TokyoBlackHatNews

bleepingcomputer.com 8分で読了

NDRを使ってネットワーク上のダークウェブ脅威を見つける方法

Image

サイバーセキュリティの専門家は、企業ネットワークがランサムウェア、不正な内部関係者の活動、データの持ち出しなど、ダークウェブのリスクにとって格好の標的であることを認識しています。あまり知られていないのは、こうした活動の証拠が日常のネットワークトラフィックの中に紛れて、目に見える形で隠れていることです。

ネットワーク検知&対応(NDR)を活用するセキュリティリーダーにとって、これらの隠れたシグナルは防御のチャンスとなります。

ネットワーク上でダークウェブの脅威を見つける方法を知りたいですか?

検知と調査のためにNDRを活用するには、まず次の4つの基本ステップから始めましょう:

ステップ1:ダークウェブへのゲートウェイを知る

パブリックウェブとは異なり、ダークウェブはTorブラウザ、Invisible Internet Project(I2P)、Freenetのようなピアツーピア(P2P)ネットワークなど、ユーザーの出所を隠し、トラフィックを暗号化し、検知を回避する匿名化ツールに依存しています。

こうした活動を隠す能力があっても、ダークウェブの動きの兆候はネットワークデータに記録されています。

特徴的な兆候としては、異常なポートの使用、暗号化されたトラフィックパターン、Torのエントリノードやエグジットノードとの通信(ステップ4で詳述)が挙げられます。

ステップ2:NDRを理解する

NDRシステムはネットワークトラフィックをリアルタイムで監視し、AI、機械学習、行動分析を活用して不審または悪意のある活動を特定します。NDRはまた、ネットワーク活動の包括的な記録を保持し、重要な履歴や文脈を提供します。

これらのインサイトにより、チームはNDRをSOCインフラやプロセスに統合し、ダークウェブによる脅威を含むサイバー脅威の検知平均時間(MTTD)や対応平均時間(MTTR)を改善できます。

ステップ3:NDRを展開してダークウェブの可視性を強化

コアネットワーク、エッジ環境、内部セグメント全体のトラフィックを監視しましょう。主な推奨事項は以下の通りです:

  • 戦略的な場所にNDRセンサーを設置:
    高価値資産を持つネットワークセグメントに注目し、コマンド&コントロール(C2)活動やデータ持ち出しの試みを検知します。

  • ノースサウストラフィックを分析: NDRを使って内部から外部への通信を検査し、ダークウェブとのやり取りの可能性を検知します。

  • ラテラルムーブメントを追跡: デバイス間の内部トラフィックを監視し、ダークウェブ関連の脅威を示す兆候を探します。

ステップ4:NDRで検知・ハンティング

ネットワークのベースライン化から始める

NDRの導入は、プラットフォームが組織の通常トラフィックを学習するための30日間のベースライン化期間から始まることが多いです。完了後、NDRは以下のようなダークウェブ活動の兆候を自動的にフラグできます:

  • これまで知られていなかった外部IPとの新しい通信

  • 過剰なピア接続

  • 不審なファイル転送プロトコルや異常なドメインへのトラフィック

  • 通常を装った異常なアウトバウンドトラフィック(ダークウェブマーケットプレイスへのデータ持ち出しの可能性)

ベースラインが確立されたら、NDRの設定を調整して、ターゲットとなるダークウェブ指標の自動検知を行うことができます。

すでにネットワークが侵害されている場合、NDRが脅威活動を「通常」と誤認しないよう注意が必要です。

そのため、ネットワークのベースライン化には積極的な分析と環境の理解が必要です。

Tor活動の自動検知

  • デフォルトのTorポート(9001、9030、9050)で通信するデバイスに対して動的アラートを設定します。

  • トンネルログを監視し、圧縮されたTLSヘッダー、独特なネゴシエーション動作、異常に長いセッション、高帯域幅使用などの不規則なパターンを検出します。

  • 特徴的なパケット長やハンドシェイクなど、Torトラフィックのシグネチャをスキャンします。

  • 既知のTorエントリノード、リレー、ブリッジ、Obfourscatorや「obfs4」ノードへの接続を追跡します。複数の外部IP間で頻繁に切り替わるトラフィックや匿名化サービスとのやり取りをフラグします。

  • CorelightのOpen NDRプラットフォームInvestigatorは、ネットワークメタデータ(接続、プロトコル、TLS接続や証明書を含む)、Suricataシグネチャ、機械学習アルゴリズムによる検知を通じてTor接続の可視化を提供します。

I2PおよびP2P接続の監視

  • I2Pポート(7650~7659)やBitTorrent/P2Pポート(6881~6889)でのトラフィックに対して動的アラートを設定します。

  • ランダムまたは外部IPへの高いアウトバウンドUDPトラフィックを監視し、I2Pトンネルの兆候を検出します。

  • I2Pピア発見でよく見られる、未知または解決不能なIPや不明なUDPポートへの周期的なスパイクを監視します。

  • 分散IP間での持続的かつ長時間のP2Pセッションを検知し、Freenet活動を示唆します。

  • Freenetや他の匿名化ツールで一般的な自己署名証明書を検出します。

  • 高エントロピーまたはランダムなドメイン名への持続的な接続を示すワークステーションやデバイス(IoT含む)をフラグします。これは匿名化サービスの一般的な兆候です。

  • CorelightのEncrypted Traffic Collectionは、異常な証明書、予期しない暗号化、その他TLSの異常を特定し、暗号化されたI2PやP2P接続の利用を示唆するのに役立ちます。

不審なDNS活動の追跡

  • .onionアドレス、珍しいサブドメイン、匿名化ツールに関連するドメインへのアクセス試行を含むDNSログを監視します。

  • 低評価、ほとんど使われない、または悪意のあるドメインへのクエリをフラグします。特にVPNやプロキシに関連するものに注意。例として、旧ソ連向けの.suドメインへのDNSリクエストは、ほとんど正当なものではありません。

  • 内部DNSを回避し、外部DNSサーバーを利用するデバイスを検出します。これは匿名化ツールの利用を示唆する場合もありますが、組織のネットワークセキュリティポリシーや方針への違反である可能性が高いです。

VPN接続の監視

  • 有名なコンシューマー向けVPNプロバイダー(例:NordVPN、ExpressVPN、ProtonVPN)への接続を検出します。

  • 非標準VPNポート(OpenVPN: 1194、Layer Two Transport ProtocolまたはL2TP: 1701)での通信をアラートします。

  • OpenVPN、IPSec、WireGuard経由のトラフィックや、これらのサービスに紐付くカスタムSSL/TLS証明書の利用をフラグし、現行ポリシーや運用で許可されているかを判断します。

  • CorelightのVPN Insightsパッケージは、400以上のユニークなVPNプロトコル、プロバイダー、タイプを特定し、調査のために重要なメタデータ(発信国など)とともに記録します。

「不可能な移動」、ジオロケーションなどの異常を監視

  • ユーザーやデバイスのIPジオロケーションデータを使い、「不可能な移動」の事例(例:オフィスにいるユーザーのはずが遠隔地の国からのログイン)を特定します。

  • 組織の通常の業務範囲外の疑わしい地域や国からの接続を検出します。

  • 正当な業務用途が特定できないトラフィックを探します。

侵入の可能性を示すラテラルムーブメントをフラグ

  • 複数のシステム間を経由して外部エンドポイントに到達する内部トラフィックをフラグします。

  • 内部デバイス間の異常な活動、特にSOCKSプロキシ/トンネルなど予期しないプロトコルの使用を監視します。

  • CorelightのEncrypted Traffic Collectionは、暗号化された接続でも異常なリモート管理トラフィックを特定でき、攻撃者がネットワーク内でSSHやRDPを用いて横移動する際の悪用を可視化します。

マルウェアおよびコマンド&コントロール(C2)ビーコンの検知

  • Yaraを使ってネットワークトラフィックから抽出したファイルを分析し、マルウェアや不審なバイナリを探します。

  • 「チェックイン」活動のパターンをログで確認します。これらは5分ごとや1時間ごとなど、一定間隔で発生することがあります。

  • CorelightのC2 Collectionは、攻撃の準備、C2の確立、追加ツールのダウンロードによく使われる数十種類の攻撃フレームワーク、RAT、マルウェアを特定します。

脅威インテリジェンスを追加

  • 脅威インテリジェンスフィードを追加して既知のダークウェブ活動を相関させます。フィードを統合して、ハッシュ、IP、C2ドメインなどのIoC(侵害指標)をフラグします。

  • 第三者の脅威インテリジェンスサービスを雇い、自組織に関する話題や環境からのデータ漏洩についてダークウェブを監視することを検討してください。

  • 不審または侵害された場所からのログイン試行を外部認証情報監視で追跡します。

  • CorelightのIntel Frameworkは、数百万の指標をラインレートで照合し、ピンポイントな検知と調査のためのアラートやログを生成します。

適切にチューニングされたNDRソリューションは、組織のダークウェブ活動検知能力を大幅に強化し、全体的なサイバーセキュリティ体制を向上させます。

CorelightのOpen NDRプラットフォームは、統合された多層検知、ファイル分析、高度なプロトコル監視、包括的な長期ネットワークメタデータ収集を特長としています。
 
Corelight NDRについてさらに知りたい方や、ご自身のネットワークでこれらのダークウェブ検知機能を有効化する方法について相談したい方は、corelight.comをご覧ください

スポンサーおよび執筆:Corelight

翻訳元: https://www.bleepingcomputer.com/news/security/how-to-spot-dark-web-threats-on-your-network-using-ndr/

ソース: bleepingcomputer.com
#.NET malware #24/7-Monitoring #Advanced Threat Detection #AI in Cybersecurity #Aliaksandr Klimenka #Command and control (C2) #dark web #Data Exfiltration #enterprise network security #I2P

関連記事

MicrosoftのCoreutilsプロジェクト、LinuxコマンドをWindowsにネイティブ移植

OpenAI、GPT-5.5をアップグレード——レガシーモデルの廃止計画も発表

重大なKirki脆弱性、WordPress管理者アカウント乗っ取りに悪用