SIGMA対インジケーターオブコンプロマイズ

目的

この投稿の目的は、SIGMAを使用することの利点とIOCベースの検出の利点を強調することです。

導入

セキュリティ研究者によって報告された侵入の痕跡（IOCs）- IP、ドメイン、ハッシュ、ファイル名などをシステムやSIEMと照合して侵入を発見します。これらの指標は既知の攻撃に対して有効であり、その有用期間は短く、振り返って調べたときに最も有効です。これは、報告中に指標が露呈されると、それらが記述されたマルウェアやインフラストラクチャが容易に変更されるためです。

一方、SIGMAは、David Biancoの「Pyramid of Pain」の任意の場所に該当するルールを作成し、既知の行動を使用してまだ作成されていないマルウェアに対するTTP/行動ベースの検出を記述し共有することを可能にします。これらのSIGMAルールはプラットフォームに依存せず、IOCのようにその有用性は収集されているデータソースによって依存します。さらに、脅威アクターの行動を理解し検出することで、TTP/行動に焦点を当てて、まだ作成されていないマルウェアに対しても有効な検出を記述できます。

Pyramid of Pain | IOC vs SIGMA

アナリストとして、私たちはPyramid of Painを使用して、敵がそれを乗り越えるためにどれだけ容易に適応できるかに関して、検出コンテンツの品質を評価することができます。

David BiancoのPyramid of Pain

以下の図は、IOCベースのフィードがどこに該当するかとSIGMAのカバレッジをマッピングしています。

IOCカバレッジ vs. SIGMAカバレッジ

SIGMAはディフェンダーが任意のデータソースやバックエンドプラットフォーム（SIEMやその他）向けにコンテンツを書くことを可能にします。これにはIPやハッシュなどのIOCベースのデータも含まれています。例えば、以下は2020年4月の アスナロクキャンペーン に対し、Sophosファイアウォールに報告されたIOCを検出するためのSIGMAルールです。

アスナロクSophosキャンペーンのIOCルール（TDM内のルールへのリンク)

しかし、次のセクションで探るように、SIGMAの本当の力は、TTP/行動ベースの検出を表現し、IOCベースのデータと同様に簡単に共有および実装できるようにする点にあります。

COVID-19の例

多くの当局によって報告されているように、 COVID-19の間に標的型攻撃が続いており、ランサムウェア攻撃を誘発している 犯罪者がこの重要な時期にそのような攻撃を「停止」すると約束していたにもかかわらず、医療提供者に対するランサムウェア攻撃を含む。加えて、ランサムウェアグループはCOVID-19や関連するテーマ（在宅勤務など）をフィッシングの誘因として使用しました。

ランサムウェア攻撃は暗号化が行われる前に特定して適切に対処する必要があります。通常、組織のインフラストラクチャに対するランサムウェア攻撃では、暗号化までの時間は最大でも数日です。

幸運なことに、世界中のセキュリティ研究者が歩調を合わせてCOVID-19に関連する詐欺やフィッシングに対抗するための複数の取り組みを行っており、その中にはランサムウェアも含まれています。これらの多くは敵対者のインフラを明らかにし、それらを無効にするか、セキュリティコミュニティで使用されるIOCを報告することに重点を置いています。注目を集めている優れた努力の一つは、無料でURL、IP、ドメイン、ハッシュに基づく多数のIOCをリリースしている研究者グループである Cyber Threat Coalitionです。

しかし、これらの形の指標は寿命が限られており、TTP/行動を検出するより高度なロジックによって最も効果的に活用されます。SOC Primeでは、この検出コンテンツをSIGMAルールの形式で提供しているのです。

例えば、2020年4月14日に Palo AltoのUnit 42が報告した COVID-19をおとりに使用したランサムウェア攻撃。犯罪者が使用した手法にはsvchost.exe（一般的なWindowsバイナリでサービスをホストしているもの）としてマルウェアを偽装する手法（T1036）が含まれていました。これは多くの脅威アクターが使用する一般的なTTP/行動であり、これをSIGMAを使って検出することができます。

Florian Rothによって書かれたSIGMAルールは、2018年からsvchost.exeとして偽装したマルウェアを検出するために利用可能です。

TDM内でsvchost偽装を検出するためのSIGMAルール（TDM内のルールへのリンク)

そのため、ディフェンダーとしては、脅威をシステム上で検出するためにハッシュ、IP、またはドメインのリストを待つ必要はありません。むしろ、行動に焦点を当てる研究者からのSIGMAルールのフィードを持つことによって、この種のマルウェア攻撃をあらかじめ検出することができます。

SOC PrimeとTDMについて

SOC Primeは無料と独自のSIGMAコンテンツの両方を提供しています。コミュニティコンテンツとしてのSIGMAルールは、無料アカウントを使用するすべての人に提供されています。医療提供者向けに、COVID-19の流行中、SOC Primeはプレミアムコンテンツへのアクセスを無料で提供しています。

ここで無料アカウントを作成：
https://tdm.socprime.com

加えて、多くのルールがこちらで利用可能なパブリックSIGMAリポジトリにあります： https://github.com/Neo23x0/sigma

META

公開日 – 2020年5月

最終更新日 – 2020年5月6日