※本記事は2016年6月17日に米国で掲載されたブログ記事の抄訳を基にしています。

以前の記事で、私たちはAutoFocusがどのようにして分析、捜索、およびインシデント ワークフローをスピードアップするか検討してきました。方法として、お客様のネットワーク上で確認された脅威イベントに関する完全なコンテキストをご提供すること、さらに、お客様またはお客様の同業者を脅威が標的にしている様子を高水準で視覚化することがありました。

脅威の見通しが視覚化できれば、チームはアラート追跡の作業から離れ、その代わりに最も危険な脅威に対する応答活動の優先順位をつけることができ、さらには先手を打って新しい防御法を実装することもできます。AutoFocusの実際の威力は、世界中のWildFireのお客様から寄せられる何十億ものインジケーターを統合することができるだけでなく、さらに重要なこととして、クラウドソース タグを介してこうしたインジケーターについてインテリジェンスおよびコンテキストを推論するためのプラットフォームの提供ができることです。AutoFocusのお客様は社内での利用に向けて自社専用のタグを開発することができます。あるいは、AutoFocusのユーザー様すべてにとって助けとなるよう、このタグを公にして共有していただいても構いません。また、当然、AutoFocusのお客様はすべて、私たちの脅威インテリジェンス チームであるUnit 42が持つ専門知識の恩恵に浴することができます。Unit 42はWebの最前線と暗く人目につかない場所を絶えずモニタリングし、新たなマルウェア ファミリや攻撃活動を特定するとともに、リサーチを公表し、タグを新たに開発しています。

従来、AutoFocusタグは2分野を対象としていました。

  • 「マルウェア ファミリ」タグ(マルウェア ファミリの挙動とアトミックな特性との任意の組み合せに基づくものです。このタグは極めて耐久性があり、これによりセキュリティ チームはマルウェアの作成者が検出をかいくぐるために作る新たな亜種や小技に関してコンテキストを検出・取得することができます。)
  • 「攻撃活動」タグ(脅威の攻撃活動またはUnit 42の報告に関連するハッシュおよびドメインといったアトミックなインジケーターを「バケット化」するための手段を提供します。これにより、応答者には単にアラートが悪い内容のものと知るだけでなく、既知の攻撃者または攻撃活動に関連していることもわかるよう、コンテキストがさらに提供されます。この「攻撃活動」タグは、お客様の会社または業界に対して攻撃が実際に行われる前に防衛手段の実装を先手を打って行うのにもご利用いただけます。)

AutoFocusは常に進化しており、本日のAutoFocusの1.0.7バージョンのリリースにより、私たちの能力がさらに向上し、イベントに対してコンテキストを提供することや、経験や知識に基づく迅速な応答を促進することができます。AutoFocusタグは、今では「マルウェア ファミリ」や「攻撃活動」(図1を参照)といったタグ クラスの区別ができるようになりましたので、応答者はタグ付きイベントが内部インテリジェンスに基づくものなのか、それともUnit 42のリサーチャーに由来するものなのか直ちに分かります。

AutoFocusのこのリリースで、Unit 42のリサーチャーはマルウェアの能力または目的をさらに見抜くため、新たなクラスのタグ「悪意のある動作」も追加しました。既存の「マルウェア ファミリ」タグが開発されていないほどマルウェアのサンプルが特異な場合であっても、マルウェアが何をしようとしているのか応答者が直ちに見抜けるようにする既存の「悪意のある動作」タグにそのマルウェアがマッチする可能性が非常に高くなります。また、「悪意のある動作」タグは挙動に基づくものであるため、何らかの疑わしい挙動を示す可能性のある良性サンプルにも適用されます。そのため、さらにリサーチを要します。

図1 AutoFocusで表示される「悪意のある動作」タグおよび「マルウェア ファミリ」タグ
 

「悪意のある動作」タグの威力と柔軟性を例示するため、新しい「悪意のある動作」タグの範囲を選びましたので、この新しいタグ クラスが提供する能力が広範囲に及ぶものであることを目で確かめることができます。

通常、マルウェアはコマンド アンド コントロール用の外部サーバと通信して別のマルウェアをダウンロードしますので、影響を受けたシステムのセキュリティの構えを弱めるために何段階か手順を踏むことがよくあります。それにはWindows Firewallの設定を変更する、あるいはそれどころかWindows Firewallを完全に無効化することまでします。このタグはマルウェアがファイアウォールを変更するのに利用し得るメカニズムを広範囲にわたって検出します。たとえば、正規のコマンド ライン ユーティリティやシステム レジストリの変更などを検出します。

Androidマルウェアの共通の目的は、感染デバイスからのSMSメッセージをインターセプト、読み取り、または削除することです。プライバシーやデータの盗難に関連するだけでなく、この戦術は検出を阻止したり、継続的なアクティビティを隠したりするために使用することもできます(この動作には、別のタグであるSMSメッセージの送信は含まれない点に注意してください)。

ビットコインなどのデジタル通貨を盗み出そうとする広範なマルウェア ファミリが存在し、多くの場合、通常はこの「機能」が欠落しているその他の一般的なマルウェアファミリにはこの機能がバンドルされます。このタグは、大半の普及しているデジタル通貨へのアクセスまたはそれらを盗み出すための一般的なアプローチを浮き彫りにします。

PowerShellは、関連付けられたスクリプト言語がある強力なコマンドライン シェルで、一般に、管理アクティビティと自動化に使用されます。当然、攻撃者もこのツールを使用して、幅広く不正なアクティビティを実行しています。PowerShellが提供する機能の1つが、システムをクエリしてインストールされているアンチウィルス ソフトウェアを特定する機能です。これは、検出を回避したり、AVを無効化する手段を講じたり、または偵察目的でシステムや環境に対する洞察を得たりするために、明らかに役立つ情報です。

悪意のあるソフトウェアは、通常、影響を受けるシステム上で実行中の正規のプロセスに挿入され、マルウェアの識別と復旧をより困難にします。コードを挿入する広範なメカニズムがあり、大抵、これはさらに調査する必要のある悪意のあるアクティビティであることを示しています。

ブラウザ ヘルパー オブジェクト(BHO)は、Internet Explorerにサードパーティの拡張機能を追加し、機能性を高めるための手段を提供するためにMicrosoftによって設計されましたが、BHOは悪意のある目的でも活用されています。BHOをシステムに追加するのは正規のアクティビティですが、インターネットの閲覧のハイジャックやインターセプトを目的に設計されたアドウェア ツールバーやマルウェアなどのより不正なものが追加される場合があります。

高度な攻撃者の主な目的の1つは、認証情報を盗み出すことです。通常、これはローカル システムの認証情報から始まり、その後、その情報を使用してネットワーク全体を対象とした横方向への拡大が試みられます。正規のソフトウェアがローカルSAMデータベースにアクセスを試みることはほとんどありません。

Microsoft Windowsでは、セキュリティ対策として、ユーザーがインターネットからダウンロードしたファイルを実行する前にプロンプトを表示します。通常、マルウェアは、有害な事態が生じる可能性をユーザーに警告し、それを防御するためのこのプロンプトの回避を試みます。残念ながら、[ファイルを開く - セキュリティ警告]ダイアログ ボックスの表示を阻止するために、マルウェアが実装できるシステムの変更があります。

ボリューム スナップショット サービス(シャドウ コピーとしても知られる)は、システムのクラッシュまたは欠陥のあるソフトウェアのインストール後に、システムを以前の「良好とわかっている」状態に復元するために使用できる、Windowsのバックアップおよび回復テクノロジです。シャドウ コピーは、マルウェアの感染から復元するために使用することもできます。そのため、マルウェア、特に、ランサムウェアは、通常、ユーザーが自身のシステムを復元できないようにするために、これらのバックアップの削除を試みます。

攻撃者およびマルウェアの作成者は、侵害されたシステムのクイックスナップショット、またはより詳細なローカル ネットワークの偵察情報を取得し、その後、それらをコマンド アンド コントロール サーバにアップロードしようとします。通常、この偵察はさまざまな共通の組み込みWindowsコマンドを使用して実行されます。これらのコマンドは一般に管理者によって使用され、安全なソフトウェアによって実行されることはほとんどありません。

このようにMalicious Behaviorタグを紹介したことで、この機能の強力さと、可能なかぎり多くのコンテキストを応答者へ即座に提供する能力について理解を深めていただけると幸いです。AutoFocusの目的は、セキュリティ チームを強化し、組織を独自の標的型攻撃から保護することです。チームのネットワークだけでなくPalo Alto Networksの顧客基盤全体で、発生しているイベントに対するリアルタイムでフルコンテキストの洞察を使用することが、そのプロセスの第一歩です。