NTTセキュリティ・ジャパン SOCアナリストマネージャー 阿部です。

この度、NTTセキュリティ・ジャパンのSOCアナリストチームによるブログコーナーを開始することとなりました。

初回となる本記事では、これまで弊社の公式サイトTwitterアカウントを通じてSOCアナリストメンバーが発信してきたホワイトペーパーや解析ツールについて振り返り、改めてご紹介させていただきます。

----------

ホワイトペーパー

「Taidoorを用いた標的型攻撃 解析レポート」(2019年3月公開)

本日時点で最も新しいホワイトペーパーです。日本の大手企業を狙った標的型攻撃について、攻撃の起点となる標的型メールから感染後の攻撃者による侵入行動までの一連の流れを解析した結果をまとめたものです。

「北朝鮮関連サイトを踏み台とした水飲み場型攻撃 解析レポート」(2017年8月公開)

北朝鮮に関連するサイトにおける攻撃の実態をまとめたものです。攻撃者の侵害後の行動分析も行い、その際に活用した囮システムについてはJapan Security Analyst Conference 2018 (JSAC2018)紹介させていただきました。

「RIGエクスプロイトキット解析レポート」(2017年5月公開)

2016年から2017年にかけて猛威を振るったRIGエクスプロイトキットについてまとめたものです。攻撃者側のエコシステムの実態などにも踏み込んだ内容で、その詳細はJSAC2018でも講演しました。

「バンキングマルウェア(URSNIF)解析レポート」(2016年12月公開)

2年以上前のレポートでありますがマルウェアURSNIFはいまだに攻撃に活用され続けています。こちらもJSAC2018にて本レポートを元に講演を実施するとともに、弊社公式サイトで感染後の通信の復号ツールを開発し公開しました(後述)。

ツール

「バンキングマルウェア「URSNIF」復号ツール」(2018年2月公開)

マルウェアURSNIFの感染後通信を復号するためのツールです。CPUエミュレータを用いてマルウェアバイナリを再利用することで復号をします。CPUエミュレータを用いたツールの実装例としてご参照ください。

「難読化JavaScript動的解析ツール(JS-Walker)」(2018年2月公開)

Exploit Kit等に利用される難読化JavaScriptコードの初期解析を容易にする動的解析ツールです。Dockerコンテナ上で稼働するブラウザで解析対象のコードを実際に動作させることで、難読化JavaScriptの挙動を簡単に明らかにし、インシデント初動対応チームによる初動対応を援助します。SECCON YOROZU 2017でデモ展示を行いました。

「CryptGrep Tool」(2018年12月公開)

BlackHat Europe 2018 の Arsenal で発表した解析ツール「CryptGrep」です。IDA python scriptとしてマルウェア解析に活用することができます。SECCON YOROZU 2018でもデモ展示を行いました。このツールの元となっている「Bingrep」はBlack Hat USA 2017 の Arsenalで発表したものです。

その他

「セキュリティのためのログ分析入門 サイバー攻撃の痕跡を見つける技術」

2018年9月7日発売。他のNTTグループメンバーとの共著で、ログ分析の基本的な部分を一冊にまとめたものです。詳細は技術評論社のページからご確認ください。

「Inside "Security Operation Center" 〜セキュリティ人材を生かす5つの改革〜」

ハイレベルなセキュリティ人材を育成、獲得するために、社の全面協力のもとSOCアナリストチームで行ってきた職場環境改革、勤務形態改革、業務設計改革などを紹介しています。Secure Summit Japan 2018での講演資料です。

「分析自動化の取り組みから考えるSOCの将来」

将来にわたる業務のスケーラビリティやチームの強化を考えていく上で、組織として自動化を戦略的に推進していくフェーズに移行する中、どのような困難に直面し、どのように進めてきたかをまとめています。JANOG43での講演資料です。

「セキュリティログ分析のフィールドはエンドポイントへ ~Windows深層における攻防戦記~」

エンドポイントログ分析について、実際に攻撃者によって利用されたさまざまなWindowsコマンドを駆使したエンドポイントログ監視の回避テクニックとその対策事例について紹介しています。  Japan Security Analyst Conference 2019 (JSAC2019)での講演資料です。

----------

上記以外にも、弊社のSOCアナリストは「マルウェア対策研究人材育成ワークショップ(MWS)」や「日本セキュリティオペレーション事業者協議会(ISOG-J)」、「日本SOCアナリスト情報共有会(SOCYETI)」、「セキュリティ・キャンプ」、「国際化サイバーセキュリティ学特別コース(CySec)」など様々な活動に参加し、ビジネスを通してだけではなく、社会のセキュリティレベルの向上のお手伝いをしております。

次回以降も、脅威解析のコンテンツやここで紹介した解析ツールの使い方など、引き続きみなさまのセキュリティ対応において役立てていただけそうな記事を随時アップしていく予定です。

どうぞよろしくお願いいたします。