攻撃者を知るためのインテリジェンスの活用 ~ 入口、出口、そして侵入拡大へ ~ マクニカネットワークス株式会社 セキュリティ研究センター 政本 憲蔵 © 2013 2013Macnica MacnicaNetworks Networks Corp. All rights reserved. © Corp. All rights reserved. 最近日本を攻撃している 最近日本を攻撃している攻撃者 いる攻撃者 Aurora Panda Operation Aurora(2010年1月)の実行グループ。 Bit9社を攻撃しコードサイニング証明書を盗む。(2013年2月) 米国、ドイツ、イタリア、日本など、ターゲットは広範囲に渡る。 製造業、メディア、防衛産業などを狙い攻撃。 スキルが高い。 Dagger Panda 少なくとも2011年3月から日本、韓国をターゲットに活動していることを確認。 狙われている産業は、メディア、重工業、造船と多岐にわたる。 CVE-2012-0158の脆弱性を利用。(Officeの脆弱性) 以前に使ったC2サーバ名(icefog.8.100911.com)から、カスペルスキー社では icefogと呼んでいる。C2サーバ上のアプリケーションが「尖刀三号(Dagger Three)」という名称。 C2のプロトコルとして、HTTP(S)だけでなく、メール系プロトコルなども使う。 経営者と情報システム部門のための 戦略的サイバー セキュリティセミナー © 2013 Macnica Networks Corp. All rights reserved. 2 Kill Chain いずれかのステップでチェーンを断ち切る。(多層防御) いずれかのステップでチェーンを断ち切る。(多層防御) 偵察 武器化 企業サイト、SNSなどのオープンな情報からターゲットの情報(組織、取引先など)を収集。 マルウェア配布やC2で使えそうな正規サーバを探すことも。 攻撃コード(エクスプロイト)とマルウェア(実行ファイル)の作成。 配送 取引先などになりすましたメール(攻撃コード/マルウェアを添付)を送付。またはマルウェ アを事前に仕込んだWebサイトへアクセスさせ、ドライブバイダウンロード。 攻撃 ユーザに添付ファイル(PDF、Office)を開かせる、もしくは悪性Webサイトへアクセスさせ、 脆弱性を利用した攻撃コード(エクスプロイト)を実行する。 インストール 攻撃コードの実行された結果としてマルウェア(実行ファイル)がインストールされる。もし くはメールに添付した実行ファイルを開かせることでインストール。 遠隔操作(C2) 遠隔操作( ) C&Cサーバへ接続させ、端末を遠隔操作する。必要に応じて、追加のマルウェアやツー ルをダウンロードする。 侵入拡大 管理者権限への昇格後、ディスク・メモリに保存されたパスワード・ハッシュを抜き出し、 Pass-the-Hash攻撃で他のコンピュータに足掛かりを作りながら、ネットワークを動き回る。 目的実行 目的の情報を探し、暗号化および細分化してから外部へ持ち出す。 経営者と情報システム部門のための 戦略的サイバー セキュリティセミナー © 2013 Macnica Networks Corp. All rights reserved. 3 犯罪者向けAVスキャンサービス 犯罪者向け スキャンサービス http://www.virtest.com/ http://chk4me.com/ http://scan4you.net/ 経営者と情報システム部門のための 戦略的サイバー セキュリティセミナー © 2013 Macnica Networks Corp. All rights reserved. 4 デジタル署名 デジタル署名が付いたマルウェア 署名が付いたマルウェア レベル1 Win.Trojan.ZeroAccess MD5 Hash: 6be3f62831007247156f65cf12b9665f 自己署名。 認証局から信頼され たものではない。 経営者と情報システム部門のための 戦略的サイバー セキュリティセミナー Win.Trojan.Dokstormac MD5 Hash: 9576c9d64a8eaefb1c76e099cba98813 良く知られた会社(Adobe 社)を語っているが、自己署 名ゆえ、認証局から信頼さ れたものではない。(偽装) © 2013 Macnica Networks Corp. All rights reserved. 5 デジタル署名が付いたマルウェア レベル10 Adobe Opera Bit9 Aurora Pandaのドロッパー MD5 Hash: 918f76b341b40af346ae7a1358548799 上記の会社を攻撃し、 盗んだコードサイニ ング証明書を使って、 マルウェアにデジタ ル署名を追加。 Deep PandaのRAT MD5 Hash: 46db73375f05f09ac78ec3d940f3e61a Bit9社が 社がAurora Pandaに攻撃を受けた際の調査結果: に攻撃を受けた際の調査結果: 社が https://blog.bit9.com/2013/02/25/bit9-security-incident-update/ 経営者と情報システム部門のための 戦略的サイバー セキュリティセミナー © 2013 Macnica Networks Corp. All rights reserved. 6 デジタル署名が付いたマルウェア レベル5 McAfee社によると、6.6%のマルウェア に正規のデジタル署名が付いている。 デジタル署名は、偽造や盗んだもので はない。認証局から正規に発行された コードサイニング証明書によって追加さ れたデジタル署名ものである。 http://www.networkworld.com/news/2013/100313-mcafee-malware-274481.html 経営者と情報システム部門のための 戦略的サイバー セキュリティセミナー © 2013 Macnica Networks Corp. All rights reserved. 7 言語を偽装 Aurora Pandaのドロッパー( のドロッパー(MD5 Hash: 918f76b341b40af346ae7a1358548799)のリソース )のリソース のドロッパー( 一見すると、英語 環境でコンパイ ルされたファイル に見えるが、、、 経営者と情報システム部門のための 戦略的サイバー セキュリティセミナー 別のツールで確認 すると、中国語の 痕跡が見つかる。 © 2013 Macnica Networks Corp. All rights reserved. 8 マルウェアの分割 マルウェアを分割して配送す ることで、途中経路にあるセ キュリティ製品の検知を回避。 結合するためのロジックは、 別のマルウェア検体に含まれ ているケースが多い。 経営者と情報システム部門のための 戦略的サイバー セキュリティセミナー © 2013 Macnica Networks Corp. All rights reserved. 9 代替データストリーム(ADS) ) 代替データストリーム( NTFSファイルシステムにおいてサポートされた標準 ファイルシステムにおいてサポートされた標準機能 ファイルシステムにおいてサポートされた標準機能 作成者、タイトル、サムネイル画像といったファイルの属性情報が格納される。 Windows上のエクスプローラからはその存在が表示されない。 Vista以降では、dirコマンドのオプション(/r)で確認できる。 マルウェアの隠し場所として利用されたことがあった。 一昔前は、アンチウイルス製品で検知できなかった。 現在でも、攻撃者は、アンチフォレンジックの目的で隠し場所として利用することが ある。 c:¥temp>type malware.exe > hoge.txt:malware.exe c:¥temp>mklink backdoor.exe hoge.txt:malware.exe c:¥temp>backdoor 経営者と情報システム部門のための 戦略的サイバー セキュリティセミナー © 2013 Macnica Networks Corp. All rights reserved. 10 XOR暗号されたマルウェア 暗号されたマルウェア 暗号化された 元の状態 元の状態 経営者と情報システム部門のための 戦略的サイバー セキュリティセミナー 復号化した 状態 © 2013 Macnica Networks Corp. All rights reserved. 11 XOR暗号されたマルウェア 暗号されたマルウェア 暗号化された 元の状態 元の状態 復号化した 状態 復号するための鍵は、別のマルウェア検体に含まれているケースが多い。 経営者と情報システム部門のための 戦略的サイバー セキュリティセミナー © 2013 Macnica Networks Corp. All rights reserved. 12 XOR暗号された 暗号されたC2通信 暗号された 通信 感染端末 $j Pヌ D$霎・ 記$tζ3jQ吋 $L吋$P吋$T吋$X吋$¥・C 汽$h吋$吋$3タ吋$0吋$,暁咸・h`・ ・h`・・曲凝iノ・ 咸|$亀$4欝$ +)、{ィ)/+)、{ッ)+)、{ソ)ャ+)、{コ)ャ +)Richュ$亀$8鵜$@欝$(鵜$0iタ・ 吋$<吋$,好$$P・ーC 広$Dヌ D$< ヌD$@・・・・ヌD$D ヌD$H・C Q亀$lR・|C ・エC j j jW・モ 玖汽$hP・xC 広$Qjh9 W・モ亀$hR愚・XC ;・>墾$ 汽 $hP液$@ヌD$D・・・・・xC 広$Qjh9 W・モ亀$hR ・ 記$tζ3タj吋 $L吋$P吋$T吋 $X吋 攻撃者 C2サーバ 解析 (暗号解読) c:¥>ipconfig /all Windows IP 構成 イーサネット アダプター ローカル エリア接続: 物理アドレス. . . . . . . . . . . : F0-DE-F1-BE-64-47 DHCP 有効 . . . . . . . . . . . . : いいえ 自動構成有効. . . . . . . . . . . : はい IPv4 アドレス . . . . . . . . . . : 192.168.10.55(優先) サブネット マスク . . . . . . . . : 255.255.255.0 デフォルト ゲートウェイ . . . . . : 192.168.10.254 DNS サーバー. . . . . . . . . . . : 172.16.11.65 172.16.11.66 NetBIOS over TCP/IP . . . . . . . : 有効 経営者と情報システム部門のための 戦略的サイバー セキュリティセミナー 日本で観測された攻撃 キャンペーンでは、 XOR暗号の鍵がコネク ション毎に変化していた ことも。 © 2013 Macnica Networks Corp. All rights reserved. 13 正規通信に偽装するC2通信 正規通信に偽装する 通信 独自プロトコルから一般プロトコルへ 独自プロトコルから一般プロトコルへ HTTP(S) DNS (TXTレコード) ICMP 正規サーバと通信 Google翻訳を経由してC2サーバと通信 Twitterのブツヤキをコマンド 脆弱性をかかえた正規サイトをハッキングしてC2サーバに仕立てる ClouDNS 経営者と情報システム部門のための 戦略的サイバー セキュリティセミナー © 2013 Macnica Networks Corp. All rights reserved. 14 マルウェアによる情報収集 c:¥>ipconfig /all c:¥>netstat -an c:¥>netstat -rn 感染端末上で、マルウェアは 様々な情報を収集し、組織内の ネットワークを把握していきます。 c:¥>net view /domain:masamoto サーバー名 注釈 ------------------------------------------------------------------------------¥¥NEWB-PC ¥¥WIN-TSQ ¥¥HQADMIN ¥¥ADMIN123 コマンドは正常に終了しました。 IPアドレス 通信している内部サーバ ルーティング情報 ファイルサーバ 機密ファイルの場所 など。。。 c:¥>net use 新しい接続は記憶されません。 ステータス ローカル名 リモート名 ネットワーク名 ------------------------------------------------------------------------------OK N: ¥¥fileserv¥HQ Microsoft Windows Network 切断 ¥¥192.168.128.180¥IPC$ Microsoft Windows Network コマンドは正常に終了しました。 c:¥>find /n /i "secret" c:¥Users¥Administrator¥Documents¥*.* 経営者と情報システム部門のための 戦略的サイバー セキュリティセミナー © 2013 Macnica Networks Corp. All rights reserved. 15 パスワードを パスワード・ハッシュ) パスワードを窃盗するアプローチ (LM/NTLMパスワード・ハッシュ) ディスク(SAM)からハッシュ値を抜く )からハッシュ値を抜くツール ディスク( )からハッシュ値を抜くツール LMハッシュ ハッシュ NTLMハッシュ ハッシュ 多くの組織で、ビルトインのAdministratorユーザ(500)のパスワードが、複数の端末で同一になっているケースが多い。 ビルトインのAdministratorユーザ(500)は、デフォルトでUAC(ユーザ・アカウント制御)が無効になっており、危険。 メモリから メモリからハッシュ値を抜く からハッシュ値を抜くツール ハッシュ値を抜くツール LMハッシュ ハッシュ NTLMハッシュ ハッシュ 最近のWindowsでは、セキュリティの観点から、脆弱なLMハッシュはディスクには保存されないが、実はメモリ上には保存され ている。 経営者と情報システム部門のための 戦略的サイバー セキュリティセミナー © 2013 Macnica Networks Corp. All rights reserved. 16 パスワードを パスワード・ハッシュ) パスワードを窃盗するアプローチ (LM/NTLMパスワード・ハッシュ) 気休めにすぎない設定。。。 たしかにハードディスク(SAM)には保存されないが、メモリ上にはLMハッシュ値が保存される。 LMハッシュは脆弱で、解析しやすい。 14文字までのパスワード。(15文字以上はNTLM) 大小文字区別なしで全て大文字に変換される。 アルゴリズムが脆弱。 パスワード総数は約7兆5000億と少なめ。 経営者と情報システム部門のための 戦略的サイバー セキュリティセミナー © 2013 Macnica Networks Corp. All rights reserved. 17 パスワードを パスワード・ハッシュ) パスワードを窃盗するアプローチ (LM/NTLMパスワード・ハッシュ) LM/NTLMハッシュの取得した後は、 レインボーテーブルでパスワードを解析。(Pass-the-Pass攻撃) もしくは Pass-the-Hash攻撃で他の端末へ侵入。 パスワード・ハッシュ値だけでログイン可能。(パスワードそのものは不要) ファイル共有プロトコル(SMB)を使って、リモートからコマンドを実行。 PsExecなどの正規のリモート管理ツールを使うことが多い。 - http://technet.microsoft.com/ja-jp/sysinternals/bb897553.aspx 脆弱性は不要。 マイクロソフト社はPass-the-Hash攻撃に対する修正はリリースしない(できない)。 - http://www.microsoft.com/en-us/download/confirmation.aspx?id=36036 経営者と情報システム部門のための 戦略的サイバー セキュリティセミナー © 2013 Macnica Networks Corp. All rights reserved. 18 パスワードを パスワード・ハッシュ) パスワードを窃盗するアプローチ (LM/NTLMパスワード・ハッシュ) 攻撃者は、ドメイン管理者などの高い権限ユーザを持ったユー ザのパスワード・ハッシュを狙っている。 PCに潜むマルウェアが故意に問題を起こして、管理者によるログインを 誘惑し、管理者のハッシュ値を盗む。 管理者のRDPなどによるリモート・メンテナンスにより、従業員PCのハー ドディスク・メモリに管理者のハッシュ値が残存してしまう。 管理者によるリモート・メンテナンスなどに、ドメイン管理者などの高い権限 のユーザを使うのは非常に危険。 経営者と情報システム部門のための 戦略的サイバー セキュリティセミナー © 2013 Macnica Networks Corp. All rights reserved. 19 パスワードを パスワードを窃盗するアプローチ (その他) ブラウザのフォーム履歴 IE Firefoxのフォーム履歴ファイル(formhistory.sqlite)を SQLiteブラウザで閲覧したところ C:¥Users¥<username>¥AppData¥Local¥M icrosoft¥Internet Explorer¥Recovery¥High¥Last Active¥*****.dat Firefox C:¥Users¥<username>¥AppData¥Roamin g¥Mozilla¥Firefox¥Profiles¥*****.default¥for mhistory.sqlite ARPスプーフィング スプーフィング + Sniffing キーロガー 経営者と情報システム部門のための 戦略的サイバー セキュリティセミナー © 2013 Macnica Networks Corp. All rights reserved. 20 パスワードを パスワードを窃盗するアプローチ (その他) Chromeの場合 の場合 経営者と情報システム部門のための 戦略的サイバー セキュリティセミナー © 2013 Macnica Networks Corp. All rights reserved. 21 ソリューション・マトリックス 既知の脅威に対する対策 (≒ バラマキ型攻撃対策) 偵察 Firewall 武器化 IPS 配送 Spam Firewall / URL Filter 攻撃 パッチ管理 インストール AV 遠隔制御(C2) IPS / URL Filter 侵入拡大 - 目的実行 DLP 未知の脅威に対する対策 (≒ 標的型攻撃対策) 標的型攻撃対策は、既知の脅威対策とは別に設計・実装する必要がある。 経営者と情報システム部門のための 戦略的サイバー セキュリティセミナー © 2013 Macnica Networks Corp. All rights reserved. 22 標的型攻撃について APT:2つの標的化の考え方 マルウェアの問題 攻撃者の問題 2013/7/17 経営者と情報システム部門のための 戦略的サイバー セキュリティセミナー 23 攻撃者のROI 攻撃者の 知的財産の価値 >攻撃にかかるコスト 攻撃します 経営者と情報システム部門のための 戦略的サイバー セキュリティセミナー © 2013 Macnica Networks Corp. All rights reserved. 24 CrowdStrike(クラウドストライク)会社概要 クラウドストライク)会社概要 本社:アメリカ(カリフォルニア州アーバイン) 事業: 事業:大企業や 大企業や政府機関における 政府機関における知的財産 における知的財産や 知的財産や国家機密情報の保護 セキュリティのドリームチーム セキュリティのドリームチーム George Kurtz(ジョージ・カーツ) (ジョージ・カーツ), (ジョージ・カーツ) President/CEO & Co-Founder - 元McAfee社のCTO(Foundstone社の創設メンバー) - セキュリティのベストセラー「Hacking Exposed」の著者の一人 Dmitri Alperovitch(ドミトリ・アルペロヴィッチ) (ドミトリ・アルペロヴィッチ), (ドミトリ・アルペロヴィッチ) CTO & Co-founder - 元McAfee VP of Threat Research - 「Operation Aurora」「Night Dragon」「Shady RAT」解析者で名付け親 Shawn Henry(ショーン・ヘンリー) (ショーン・ヘンリー), (ショーン・ヘンリー) President CrowdStrike Services - 元FBIのサイバー犯罪部門の責任者 経営者と情報システム部門のための 戦略的サイバー セキュリティセミナー © 2013 Macnica Networks Corp. All rights reserved. 25 Adversary Groups CHINA Comment Panda: Panda: Commercial, Government, NonNon-profit IRAN Clever Kitten: Energy Companies Deep Panda: Panda: Financial, Technology, NonNon-profit Foxy Panda: Panda: Technology & Communications Anchor Panda: Panda: Government organizations, Defense & Aerospace, Industrial Engineering, NGOs Impersonating Panda: Panda: Financial Sector Karma Panda: Dissident groups INDIA Viceroy Tiger: Government, Legal, Financial, Media, Telecom Keyhole Panda: Electronics & Communications Poisonous Panda: Energy Technology, G20, NGOs, Dissident Groups RUSSIA Putter Panda: Governmental & Military Toxic Panda: Dissident Groups Union Panda: Industrial companies Energetic Bear: Oil and Gas Companies Vixen Panda: Government 経営者と情報システム部門のための 戦略的サイバー セキュリティセミナー Copyright©2013 Macnica Networks Corp. All rights reserved. 26 Intelligence Report マルウェア検体やC2をリバースエンジニアリングした調査結果を元に、攻撃 マルウェア検体や をリバースエンジニアリングした調査結果を元に、攻撃 者に特有のTTPs( (Tactics, Techniques, and Procedures)に関する情報 )に関する情報 者に特有の が満載。 マルウェア・バイナリの暗号化手法 C2の暗号化手法 C2の暗号化データを復号化するためのスクリプト(Python) C2の通信内容、実装コマンド 攻撃の痕跡(ファイルシステム、レジストリ、ハッシュ、カーネルドライバ) 感染後に使用するツールや役割 攻撃者の人物的な個人情報、背景 etc. 経営者と情報システム部門のための 戦略的サイバー セキュリティセミナー © 2013 Macnica Networks Corp. All rights reserved. 27 サンプルレポート サンプルレポートをご覧 サンプルレポートをご覧になりたい方は、 ご覧になりたい方は、 経営者と情報システム部門のための 戦略的サイバー セキュリティセミナー © 2013 Macnica Networks Corp. All rights reserved. 28 Actionable Intelligence Feed 偵察 武器化 Yaraルール ルール Snortルール ルール 配送 攻撃 インストール 遠隔操作(C2) 遠隔操作( ) 侵入拡大 CSVデータ データ IPアドレス、ドメイン、 アドレス、ドメイン、URL アドレス、ドメイン、 ハッシュ(MD5、 、SHA1、 、SHA256) ) ハッシュ( Mutex ファイル名、 ファイル名、ファイルパス レジストリ etc. 目的実行 経営者と情報システム部門のための 戦略的サイバー セキュリティセミナー © 2013 Macnica Networks Corp. All rights reserved. 29 Yaraルール ルール rule CrowdStrike_CSIR_12024_01 : deep_panda derusbi mygeeksmail artifacts { meta: weight = 100 copyright = "CrowdStrike, Inc." description = "Strings in Derusbi malware, decoder available in report" version = "1.0" last_modified = "2013-04-04" actor = "DEEP PANDA" report = "CSIR-12024" malware_family = "Derusbi, MyGeeksmail" in_the_wild = true strings: $isapi = "ISAPI_CONNECT" $pcsock = "PCC_SOCK" $pcc = "PCC_PROXY" $webprox= "PCC_WEBPROXY" $obwidget1 = { C1 F8 0? 32 C? 88 04 2e 46 } $obwidget2 = { E8 ?? 1? 00 00 32 C? 88 04 2E 46 } condition: 2 of them } 経営者と情報システム部門のための 戦略的サイバー セキュリティセミナー © 2013 Macnica Networks Corp. All rights reserved. 30 Snortルール ルール alert tcp any any <> any any (msg: “BackDoor Beacon Attempt”; content:”|78 7c 71 4c 4a 49 49 49 4A 4C 46|”; classtype:backdoor; sid:123456; rev:27122011;) alert tcp any any <> any any (msg: “BackDoor Beacon Attempt”; content:”Google”; http_uri; classtype:backdoor; sid:123457; rev:27122011;) alert ip 1.9.5.38 any <> any any (msg: “Malicious Host Detected”; classtype:backdoor; sid:123460; rev:27122011;) alert tcp any any <> any any (msg:”BackDoor Beacon Attempt”; content:”|03 01 74 80 82 21 b5 64 c2 74 22 e3 02 00 00 00 49 03 00 00 00 00 00 00 00 00 00 00 00 00 00 00|”; classtype:backdoor; sid:123458; rev:27122011;) alert ip 202.86.190.3 any <> any any (msg:”Malicious Host Detected”; classtype:backdoor; sid:123459; rev:27122011;) alert tcp any any <> any any (msg: “BackDoor C2”; content: “POST /forum/login.cgi HTTP/1.1”; content:”User-Agent: Mozilla/4.0”; classtype:backdoor; sid:123461; rev:27122011;) alert tcp any any <> any any (msg: “BackDoor C2”; content: “GET /Photos/Query.cgi?loginid=”; classtype:backdoor; sid:123462; rev:27122011;) alert tcp any any <> any any (msg: “BackDoor C2”; content: “POST /Catelog/login1.cgi HTTP/1.1”; content:”User-Agent: Mozilla/4.0”; classtype:backdoor; sid:123461; rev:27122011;) 経営者と情報システム部門のための 戦略的サイバー セキュリティセミナー © 2013 Macnica Networks Corp. All rights reserved. 31 Indicator Hierarchy http://computer-forensics.sans.org/blog/2009/10/14/security-intelligence-attacking-the-kill-chain/ Adversary Variability (変わりやすさ、ばらつき) (攻撃者=TTPs) ) (攻撃者= IPアドレス アドレス 難読化手法 C2サーバ サーバ エクスプロイト(攻撃コード) 配送方法 配送方法 マルウェア・ マルウェア・ハッシュ値 経営者と情報システム部門のための 戦略的サイバー セキュリティセミナー © 2013 Macnica Networks Corp. All rights reserved. 32 FireEye + Yara 経営者と情報システム部門のための 戦略的サイバー セキュリティセミナー © 2013 Macnica Networks Corp. All rights reserved. 33 コンピュータ・フォレンジック PC内の様々なデータからタイムラインを作成し、全体を俯瞰しながら、あたり 内の様々なデータからタイムラインを作成し、全体を俯瞰しながら、あたり を付けて、解析していく。 調査個所 攻撃者の作業領域 (C:¥Users¥<username>¥AppData¥Local¥Temp など) Master File Table ($MFT) INDXファイル ($I30) Prefetchファイル (C:¥Windows¥Prefetch¥) 代替データストリーム (ADS) Web閲覧履歴 レジストリ (ASEP、UserAssist、MUICache など) イベントログ メモリ など。。。 調査個所が多岐に渡り、高い専門性が必要。 経営者と情報システム部門のための 戦略的サイバー セキュリティセミナー © 2013 Macnica Networks Corp. All rights reserved. 34 コンピュータ・フォレンジックの課題 現場の課題 専門性が高く、自社でスキルを持った社員をかかえるのは困難。(ファイルシステ ム、レジストリ、メモリダンプ、イベントログ等の解析スキルが必要。) 感染の疑いのあるPCが多数存在する。 感染端末が遠隔地にある場合、対応が難しい。 既に痕跡が消えている。 アンチ・コンピュータ・フォレンジック(攻撃者が使うテクニック) 暗号化などのデータ秘匿。 マルウェアの自己消去。 ログの消去。 タイムスタンプの改ざん。(Timestompなどのアンチフォレンジック・ツール) フォレンジック行為を検知する機能が実装されたマルウェア。 経営者と情報システム部門のための 戦略的サイバー セキュリティセミナー © 2013 Macnica Networks Corp. All rights reserved. 35 ETDRとは とは ETDR = Endpoint Threat Detection and Response Tools エンドポイント端末にインストールするエージェントで、下記二つの機能を持つ。 脅威の検知。(エクスプロイト、マルウェア、C2通信などを発見) フライトレコーダ機能。(プログラムの実行、レジストリの変更、通信状況などを記 録する機能。) PC プログラムの実行履歴 レジストリの変更履歴 通信履歴 管理 サーバ コンピュータ・フォレンジック に必要な情報を管理サー バへ随時アップロードする。 ETDRはガートナー社が名付けたカテゴリ。 はガートナー社が名付けたカテゴリ。 http://blogs.gartner.com/anton-chuvakin/2013/07/26/named-endpoint-threat-detection-response/ http://blogs.gartner.com/anton-chuvakin/2013/08/05/endpoint-threat-detection-response-deploymentarchitecture/ 経営者と情報システム部門のための 戦略的サイバー セキュリティセミナー © 2013 Macnica Networks Corp. All rights reserved. 36 ETDRの強み の強み インシデント発生時における証拠保全のプロセスが不要になる。 コンピュータ・フォレンジックに必要な情報がいつでも素早く閲覧できる。 レジストリの変更履歴 プログラムの実行履歴 通信の履歴 脅威の発生履歴 など。 PC内のデータでタイムスタンプが改ざんされても、 内のデータでタイムスタンプが改ざんされても、ETDRで取得されたデータ で取得されたデータ 内のデータでタイムスタンプが改ざんされても、 には影響ない。 多くの端末を横断的にフォレンジックできる。 コンピュータ・フォレンジックの世界で、イノベーションが起きるか? 経営者と情報システム部門のための 戦略的サイバー セキュリティセミナー © 2013 Macnica Networks Corp. All rights reserved. 37 CrowdStrike Falcon Host 管理画面 その1 フライトレコーダ 攻撃を検知した端末一覧 攻撃を検知した端末一覧 攻撃者名 経営者と情報システム部門のための 戦略的サイバー セキュリティセミナー © 2013 Macnica Networks Corp. All rights reserved. 38 CrowdStrike Falcon Host 管理画面 管理画面 その2 プロセスの詳細 アクセスされたファイル 経営者と情報システム部門のための 戦略的サイバー セキュリティセミナー © 2013 Macnica Networks Corp. All rights reserved. 39 CrowdStrike Falcon Host 管理画面 管理画面 その3 VTの結果 の結果 通信先の特定 経営者と情報システム部門のための 戦略的サイバー セキュリティセミナー © 2013 Macnica Networks Corp. All rights reserved. 40 ご清聴ありがとうございました。 研究センターのブログを開設! 研究センターのブログを開設! http://blog.macnica.net/ 世界の最新セキュリティ技術や動向を紹介! 経営者と情報システム部門のための 戦略的サイバー セキュリティセミナー © 2013 Macnica Networks Corp. All rights reserved. 41
© Copyright 2024 Paperzz