NTTセキュリティ・ジャパン SOCアナリスト 林です。
SOCでは日々巧妙化するさまざまなサイバー攻撃を観測しております。その中で、マルウェアによる通信暗号化や正規サイトをC&Cサーバに利用するなどネットワークの監視だけでは観測が困難なサイバー攻撃に対抗するため、エンドポイント内での挙動に着目し、より高度な監視・分析ができるようEDR(Endpoint Detection and Response)製品向けのカスタムシグネチャの独自開発を積極的に行っています。
カスタムシグネチャとは、製品の標準シグネチャではとらえることのできない脅威を検知するために、セキュリティアナリストがリサーチやセキュリティオペレーションの中で蓄積した分析ナレッジを元にSOC独自に開発したシグネチャを指します。このカスタムシグネチャ作成にはサイバー攻撃のナレッジベース・フレームワークであるMITRE ATT&CK ™を利用して、カスタムシグネチャが検知する脅威を定義しています。
この記事では、SOCのカスタムシグネチャがデバイスの標準シグネチャではとらえることのできない脅威が検知できるようになった一例を、ATT&CKを用いてご紹介したいと思います。
■ATT&CKを利用したカスタムシグネチャ作成について
ATT&CKはAdversarial Tactics, Techniques, and Common Knowledgeの略でサイバー攻撃における攻撃の流れや手法を体系化したものです。サイバー攻撃の流れを7つのフェーズに分けたロッキード・マーティン社のサイバーキルチェーンが有名ですが、ATT&CK はこれをより具体的に細分化したイメージです。
SOCではカスタムシグネチャを作成する際にそのシグネチャがATT&CKのどの要素に該当するか紐づけを行っています。具体的には表1のようにカスタムシグネチャAは、ATT&CKにおける「Execution」のフェーズに該当、カスタムシグネチャBは、「Defense Evasion」に該当、カスタムシグネチャCは「Discovery」に該当と紐づけています。
表 1 カスタムシグネチャリストのイメージ
シグネチャ名 | 説明 | ATT&CK |
カスタムシグネチャA | 難読化されたPowerShellコードの実行を検知 | Execution |
カスタムシグネチャB | コマンド履歴の削除を検知 | Defense Evasion |
カスタムシグネチャC | ツールを利用したポートスキャンを検知 | Discovery |
このように全てのカスタムシグネチャを紐づけすることで、カスタムシグネチャを検知した際にATT&CKにおけるどのフェーズが実行されたかをすぐに把握することが可能になります。また、一連の攻撃において複数のカスタムシグネチャが検知することでどのフェーズまで実行されたのか、つまり一連の攻撃においてどこまで実行されたかを推測することが可能になります。
カスタムシグネチャを利用した検知検証結果
SOCでもっとも観測の多いスパムメールでばら撒かれているEMOTETの攻撃事例を用いて、攻撃を受けた際にデバイスの標準シグネチャとSOC独自のカスタムシグネチャがATT&CKにおけるフェーズでどの挙動を検知するか検証を行いました。
EMOTETの攻撃の流れと手法をATT&CKの表に当てはめ、各フェーズのどの挙動を検知したかを表2に示しています。
※デバイスの標準シグネチャで検知した部分を黄色、SOC独自のカスタムシグネチャで検知した部分を青色にしています。
表 2 検知検証結果
Initial Access | Execution | Persistence | Defense Evasion | Credential Access | Discovery | Collection | Command and Control | Exfiltration |
Spearphishing Attachment | PowerShell | Registry Run Keys / Startup Folder | File Deletion | Credentials in Registry | Network Share Discovery | Automated Collection | Commonly Used Port | Automated Exfiltration |
Windows Management Instrumentation | Obfuscated Files or Information | Process Discovery | Data from Network Shared Drive | Data Encoding | ||||
Scripting | Process Hollowing | Query Registry | Standard Cryptographic Protocol | |||||
Uncommonly Used Port |
表2からデバイスの標準シグネチャではメールに添付されたMicrosoft Word形式のドキュメントファイルのみが検知された一方、カスタムシグネチャでは難読化されたPowerShellコードの実行、レジストリに保存されたパスワードの取得、取得データの書き込みなど計7つの挙動を検知することができました。
まとめ
SOCでは、一連の攻撃においてファイルのHash値など攻撃者によってすぐに変更されてしまう挙動ではなく、特徴的で変更されにくい挙動に着目してカスタムシグネチャを作成しています。
今回の検証ではデバイスの標準シグネチャでは検知できない挙動を複数のフェーズにおいてSOC独自のカスタムシグネチャで検知できていることが確認できました。標準シグネチャとカスタムシグネチャを組み合わせることで、より多面的な検知を実現しています。
このように複数のフェーズにおいて攻撃を検知できるようにしておくことで、あるフェーズにおいて攻撃手法が変化し検知できなくなった場合においても、他のフェーズで検知することで脅威を見逃さないようにすることができます。
シグネチャの作成において脅威の検知と正常挙動の誤検知のバランスを考えることが重要なポイントとなります。見逃しもなく誤検知もないという理想のシグネチャセットというものは存在しません。標準シグネチャやカスタムシグネチャによる検知が100%正解であるとは限らないからこそ、お客様における無駄のない効率的なインシデントハンドリングへと繋げられるよう、SOCでは高度な知見を持ったアナリストが24/365、ネットワークやエンドポイントを監視・分析し精度の高い脅威特定を実現しています。
