脅威ハンティング仮説の例: 効果的なハントに備えよう!
目次:
優れた脅威ハンティング仮説は、組織のデジタルインフラストラクチャの弱点を特定する鍵となります。正しい質問をすることを学べば、求めている答えが得られます。このブログ記事では、プロアクティブな脅威ハンティング手法、仮説駆動型脅威ハンティングについてレビューします。さっそく始めましょう!
脅威ハンティング仮説とは?
脅威ハンティング仮説 は、サイバー攻撃やその構成要素に基づいた情報に基づく推測です。科学研究と同様に、仮説駆動型脅威ハンティングでは、脅威ハンターが仮説を調査の基盤とします。
仮説が立てられたら、脅威ハンターはそれをテストするためのステップを踏まなければなりません。仮説をテストするための戦略で、脅威ハンティングの作業の大部分が完了します(例えば、有用なクエリを形成するのにそれを実行するよりも時間がかかることが多いです)。これには関連するデータソース(セキュリティイベント、システムログなど)、関連する分析技術(クエリ実行、スタックカウントなど)の特定、そしてこの戦略に沿った行動が含まれることがしばしばです。
脅威ハンティング仮説はプロアクティブなサイバー防御ルーチンを促進します。後者の多くのバリエーションの一つは:
- 敵対者の行動を予測すること
- 脅威を見つける方法を提案すること
- 異常、侵入、ベースライン/閾値ヒットを検出すること
- イベント相関を研究すること
- サンドボックス、ハニーポット、模擬環境でサンプルをテストすること
- 結果を文書化すること
- 資産とインフラストラクチャの保護を改善すること
- 緩和策を講じること
- 当局への報告(適用される場合)
全般的に言って成功する 脅威ハンティング は、洞察に満ちた仮説に大きく依存しているので、仮説の立て方について見てみましょう。
脅威ハントのための仮説を生成する方法?
最初の段階を簡単にするために、脅威ハンティング仮説をマルウェアの視点からのユーザーストーリーのように考えることができます。
脅威ハンティング仮説 #1
- [悪質なスクリプト] として、[TCPポート50050経由でリクエストを送信] して [接続を確立] したい。
- [感染したzip] として、[WMIを使用] して [永続性を維持] したい。
- [JavaScriptコード] として、[BITSAdminを悪用] して [モジュールをダウンロード] したい。
別のアプローチとして攻撃者の視点から仮説を立ててみましょう。
脅威ハンティング仮説 #2
APT37(北朝鮮)として、政治的理由から米国政府を攻撃したいので、Cobalt Strikeを使用します T1218.011にて、悪質なコードを実行するためのrundll32をプロキシとして植え付ける。
しかし、「正しい」形式の脅威ハンティング仮説のテンプレートは存在しません。例えば、ただの1文以上に複雑なものもあります。複数段階からなるキルチェーンを実行するマルウェアの場合、脅威ハンティング仮説にはいくつかのポイントが含まれるかもしれません。
脅威ハンティング仮説 #3
マルウェアX:
EXEファイル経由でコマンドを実行する
外部ソースからPowerShellコマンドレットをインポートし実行する
ローカルの.NETバイナリを実行する
setenv() 関数を使用して環境に変数を追加する
では、もっと複雑な例に進みましょう。
高度な脅威ハンティング仮説
脅威ハンティング仮説は、上記のように運用的であるだけでなく、戦術的および戦略的であることもできます。経験豊富な脅威ハンターは、精細にターゲット化されたテストをもたらす可能性のある幅広い仮説を策定することができます。そのためには、以下を含める必要があります:
- ドメインエキスパティーズ – 経験を持ち、知識を共有すること
- 状況認識 – 内部インフラ、脆弱性、コア資産を知ること
- インテリジェンス – IOCやTTPsなどの脅威インテリジェンスデータを引き出すこと
これらすべてを適用して、攻撃者がどのシステムを狙い、何を達成しようとするかについて深く分析的な仮説を策定します。
例えば、脅威ハンターのボブは、脅威インテリフィードで得たIOCを研究していました。クラウンジュエルアナリシス(CJA)を行ったことで、彼は同社のクラウンジュエルが独自のアルゴリズムを保存している場所だと知っています。以前の狩猟経験と、仲間の研究者アリスとの会話から特定の状況での最も可能性の高い敵対者の行動を示唆できます。こうして彼は仮説を立てます。
脅威ハンティング仮説 #4
フィッシングメールからの初期アクセスを試みた攻撃者は、システムの中心部にたどり着くために横移動と権限昇格を行い、データを持ち出します。
仮説は、攻撃者の今後の行動を予測するのではなく、パターンや依存関係を理解することを目的とすることもできます。つまり、全体の絵を見渡すことです。
彼らのC2サーバーはどこにありますか?どのように隠されていますか?どのように持続性を維持していますか?特定のサーバーとさまざまな攻撃キャンペーンとの関係は?
この場合、サイバーセキュリティは問題を見つけて迅速に修正することだけではありません。質問をすることも必要です。ちょうどジャーナリズムの調査のように、5Wルールに似ています。
- Who
- 何
- いつ
- どこで
- Why
なぜかというと、状況はこのようなことがよくあります。複数の場所で複数のイベントが発生しているのです。何百万ものスクリプト、スケジュールされたタスク、ファイル、そしてユーザーのアクションがあります。それらはすべて何かをしています。これらのさまざまなイベントが、キルチェーンの段階かもしれません。しかし、マルウェアの一部が自己暗号化され、合法的なファイルに隠されているため、それを知ることはできないのです。また、証明書を盗んでしまい、企業が購入した信頼できるソフトウェアの一部として実行されます。IOCの対策を施しても、十分ではありませんでした。企業はスパイされていますが、その証拠はありません。表面的には何も壊滅的なことは起きていません。仮説は、そのような高度な攻撃を特定するのに役立ち、それがないことを証明するのにも役立ちます。
脅威ハンティング仮説 #5
国家支援の脅威アクターAは、脅威アクターBと同じC2サーバーを使用しているので、同じボットネットの一部かもしれません。彼らはソフトウェアパイプライン感染を使用し、1〜2週間の休止期間を持ったマルウェアを埋め込んでから、2〜6か月続く偵察を開始します。我々のスキャンで合法的なバイナリ内に難読化されたデータが示された場合、C2サーバーへの接続成立の兆候を探すべきです。そうすることで、それらのファイルがマルウェアであると結論づけられます。
結論
習うより慣れろと言います。脅威レポートや生データが最初はちんぷんかんぷんに見えても心配しないでください。ネットワーク、低レベル言語、アプリケーションアーキテクチャのようなコンピュータサイエンスの科目を学ぶと、特定の用語や数値(ポート番号など)にもう少し慣れるでしょう。それにしても、取り扱う情報量は多大なものがあるのですから、出会ったものすべてを理解する必要はないと思ってください。すべてを知ることはほとんど不可能ですので、Googleを利用すれば十分です。
良い脅威ハンティング仮説は、貴重な結論を導き、潜在的な攻撃を防ぐことができます。さらに、脅威ハンターが大量のログを探すのではなく、適切な情報を、適切な時に調べるのを助けます。 検出コードプラットフォーム に参加して、25以上のSIEM、EDR、XDRソリューションと互換性のあるほぼリアルタイムの検出アルゴリズムにアクセスし、最新の脅威をあなたの環境ですぐに検索してください。
