ファイアウォールまたはルーターがハッキングされた場合、ほぼアラームが鳴ることはありません。エンドポイント検出・対応(EDR)ツールはこれらのエッジデバイスでは実行されず、ネイティブログはしばしば不十分です。
セキュリティチームにとっては、ただの平常日のように見えるかもしれません。一方、侵害されたデバイスは静かに攻撃者が制御するサーバーに接続し、マルウェアをダウンロードし、さらなるコマンドを待っています。
これらの隠れた脅威を暴露するために、脅威インテリジェンス企業GreyNoiseは新しいC2検出モジュールを開始しました。このツールは、ネットワーク内のエッジデバイスが既知の悪意あるインフラストラクチャと通信するときに、セキュリティチームに高信頼アラートを提供します。
インバウンドスキャンへの従来の焦点を超えて拡大することにより、GreyNoiseは現在、アウトバウンドトラフィック分析を通じてアクティブな侵害を検出するために組織を支援しています。
GreyNoiseはそのペイロードから得られたインテリジェンスを使用してこの新しい機能を構築しました。実際のターゲットに対するエクスプロイトの成功を待つ代わりに、同社のグローバルセンサーネットワークは、攻撃者がインターネット全体にブロードキャストするエクスプロイトペイロードをインターセプトします。
システムはこれらのペイロードから埋め込まれたコールバックIPアドレスを抽出します。その後、それらの宛先に積極的に接続し、ホストされたマルウェアをダウンロードし、ファイルを分析して攻撃者のコマンド・アンド・コントロール(C2)ネットワークをマップアウトします。
この継続的なプロセスは、確認された悪意あるIPアドレスとファイルハッシュのリアルタイムデータセットを作成します。
セキュリティチームは、このアウトバウンド脅威インテリジェンスを数つかのキーな方法で使用できます。
ディフェンダーが対応を優先順位付けできるように支援するため、GreyNoiseは攻撃者のキルチェーンに基づいて、すべてのコールバックIPを特定のステージに分類します。
このステージベースのモデルはGreyNoiseユーザーに重要な第2信号を提供します。以前、プラットフォームはあなたの組織のIPがボットネット内のスキャナーとして機能しているかどうかのみを伝えることができました。現在、それはあなたのアウトバウンドトラフィックが攻撃者に帰宅呼び出ししているかどうかも確認できます。
C2検出モジュールは、既存のワークフローを変更することなく、新しいコールバックIPデータセット、マルウェアハッシュ、およびAPIクエリパラメータを導入します。
ユーザーはGreyNoise APIまたはビジュアライザーを通じてIPアドレスをクエリし、境界侵害がエスカレートする前に停止するための実行可能なインテリジェンスを受け取ります。
翻訳元: https://cyberpress.org/greynoise-spots-c2-traffic/