の悪質なファイル拡張子を監視することで、ファイルが悪意のある目的で転送されているインスタンスを見つけることができます。

Vectra Recall SMBファイル・メタデータ・ストリームは、やりとりされた各ファイル名を示し、これらのデータをマイニングして、疑わしいデータを見つけることができる。

ここでは2つの具体的な例を紹介するが、あなたの感覚によって異なるかもしれない。

• 疑わしいファイル名
• 疑わしい経路

疑わしいファイル名

ユーザーによって書かれたファイル名には実際の英単語が含まれる傾向があるが、経験上、ファイル名は妥協の弱い指標となりうる。

例えば、以下のようなものだ：

• 非常に長いファイル名。TotallyNotMalwareactuallyThisVeryMuchIsMalware.jpg
• 母音のないファイル（例：dwtdfh.doc

しかし、このような検索は、組織的な文脈がなければ非常にノイズの多いものになりかねない。

正規表現（regex）検索を使えば、このようなファイル名を検索することができる。これらの検索はかなり時間がかかるので、最初は15分以上の検索を実行し、ノイズが減ってから時間範囲を広げることをお勧めします。

To search for file names of 50 characters of longer, you would run the following search. name:/.{50,}/

You could use similar logic for files without vowels, searching with: name:/.\[bcdfghjklmnpqrstvwxyz]{4,}../

この検索は正規表現で、正規表現のロジックはフォワードスラッシュ / に含まれています。

• .* = 任意のパスにマッチ
• \\ ファイル名の先頭を示すバックスラッシュ
• [bcdfghjklmnpqrstvwxyz]{{4,}=子音が4つ以上並ぶ
• .= フルストップ（拡張子の開始を示す
• .* = 任意の拡張子にマッチ

また、metadata_httpsessioninfoで同様の検索を行い、暗号化されていない http トラフィックを監視することもできる。

上記の検索を使用して、悪意のない一般的なファイル名を削除する必要があります。たとえば、マイクロソフトのアップデート・サーバーが特定のフォルダに長いファイル名でファイルを追加した場合、除外フィルタを使用してそれらのファイルを検索から除外することができます。このような誤検出が発生している場合は、ネットワークから削除した後、検索時間の範囲を保存期間いっぱいまで拡大する必要があります。関連するファイルが非常に少なく、セキュリティ上重要であると思われる場合は、検索をカスタム・モデルに変更し、これらのファイル名に対する検出を開始することを検討する必要があります。

疑わしいファイルパス

パスによっては、ネットワーク上で不審なものがあり、調査が必要な場合がある。この場合も、上記の不審なファイル名の例と同様の検索を行うべきである。

あなたの組織で問題になっているファイルパスのリストを集め、それらに対するアクセスを監視する検索を作成する必要があります。以下の例では、/App/Data/Roaming/にあるファイルへのアクセスに注目しよう。

検索は次のように行う：name:/ /App/Data/Roaming/.*/

この検索は、そのディレクトリ内のあらゆるファイルアクセスにマッチする。私たちのシステムでは、2つのアップデート・サーバーから多くの正当なアクセスがありました。この検索によるノイズを減らすには、気になるフォルダにアクセスしていると思われる正当なサーバーを見つけ、そのIPの横にある拡大アイコンをクリックして、そのサーバーからのリクエストを除外します。

ジャ3＆ハッシュ

Ja3 と Hassh は、暗号化ハンドシェイクが完了する前に送信された平文パケットから利用可能な情報に基づいて、それぞれ SSL や SSH のアクティビティーのソースを認識することができるフィンガープリント手法です。

ジャ3

Ja3はSSL/TLSのフィンガープリントを作成する方法であり、与えられた セッションのクライアントやサーバーを認識するために使われる。例えば、標準的な Tor クライアントはe7d705a3286e19ea42f587b344ee6865 という Ja3 フィンガープリントを持つ。

Ja3 フィンガープリントは複数のクライアント上で同じアプリケーションにより実行された活動を示すことができ、また IOC をチェックするために使用することができます。これは高度な攻撃者が基礎となるフィンガープリントを変更することが可能であるため、確実な解決策ではありません。例えば、TOR の活動がネットワーク上で見られたかどうかをチェックするには、metadata_ssl* ストリームに行き、以下を検索してください：Ja3:e7d705a3286e19ea42f587b344ee6865

Ja3フィンガープリントのコミュニティ主導のレポジトリであるgithubプロフィールでJa3についての詳細を読むことができ、malicius JA3フィンガープリントのリストはabuse.chで見ることができる。

Hassh & HasshServer

HasshはSSH接続のJa3と似たようなロジックを使い、SSH接続のフィンガープリントを作成します。これは、特定のクライアントが複数の異なるサーバーとSSHで通信している場所を見つけたり、現れたアクティビティが目新しいものであるかどうかを確認するのに使われます。

Hassh は特に厳しく管理された環境で役に立ちます。もしネットワークに重要なセクションがあれば、そのサブネットの SSH アクティビティを検索して、そこでどんな Hassh が使われているかを見ることができます。これらの接続がどれも悪意のあるものでないことを確認し、フィールドの横の をクリックして安全なハッシュを検索から除外してください。最終的に、このサブネットに新しいHasshがないことがわかるはずなので、この検索を保存し、カスタムモデルとして有効にすることができます（検知 UIの管理 -> カスタムモデルから）。

HasshのGithubコミュニティプロフィールには、このデータから他にも多くの用途が挙げられている。

セキュリティ態勢を強化し、脅威の検知 迅速な対応に万全を期すためには、IoCの検知が不可欠です。Vectra AIは、既存のセキュリティインフラストラクチャとシームレスに統合し、リアルタイムの検知と実用的なインテリジェンスを提供する高度なソリューションを提供します。サイバー防衛を強化するために、今すぐお問い合わせください 。