コンテンツにスキップするには Enter キーを押してください

新しいツールがジッターを捕捉してビーコンを検出

投稿日 2025年6月19日

ビーコン

出典: Federico Caputo via Alamy Stock Photo

攻撃者はアンチビーコニング防御を回避するために高度な戦術をますます使用しており、企業のセキュリティチームは攻撃者がシステムに侵入しデータを流出させる前にビーコニング攻撃を検出するために方法を常に更新しています。

ビーコニングの目的は、システムアクセスを得て被害者のネットワーク内で通信を確立することです。攻撃者—国家主体やサイバー犯罪グループを含む—は、ビーコンを使用して侵害されたシステムと彼らのコマンド&コントロール通信(C2)インフラストラクチャ間で持続的なアクセスを維持します。ビーコンを使用すると、攻撃者はコマンド実行、キーロギング、ファイル転送、権限昇格、横方向移動など、さまざまな悪意のある活動を行うことができます。

ある難読化技術は、「ジッター」として知られるランダム性のパターンを作成し、ターゲットネットワーク内で疑わしいビーコニング活動を隠すことを含みます。この絶え間ない猫とネズミのゲームで企業の防御者を支援するために、VaronisはJitter-Trapという検出技術を開発し、セキュリティチームがこれらの一見ランダムなパターンに集中し、特定するのを助けます。ジッターは、しばしばエクスプロイト後に使用され、C2サーバーとの通信中に使用されます。

「これらの活動はすべて、攻撃者が被害者の環境と通信する際にさまざまなプロトコルを使用して行われ、場合によってはデータ転送のために非従来型のプロトコルを悪用することもあります」とVaronisのシニアセキュリティリサーチャー、Masha Garmizaは警告します。「攻撃者はこの通信を利用して被害者の環境で操作を行い、データを流出させるため、脅威アクターはその通信を検出されないようにするために懸命に働きます。」

関連:NVIDIAの新しいAIセキュリティ提供がソフトウェア地雷を防御

‘回避は急速に進化’

従来の検出方法には、特定のビーコンフレームワーク、PowerShellやスクリプト活動、サンドボックスや静的解析ツールに関連する既知の侵害指標(IOC)を追跡することが含まれます。しかし、回避戦術は急速に進化しているとVaronisは警告し、組織は攻撃者に追いつくために行動ベースの検出に焦点を当てる必要があると付け加えています。

ビーコンは、ファイアウォール、エンドポイント検出および応答(EDR)ツール、セキュリティ情報およびイベント管理(SIEM)システムを回避するのに役立ちます。ある難読化技術は、組織の通常のネットワークトラフィック活動を模倣し、セキュリティチームに警告を発しないようにすることを含みます。さらに、ビーコンはメモリ内でファイルレスで動作するため効果的です。

検出が難しいのは、多くのビーコンフレームワーク、例えばCobalt Strikeが正当なツールを使用するからです。ビーコンは、ランサムウェアグループのようなリモート攻撃者が時間をかけてターゲットシステムへのアクセスを拡大するのを許し、それによって被害者組織によって検出されないようにするのを助けます。

関連:SolarWindsがSquadcastからのインシデント管理ツールを追加

攻撃者が危険なコマンドを実行

ビーコニングホストが検出されない場合、その感染したホストは組織の防御者にとって計り知れないリスクをもたらすと、Lumifi Cybersecurityのアソシエイトセキュリティオペレーションセンターマネージャー、Doug Hofstetterは警告します。それは、マシンがランサムウェアを展開するためのC2サーバーからのコマンドを待っているか、マッピングされた共有ドライブ上のすべてのデータを静かにコピーし流出させ始めるコマンドを待っていることを意味するかもしれません、と彼は付け加えます。 

「感染したマシンに発行されるコマンドがC2サーバーから送信されるまで不明であるため、それは本当に時限爆弾のようなものです」とHofstetterは言います。感染したホストは本質的に攻撃者の手中にあり、サイバー犯罪グループの誰かが組織内でキーボードに手を置いているようなものですが、まだコマンドを入力し始めていません。」

現在、セキュリティアナリストはネットワークトラフィックを詳細に調査してビーコン活動を検出しています。同じホストから外部の同じIPアドレスへの出入の両方のネットワーク接続を追跡することで、活動のパターンが現れ始めます。

関連:インドのカーシェアリング企業Zoomcarが最新の侵害を受ける

しかし、Hofstetterは、高度なビーコンがこれらのタイプの検出を回避するためにランダムな時間間隔を使用し始めていると述べ、転送サイズ、使用されているポート、トラフィックに存在するIOCの異常を探す際にそれらが依然としてフラグされる傾向があると付け加えています。

翻訳元: https://www.darkreading.com/cyberattacks-data-breaches/jitter-trap-tool-detect-beacons

Published in darkreading.com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です