Cisco Japan Blog

Cobalt Strike への対処に向けた Snort / ClamAV の新たなカバレッジ

1 min read



Cisco Talos は、新たな研究報告「The Art and Science of Detecting Cobalt Strike(Cobalt Strike の検出の技法と理論)」popup_iconを発表しました。

Cisco Talos は先頃、Cobalt Strike を使用したデータの難読化と漏洩を検出するための一連の SNORTⓇ と ClamAVⓇ 検出シグニチャについて、より高精度の更新版をリリースしました。Cobalt Strike は、攻撃者によって使用されることが多い一般的なツールキットです。

Cobalt Strikepopup_icon は本来、攻撃のシミュレーションとレッドチームの活動に使用される有償のソフトウェア プラットフォームです。侵入テストを担当するセキュリティ専門家、そして攻撃者によって、攻撃対象のネットワーク上にある感染ホストにアクセスして制御するために使用されます。高度で連続的な脅威(APT)攻撃popup_iconで悪用される事例があり、最近では、IndigoDrop 攻撃や数々のランサムウェア攻撃で確認されています。

最新情報

研究報告の中心テーマはカバレッジです。Cobalt Strike を突いた攻撃に備えるためのカバレッジの開発に関して、課題と解決策を紹介しています。Cisco Talos の見解では、単にカバレッジを提供するだけでは十分と言えません。この研究報告を、Cobalt Strike の機能、動作、Snort と ClamAV の効果的なシグニチャを作成するための考え方をお伝えする機会としたいと考えています。今回の取り組みは困難であったものの、大きな成果が生まれました。新たに開発した Snort および ClamAV のシグニチャは 50 を超え、これまでのカバレッジと組み合わせることで、Cobalt Strike の以下の一連のコアモジュールも検出可能になったからです。

  • RAW シェルコードのジェネレータ
  • ステージ型またはステージレスの実行ファイルのジェネレータ
  • HTML アプリケーション攻撃のジェネレータ
  • スクリプト化されたウェブ配信
  • 署名済み Java アプレットによる攻撃
  • スマートな Java アプレットによる攻撃
  • システムプロファイラ

特徴

Cobalt Strike は悪名高く、サイバー攻撃と同義とされることも少なくありません。Cisco Talos のレポート四半期レポート:インシデント対応の動向(2020 年夏)で指摘したように、Cisco Talos インシデント対応チームpopup_icon(CTIR)が同四半期に対応したランサムウェア攻撃の 66% を占め、レッドチームと攻撃者の両者に使用される多用途のプラットフォームとなっています。Cobalt Strike の強みは、攻撃者が抱くであろう難解な疑問に対して、多くの回答を得られる点です。リスナーとビーコンの展開に対応することはもちろん、シェルコードの作成も容易であり、ステージ型やステージレスの実行ファイルも作成できます。最近の傾向として、Cobalt Strike の利用が拡大し、コモディティ化されたマルウェアの利用が減少しています。その理由は、上記したような Cobalt Strike の汎用性にあります。

一読をお勧めする理由

この研究報告では数多くの事項を取り上げており、特に Cobalt Strike の動作については深く掘り下げています。Cisco Talos による今回のカバレッジの開発過程では、非常に具体的な要素に注目しました。セキュリティ研究に携わる方々には非常に有益な情報源となるでしょう。カバレッジの開発における思考のプロセスをご覧いただけます。

脅威への対処に際しては、脅威の技術的な側面を理解することが重要になります。ただしカバレッジの開発は微妙な判断を要求される技術です。カバレッジは具体的な技術的条件を前提とします。しかし脅威を捕捉すると同時に、回避の手口を阻止し、その他の攻撃も捕捉するには、カバレッジに十分な守備範囲も欠かせません。しかも、効果的である一方popup_icon、検査全体を担うセキュリティシステムへの負荷を減らして誤検出を最小限に抑える必要もあります。そこでは極めて繊細なバランスを求められます。Cisco Talos が「The Art and Science of Detecting Cobalt Strike(Cobalt Strike の検出の技法と理論)」を公開した理由は、そこにあります。Cisco Talos による Cobalt Strike のカバレッジを明示するとともに、取り組みの成果をセキュリティコミュニティに還元することが目的です。この研究報告がお役に立ち、読者の皆さんが効果的な検出の技法を理解できれば幸いです。Cobalt Strike の検出に関する詳細をお読みになり、読者の皆さんも組織に最適な脅威対策をぜひご検討ください。

 

本稿は 2020 年 9 月 21 日に Talos Grouppopup_icon のブログに投稿された「New Snort, ClamAV coverage strikes back against Cobalt Strikepopup_icon」の抄訳です。

 

コメントを書く