GreyNoiseが悪用されたエッジデバイス向けC2検出を導入

GreyNoiseは、ファイアウォール、ルーター、VPNシステムアセットなどの悪用されたエッジデバイスを識別するための新しい機能「C2検出」を導入しました。これらのデバイスはますます標的にされていますが、従来のセキュリティツールではしばしば可視化できません。

エンドポイントとは異なり、これらのデバイスが悪用された場合、アラートが生成されることはほとんどありません。EDRエージェントがなく、ログは最小限で、ほぼ明らかな侵害の兆候がありません。

代わりに、一度侵害されると、それらは静かに攻撃者が管理するインフラストラクチャに接続し、悪意のあるペイロードをダウンロードして、さらなる指示を待ちます。防御者の観点からは、攻撃者が静かにアクセスを維持している間、何も問題がないように見えます。

エッジおよび周辺デバイスは、現在、インターネット上で最もアクティブに悪用されているシステムの一部です。それにもかかわらず、セキュリティチームはそれらを効果的に監視するのに苦労しています。

GreyNoiseのC2検出は、アウトバウンドトラフィックに焦点を当てることでこのギャップに対処します。アウトバウンドトラフィックは、侵害の唯一のインジケータであることがしばしばあります。

レポートによると、このシステムはGreyNoiseのグローバルセンサーネットワーク全体で観察されたエクスプロイトペイロードを分析することで機能します。攻撃が野外で成功するまで待つのではなく、GreyNoiseはこれらのペイロードに組み込まれたコールバック先を直接抽出します。

その後、これらの場所でホストされているマルウェアを収集および研究し、初期ペイロード配信からコマンド・アンド・コントロール（C2）サーバーまで、攻撃者のインフラストラクチャをマップアウトします。

ペイロード由来インテリジェンスとして説明されるこのアプローチにより、GreyNoiseは悪意のあるコールバックIPおよび関連するマルウェアハッシュの継続的に更新されたデータセットを構築できます。

アウトバウンドトラフィックの活用

セキュリティチームはこのインテリジェンスを使用して、アウトバウンドトラフィックログをGreyNoiseコールバックデータセットと相関させることで、侵害されたデバイスを検出できます。

例えば、組織内のファイアウォールが既知の悪意のあるコールバックIPへの接続を開始する場合、その活動は侵害の強い指標になります。GreyNoiseはこれをコンテキストで強化し、アナリストが攻撃段階を理解し、適切に対応するのに役立ちます。

プラットフォームはSIEMおよびSOARツールと統合され、APIを介して自動ワークフローを有効にします：

さらに、攻撃者のインフラストラクチャはスキャンソースよりも長くアクティブであることが多いため、チームは歴史的分析を実行して、侵害がいつ開始された可能性があるかを追跡できます。

GreyNoiseはコールバックIPを3つの段階に分類して、明確な重大度レベルを提供します：

このモデルは検出を攻撃者のキルチェーン内の位置と一致させ、防御者が実際のリスクに基づいて対応の優先順位を付けることを可能にします。

以前は、GreyNoiseはインターネットを調査して脆弱なシステムを探すIPを追跡するインバウンドスキャン活動に焦点を当てていました。C2検出により、同社は悪用後の可視性に移動し、侵害されたデバイスからのアウトバウンド通信への洞察を提供します。

新しい機能は以下を導入します：

重要なことに、GreyNoiseの既存シグナルを補完します：組織のデバイスがボットネットの一部としてインターネットをスキャンしているときを識別します。

現在、アウトバウンドコールバック検出により、セキュリティチームは侵害の第二の独立した確認を獲得します。

実際には、防御者はもはや限定されたログまたは間接的なインジケータのみに依存する必要がありません。

アウトバウンドトラフィックを高信頼度の検出シグナルに変えることで、GreyNoiseは、重要なネットワークデバイスがすでに侵害されているかどうかという、以前は静かだった問題に対してより明確な答えを提供します。