ベッキー・ブラッケン
こんにちは、Dark Reading Confidentialへようこそ。これは、Dark Readingの編集者たちがサイバーの最前線から直接お届けする実話に焦点を当てたポッドキャストです。
私の名前はベッキー・ブラッケンです。Dark Readingのホスト兼編集者を務めています。今日は、Dark Readingの編集長、ケリー・ジャクソン・ヒギンズと、Dark Readingのコンテンツ運営管理編集者、ジム・ドナヒューと一緒にいます。本日は、「最も意外な場所でAPTグループを発見した日」と題した興味深い会話をお届けできることを大変嬉しく思います。
今日は、興味深い話を持つ2人の研究者が参加しています。どうぞ、アークティックウルフの脅威研究担当副社長、イスマエル・バレンスエラにお会いください。こんにちは、ご参加いただきありがとうございます。
イスマエル・バレンスエラ
こんにちは、ベッキー。お招きいただきありがとうございます。
ベッキー・ブラッケン
また、シスコタロスのリードセキュリティ研究者、ビトール・ベンチュラも参加しています。ビトール、ご参加いただきありがとうございます。
ビトール・ベンチュラ
ここに参加できて光栄です。ありがとうございます。
左から右へ:ベッキー・ブラッケン、ジム・ドナヒュー、ビトール・ベンチュラ、イスマエル・バレンスエラ、ケリー・ジャクソン・ヒギンズ。2015年5月13日の録音中。
ベッキー・ブラッケン
これらの専門家は、APTグループを現行犯で捕まえた実体験を語るためにここにいます。私たちの目的は、APTサイバー攻撃の急増から自分たちのシステムをどのように守るかについて、視聴者に洞察を提供することです。
今日は、アークティックウルフに参加する前にBlackBerryで研究者として活躍していたイスマエル・バレンスエラから始めます。彼はそこで、米国の自動車メーカーを狙うロシアのAPTグループ、FIN7を発見しました。イスマエルにこの脅威を自動車業界でどのように発見したかを語ってもらいたいと思います。
イスマエル・バレンスエラ
はい、これは2年前に文書化したものです。これは野外で見つけたものを示すキャンペーンです。私一人で行うものではなく、これらの努力の背後にはさまざまな役割を持つチームが存在し、顧客の周りで何が起こっているかを監視し、世界中に展開されたセンサーを監視しています。
このケースでは、ランサムウェアの前兆を発見しました。通常、攻撃チェーンの最後まで待つ必要はありません。みんなが通常注目するのはランサムウェア、ランサムウェアのペイロードですが、これらは攻撃チェーンの終わりに向かって起こることです。
適切なインテリジェンスを持って、これがサードリサーチチームが焦点を当てていることであり、これらの活動の前兆を理解しようとすることで、通常とは異なるものがあるときに行動を起こすことができます。この特定のケースでもそうしました。
関連記事:大手小売業者がScattered Spiderのランサムウェアの網にかかる
ベッキー・ブラッケン
この特定のケースでは、何が通常と異なっていたのでしょうか?何があなたの興味を引いたのでしょうか?
イスマエル・バレンスエラ
さて、報告書を見てみると、攻撃者が合法的なウェブサイトに見えるウェブサイトを設定し、フィッシングキャンペーンを送信していることがわかります。場合によっては、ビッシングさえもあります。これは、これらの金銭的動機を持つグループ全体で非常に一般的なことです。この場合、FIN7について話していますが、他にもたくさんあります。
彼らは通常、高プロファイルの個人、ある程度のアクセスを持つ人々をターゲットにします。多くの場合、金融機関や金融チームで働く人々、場合によってはIT担当者、さらにはセキュリティチームの人々です。この場合、彼らはIPスキャナーをホストするウェブサイトをクローン化していました。セキュリティチーム内で通常使用するツールです。
彼らはタイプスクワッティング技術、または私はそれを「いとこドメイン」または「似たようなドメイン」と呼ぶのが好きですが、これを使用してユーザーを誘い込み、トロイの木馬化された、または武器化されたペイロードをダウンロードさせ、インストールすると、これらの悪意のあるバイナリをダウンロードし、コマンド&コントロールサーバーと通信するようにしました。
関連記事:新しいフィッシング攻撃がAESと毒されたnpmパッケージを組み合わせる
ネットワーク側、エンドポイント側でこの活動をセンサーを通じて見ると、業界で非常によく知られている機械学習技術やクラスタリング技術を使用します。たとえ以前に見たことのないバイナリを見ても、以前に悪意があると分類したものに似ていることがわかります。これらの異なる指標をすべて組み合わせることで、何が起こっているのかの全体像を描くことができます。
そして、コマンド&コントロールインフラストラクチャを見てみると、いくつかのオープンSSHサーバーがあることがわかりました。これは、特定の顧客のために一度だけ使用しているのではなく、さまざまなタイプの組織に対するキャンペーン全体で使用していることを示しており、これがFIN7によって行われたことを発見しました。
ケリー・ジャクソン・ヒギンズ
FIN7は長い間存在し、過去数年間でかなり進化してきました。この特定のケースで彼らを見たとき、驚きましたか?自動車メーカーをターゲットにしているのは、彼らにとって異なるセクターではありませんか?
イスマエル・バレンスエラ
良い質問です。彼らをしばらく見てきましたが、2013年からですね。過去には、小売業者、レストラン、ホスピタリティをターゲットにしていることで非常に知られていました。しかし、彼らがいわゆる「大物狩り」に転向しているのを見てきました。これには理由があります。結局のところ、これはビジネスです。これらはサイバー犯罪者であり、彼らも最高の投資利益率を得ようとしています。
ですから、無差別な攻撃を行うのではなく、特定の組織を選んで、貴重なデータを持ち、貴重な操作を持ち、混乱を引き起こすことができる組織を選ぶのです。そして、彼らはお金を持っていることが多く、場合によっては保険も持っているため、支払うことができるのです。これを見てきましたし、過去数年間で彼らが輸送、保険、防衛セクターをターゲットにしているのを見てきました。
ですから、[FIN7]が米国の自動車会社をターゲットにしているのを見たとき、それは彼らが以前に使用していたトレンドに従っていませんでした。そして最近、彼らはまだ非常に活発です。数年前に法執行機関によって混乱させられましたが、多くの場合、彼らは再編成しました。
そして、彼らがこれらのカード詐欺、販売時点管理システムから、ランサムウェア・アズ・ア・サービスのエコシステム、[初期アクセス販売や企業の恐喝を含む]に移行しているのを見てきました。
ケリー・ジャクソン・ヒギンズ
そして、彼らがエスカレートする前に捕まえることができたのですね?彼らが被害者の組織に深く入り込むのをどのように防いだかについて少し話していただけますか?
イスマエル・バレンスエラ
はい、それは私がよく話すことに関連していますが、それは可視性を持つことの重要性です。可視性を持たず、保護にのみ依存している組織は、ロシアンルーレットをしているようなものです。これは非常に重要です。
ですから、彼らがこのシステムに来て、ペイロードをダウンロードして実行した場合、エンドポイントがその日を救うでしょう。はい、その時点でロシアンルーレットをしているのです。しかし、組織全体にわたって十分な可視性がある場合、これはエンドポイント、ネットワークです。多くの場合、攻撃者がクラウドに転向するのを見ているので、クラウド攻撃技術における可視性を持つことが重要です。
それから全体像を組み立てて、「ちょっと待って、これは…これは通常ではない」と言うことができます。そして、以前の攻撃で見られた行動、インフラストラクチャ、技術、TTPに一致します。そして、それを中断するためには、通常、顧客との協力が必要であり、システムを管理し、できるだけ早く対応を引き出す能力を持つことが重要です。このようなケースでは時間を無駄にしないことが非常に重要です。
ジム・ドナヒュー
長期間活動しているグループが突然攻撃の焦点を広げることはどのくらい珍しいことなのでしょうか?
イスマエル・バレンスエラ
うーん。それは良い質問です。まあ、前に言ったように、これらはビジネスです。そして、彼らは私たちのブログを読んでいると言えます。ビトールも同じことを言うでしょう。彼らは彼らのブログも読んでいます。ポッドキャストも聞いています。ええ、彼らも私たちと同じように仕事に行く人々です。そして、これらのトレンドを見ています。ログを見て、この活動が始まるとき、それは通常、ここ東海岸での午前3時、4時頃に関連しています。これは、いくつかの東欧諸国での午前9時、10時に相当します。
そのトレンドも見ることができます。そして、彼らは明らかに多くのお金を投資する能力を持っており、他のグループと協力しています。異なるグループ間の重複が増えており、それがその分割を非常に難しくしています。だから、時々私たちはクラスターについて話します。脅威グループはクラスターで活動しています。
しかし、彼らは確かにピボットする能力を持っています。そして、彼らは何がうまくいくか、何がうまくいかないかを見ています。これらの操作を報告することによって、法執行機関と協力することによって中断すると、彼らは戻ってきて、時間をかけて、時には数週間、数ヶ月間姿を消し、新しいペイロード、新しいキャンペーン、新しい方法で戻ってきます。
ベッキー・ブラッケン
ビトールをここに呼び込みましょう。彼もまた、東欧の政府をターゲットにしたロシア語のAPTグループ、YoroTrooperを発見しました。そのキャンペーンについて少し教えていただけますか?
ビトール・ベンチュラ
もちろんです。これが始まったとき、私たちはこれを探していませんでした。そして、これはあなたが最初に言ったことに戻りますが、予測できない場所でそれを見つける方法についてです。これは2022年頃で、ウクライナをターゲットにするアクターを探していました。そして、データを調べているときに、当時名前のない悪意のあるアクターを見つけましたが、それは実際にはウクライナをターゲットにしていませんでした。
それは私たちにとって驚きでした。ここにキリル文字を使用したマルウェアがあり、Ismaelが言ったように、関連する類似のドメイン名を持つタイプスクワットされたドメインが多数あります。この場合、それはサブドメインでした。しかし、実際にはウクライナをターゲットにしていませんでした。それは私たちにとって驚きでした。
これは、私たちのテレメトリで脅威アクターを探すときに、見えないものを探すべきだということに関連しています。私が言いたいのは、例えば、タロスのレポートを見て、そのレポートで言及されている正確なトレースを自分のテレメトリで実行できるかどうかを確認したい場合、そのデータがない場合、可視性の問題があるということです。これは私たちの業界で通常最大の問題の一つです。あるいは、誰かが私のテレメトリをいじっているために見えていないのかもしれません。だから、脅威ハンティングを行うときには、そこにないものを探す必要があると言います。エンドポイントテレメトリが見つけるものはすでに知られているものです。しかし、非常に高度なアクターを探している場合、私たちが持っていないデータを探すことが重要かもしれません。
報告書で言及されている脅威技術を実行できない理由は、データがないからです。そして、その空白を調べることが重要です。これがYoroTrooperで起こったことです。ウクライナをターゲットにするアクターを探していましたが、見つかりませんでした。これを見つけましたが、すべての特徴を持っていました。それはC2であり、かなりの活動がありましたが、デコイドキュメントはキリル文字で書かれていました。
ビトール・ベンチュラ
しかし、実際にはウクライナをターゲットにしていませんでした。ウクライナ周辺のテレメトリで見ることができませんでした。それが私たちをより深く調べるきっかけとなりました。そして、これが海周辺の国々、組織、トルコをターゲットにしていることを発見しました。そして、彼らがデータをどのように扱っていたか、どのようにデータを流出させていたかを理解しようとしました。そして、私たちはそれを中心にピボットしました。しかし、視聴者にとっての最大の教訓は、私たちがそれをどのように見つけたかということです。それは、私たちのテレメトリでの不一致を探し、私たちが期待していたものと期待していなかったものを探すことです。そして、それが非常に高度なアクターを見つけるための大きな違いを生むことがよくあります。
ケリー・ジャクソン・ヒギンズ
それは非常に挑戦的に思えますね。探していないものを探すというのは、どうやってそのギャップを埋めるのでしょうか?
ビトール・ベンチュラ
そのアイデアは、レポートを手に取るときに…通常、これらのレポートは、悪意のあるアクターが攻撃中に使用したTTPや技術を説明します。そして、もし私が防御者であり、組織を守る必要がある場合、彼らが何をしているかを知っているならば、私は自分のテレメトリに行ってそのデータを集めることができるかどうかを確認したいと思います。
それが最初のステップの一つです。
もしそのデータを集めることができない場合、可視性の問題があります。なぜなら、そのアクターが私の組織に侵入し、同じステップを実行した場合、それを見逃すか、ランサムウェアや他のものをすでにリリースしているときに遅れて気づくことになるからです。ですから、その点では、可視性を持つことが重要です。その一方で、私たちの組織で見られるべき活動もあり、それがない場合、何かが間違っています。
良い例としては、エッジデバイスは通常多くのログを持っています。高度なアクターが最初に行うアクションの一つは、ログを停止することです。ですから、突然そのログがなくなった場合、それは問題です。なぜそのログがないのか?それが私が推奨する演習です。
ただし、注意点として、これは非常にフラストレーションのたまる演習であると言いたいです。何も見つからないかもしれません。なぜなら、本当にそこにないからです。そして、すべてを行う必要があります。だからこそ、脅威ハンティングの活動には、結果を提供する能力とフラストレーションのレベルが必要です。そして、それはアクターを見つけることだけではなく、可視性のギャップを見つけることでもあります。
なぜなら、これを試みるときに、「ああ、データがないなら、問題がある」と気づくからです。そして、それを修正する必要があります。次回の実行では、そのデータを持っていて、そのような活動を探すことができるようになります。
ケリー・ジャクソン・ヒギンズ
本当に興味深いですね。ジム、ここから進めてもらえますか?
ジム・ドナヒュー
これは奇妙な質問に聞こえるかもしれませんが、グループ内の特定の人々がどのくらいの期間いるのか、または何か考えがありますか?イスマエルが見つけたグループは、何年から存在していると言いましたか?人々はその中で長く活動しているのでしょうか?それとも、異なるグループに移動するのでしょうか?
ビトール・ベンチュラ
グループについて話すとき、そしてイスマエルも同意すると思いますが、それは本当に何について話しているかによります。ランサムウェアについて話している場合、ランサムウェアグループは、これにエアカマを付けましょう。さまざまな活動を行う異なるプレイヤーの集合体です。これが何を意味するかというと、
最初に、特定のグループまたはアフィリエイトにアクセスを提供するアクセスブローカーがいるかもしれません。そのアフィリエイトが侵入し、ランサムウェアを展開するかもしれませんが、ランサムウェアは他のランサムウェア・アズ・ア・サービスの人々によって管理されています。この小さな例だけでも、特定の攻撃でグループと考えることができる3つの異なるエンティティがすでにあります。
しかし、実際には、異なるグループや異なる活動で働く3つの異なるエンティティが存在します。この質問をしてくれて面白いと思います。なぜなら、私が言っていたように、私たちはちょうどPIVOTconから戻ってきたところで、私のチームはこのパラダイムをモデル化しようとする試みを発表しました。これはコミュニティへの提案であり、グループ間の相互作用をモデル化するための新しいパラダイムを提案するものです。
現在、グループがあり、活動やTTP、被害者があります。
しかし、私たちは異なる方法で考える必要があります。それは、特定の活動に関与する可能性のある異なるサブグループをすべて調べ、それらが特定の活動に関与している可能性があることを理解する必要があります。
そして、良い例を挙げると、しばらく前に何かを見つけ、先週発表したレポートで[初期アクセスブローカー] ToyMakerを見つけました。そして、ToyMakerに関する全体の話は、東南アジアの組織をターゲットにしたAPTの調査から始まりました。
そして、アクセスを見始め、彼らがシステムに侵入し、システムを侵害し、停止したことがわかりました。そして、数日後にCactusランサムウェアがリリースされました。当時、それは意味を成しませんでした。
TTP、使用された戦術にいくつかの違いがありました。そして、もう少し掘り下げてみると、最初のグループは単なるアクセスブローカーであり、アクセスを取得し、停止し、次にCactusに引き渡され、Cactusが実際にマルウェアをリリースできるようになったことがわかりました。この引き渡しには2つの重要なポイントがあります。1つは、Cactusが誰から購入しているのかを必ずしも知っているわけではないということです。そして、もう一つは、彼らがCactusにアクセスを引き渡し、金銭的な利益を得ようとしている可能性があるということです。
ですから、これを考えるとき、2つの異なるグループと2つの異なるTTPをモデル化する必要があります。なぜなら、彼らは異なるツールを持ち、異なる目的を持ち、組織内での活動も完全に異なっていたからです。最初のグループは、私の記憶では2週間活動し、その後4、5日間何もしませんでした。
そして、ランサムウェアとデータ流出の活動が始まりました。ですから、1つのグループから別のグループへの明確なギャップが見られます。引き渡しがあります。ですから、グループ内の人々について話すとき、グループ自体を特定するのが難しいのに、彼らがどこからどこへ移動するのかを知ることはできません。
私たちの新しいモデルの希望は、グループ間の関係を特定し始めることができることです。たとえ彼らの中に誰がいるのか正確に知らなくても。しかし、このグループ、このアクセスブローカーが通常このグループまたはこのグループにアクセスを販売するという分類を作成できれば、このような引き渡しがどのように機能しているのかをよりよく理解することができます。これまでのところ、脅威をモデル化する方法にはギャップがあります。
ジム・ドナヒュー
ありがとうございました。本当に興味深かったです。
ベッキー・ブラッケン
イスマエル、あなたとビトールが可視性がゲームの名前だと断言しているのを聞いています。サイバーセキュリティチームが最も重要なこととして取り組むべきことはそれだと思いますか?これらのAPTグループを追跡するための最も重要なアドバイスだと思いますか?
イスマエル・バレンスエラ
絶対にそうです。再び、PIVOTconとビトール、あなたのチームも非常に良いプレゼンテーションをしました。スペインのマラガからこの会議に参加して戻ってきたばかりです。
これは、例えば、私はいつも言いますが、あなたの家の警報システムのようなものです。はい、誰かが侵入した場合、警報を持ちたいですし、おそらくスマートドアベルも持っているでしょう。それは誰かがあなたの玄関に近づいているときに知らせてくれるものです。
しかし、多くの人々、少なくとも私がそうするのは、別のシステム、24時間365日録画しているCCTVカメラシステムも持ちたいと思います。それを使用して、ビトールが言ったように、周囲で何が起こっているのかを見つけるためにハンティングを行います。なぜなら、隣人の犬が私の玄関を走り抜けるたびに警報が鳴るのは嫌だからです。ちなみに、これは非常によく起こります。
しかし、警報を持ちたいですし、アラートも持ちたいです。しかし、可視性も持ちたいです。そして、それが基本です。そして、攻撃者は多くの組織、特に成熟度の低い組織がこの種の可視性を持つ能力を持っていないことを知っています。例えば、ビトールはログを停止することについて話していました。それはすべての警報を鳴らすべき最初のことの一つです。
エンドポイントセンサーが報告を停止した場合、エッジデバイスがsyslogの送信を停止した場合、それはすぐに調査すべきことです。
また、アウトバウンド接続に関する可視性もあります。多くのこれらのツールは、例えば、PowerShell、Living-off-the-land技術、Microsoftの正当なバイナリを使用してインターネットから物をダウンロードします。それは通常ですか?ほとんどのシナリオでは、そうではありません。
しかし、ベンダーが「私はこれをすべての人に対して停止します」と言うのは非常に難しいです。なぜなら、それは誤検知を引き起こし、ビジネスを混乱させる可能性があるからです。しかし、この種の可視性を持っている場合、私たちは自分の環境で通常がどのように見えるかを学び、リアルタイムのアラートを作成し、ハンティングを行ってこの種の前兆を見つける能力を持つことができます。
イスマエル・バレンスエラ
そして、これらの多くのことは、ネットワーク、エンドポイント、クラウドからのすべてのテレメトリを収集し、すべての情報をまとめる能力を持つ誰かによって管理されることがよくあります。なぜなら、小さな組織が小売業を行っている場合、例えば、ここアメリカでは、FIN6、FIN7、Scattered Spider、踊るパンダ、飛ぶドラゴンが誰であるかは本当に気にしません。彼らが本当に気にするのは、ビジネスを行う必要があることです。ランサムに何百万も払う余裕はありません。だからこそ、これらの脅威研究チームが存在し、顧客を支援することができるのです。
ベッキー・ブラッケン
ビトール、可視性に関する最後の言葉と、これらの状況に対処するチームへの最良のアドバイスをお願いします。
ビトール・ベンチュラ
はい、確かに可視性。それは私たちが防御するためにできることの基盤の一つです。そして、小さなことが攻撃に対して迅速に反応し、保護するために大きな役割を果たすことがあります。例えば、DNSクエリのログを持ち、誰がどのドメインを解決しているのかを理解することなどです。これらの小さなこと…
そして、大規模な組織では長期間にわたって多くのログを持つことが難しいことは理解しています。それを認識する必要があります。しかし、イベントに1時間で反応するか、3日で反応するかの違いを生む小さなことがあります。そして、それがすべての違いを生みます。ほとんどの組織はその情報を消化する能力を持っていないため、誤検知アラートを準備することをお勧めします。
つまり、誤検知を生成することが不可能なアラートです。良い例としては、誰も使用しないドメインアカウント、ドメイン管理者アカウントがあります。そのアカウントがログインした場合、それは高優先度のアラートです。なぜなら、それが誰かが侵害されたことを示しているからです。そして、そのようなこと、それらの小さなことは、絶対に誤検知がないことを知っていることです。
それらは、基本的に、鉱山のカナリアのように、高リスクの侵害を警告することができます。それに加えて、良い手順があれば、より良い対応を提供することができます。
最終的に、可視性は良いですが、もちろん、すべての[データ]を消化する問題があるため、組織がそれに対処するために実装できる特定のトリックがあります。そして、可視性は基本的に回復のためのツールになります。
ベッキー・ブラッケン
さて、今日は時間が来ましたので、イスマエル・バレンスエラ、ビトール・ベンチュラ、貴重な考えや洞察を共有していただき、本当にありがとうございました。それは非常に役立ちましたし、視聴者にも役立つと思います。ありがとうございました。
Dark Readingを代表して、私の名前はベッキー・ブラッケンです。Dark Readingのケリー・ジャクソン・ヒギンズとジム・ドナヒューを代表して、今日はお時間をいただき、ありがとうございました。Dark Readingの編集者たちがサイバーの最前線から直接お届けする実話に焦点を当てたポッドキャスト、Dark Reading Confidentialをお聞きいただき、ありがとうございました。
ありがとうございました。また次回お会いしましょう。