この記事は、Cisco Security Business Group の Principal Security Research Engineer である Blake Anderson によるブログ「 How EVE Detects Malicious Uses of Trustworthy Cloud Services 」(2023/6/26)の抄訳です。
攻撃者はよく、Living off the land(環境寄生型攻撃)を行って検出を回避します。たとえば powershell.exe のようなプリインストールされたバイナリを使用したり、dl.dropbox[.]com のような正規のクラウドサービスと通信したりすることで検出を逃れようとするのです。最近リリースされた Encrypted Visibility Engine(EVE、暗号化トラフィック可視化エンジン)は、このような回避の検出に適しています。EVE は Cisco Secure Firewall の機能であり、ネットワーク接続の最初のパケットから、主要なデータの特徴を抽出します。それが次の 2 つです。
- クライアントに関する情報。ネットワークプロトコルのフィンガープリント(NPF)によって表され、最初のパケットからバイト列を抽出したものです。接続を開始したプロセス、ライブラリ、オペレーティングシステムを示します。
- サーバーに関する情報。IP アドレス、ポート、ドメイン名(たとえば TLS のサーバー名や HTTP のホスト)などです。
EVE によってラベル付けされるデータは毎日更新され、この広範なデータのコレクションの上に構築された機械学習を使用することにより、クライアントプロセスが識別されます。こうして、トラフィックの宛先が信頼性の高いサービスであったとしても、EVE で悪意のある暗号化トラフィックを識別することが可能になります。
マルウェアによる安全なドメインの使用を検出
EVE にはクライアントを区別する機能があるため、安全なドメインの悪用を特定することができます。具体例としては、最近の Talos の脅威のまとめの「侵害の兆候」に、マルウェア(DarkKomet)から接触があったドメイン名として dl.dropbox.com が挙げられています(ただし、「必ずしも悪意があるとは限りません」という注意書きが添えられています)。安全なドメインでアラートを出すと、明らかに多くの誤検出が発生します。EVE では NPF を組み込むことで、この誤検出の問題に対処しています。
Cisco Secure Malware Analytics に送信された最近の DarkKomet のサンプルを分析したところ、デフォルトの Windows TLS ライブラリを使用して TLS 経由で dl.dropbox[.]com と通信していました。EVE はこの接続が悪意のある実行ファイルから発信されていると適切に分類しました。デフォルトの Windows TLS ライブラリを使用するトラフィックのほとんどは安全で、dl.dropbox[.]com 宛てのトラフィックもほとんどが安全です。ただ、過去数か月間の状況を見ると、この 2 つの特徴が重なった場合、トラフィックの発信元は悪意のあるバイナリであることが圧倒的に多かったのです。EVE の機械学習のバックエンドではこうした傾向を利用しています。
EVE を支えるデータ
EVE のトレーニングセットは、ネットワークを流れる何億もの新しいサンプルデータに基づいて毎日更新されています。サンプルデータは、エンドポイントのグラウンドトゥルースでラベル付けされています。エンドポイントプロセス、NPF、接続先の間の関係は動的であるため、継続的なデータ収集戦略が必要です。このため、EVE が実行時に必要とするネットワークデータの特徴と、Network Visibility Module が提供するエンドポイントのグラウンドトゥルースを関連付ける包括的なデータセットの構築には多大な時間とエネルギーを費やしてきました。さらに、Cisco Secure Malware Analytics と組み合わせることで、悪意があるというフラグを立てられたサンプルで使用されたものと類似したデータセットの特徴を収集しています。
このデータ収集により、エンドポイントプロセスに関連するネットワークベースのデータの特徴について最新動向を継続的に学習することが可能になります。上記の例では、以前 Internet Explorer のトラフィックによって Windows TLS NPF の予測能力が損なわれたため、最新の機械学習モデルを維持することが重要でした。しかしその後 Microsoft 社が Edge ブラウザへの移行を促したことにより、この問題は自然に解決しました。
ネットワークの可視性と制御の強化
EVE では、サーバーの信頼性が高い状況であっても、ネットワークの可視性と制御が強化されます。もともとは TLS や QUIC のような暗号化プロトコルが対象でしたが、最近では HTTP もサポートするようになりました。HTTP は暗号化されたプロトコルではありませんが、NPF とサーバーの情報を同時に分析して継続的にデータを収集するという EVE のコンセプトは、HTTP についても有効であることがわかっています。安全なプロセスやオペレーティングシステムでは通信が暗号化されない HTTP が使用されなくなりつつある状況を踏まえると、HTTP への対応は特に重要であり、ネットワーク脅威検出を悩ませる不均衡データ(クラス間で事例の数や割合が極端に異なるデータ)の問題をあまり気にする必要がなくなります。
EVE 関連の新機能をいくつか準備中ですので、引き続きご注目ください。
正式発表までの間は、以下の参照先から詳しい情報をご覧いただけます。
- https://github.com/mercury – ネットワークのメタデータを抽出するオープンソースコード
- https://github.com/cisco/mercury/blob/main/doc/npf.md – ネットワークプロトコルのフィンガープリントの仕様
- https://arxiv.org/pdf/2009.01939.pdf – EVE のベースとなっている初期の学術的研究
- Cisco Live US 2023 での講演
- Encrypted Visibility Engine を搭載した Cisco Secure Firewall の利用
- Cisco Secure Firewall での TLS と QUIC の処理方法と Encrypted Visibility Engine の解説
ぜひお客様のご意見をお聞かせください。以下から質問やコメントを投稿し、ソーシャルネットワークで Cisco Secure の最新情報を入手してください。
Cisco Secure ソーシャルメディア
Instagram
Facebook
Twitter
LinkedIn