Sigmaルールの紹介と認証情報の収集の検出

編集者注:以下の記事は、レポート全文の抜粋です。分析全体を読むには、 をクリックして、レポートをPDFとしてダウンロードします。

Recorded FutureのInsikt Groupは、SIEMソフトウェアと4つの一般的なクレデンシャルハーベスティングツールのインシデント対応ガイドで実行する検出を作成しました。 ソースには、Recorded Future® Platform、Malpedia、PolySwarm、リバース・エンジニアリング、オープンソース・インテリジェンス(OSINT)エンリッチメントが含まれていました。 この調査の対象読者には、クレデンシャルハーベスティングツールから組織を保護することに関心のあるセキュリティ実務家、ネットワーク防御者、脅威インテリジェンスの専門家が含まれます。

Executive Summary

クレデンシャルハーベスティングツールの使用は、脅威アクターがインフラストラクチャに追加のアクセス権を取得するための一般的で強力な方法です。 最近の Ryukのインシデント の詳細には、被害者の侵害に対する15ステップの手順が示されており、そのうちの2つには、クレデンシャルハーベスティングツールのMimikatzとLaZagneの使用が含まれています。 これらのツールは、被害者の環境内を横方向に移動し、ネットワーク上の他のホストを侵害するために使用されました。

この記事では、Mimikatz、LaZagne、T-Rat 2.0、Osno Stealer の Sigma ベースの検出ルールに関する調査について詳しく説明します。 さらに、セキュリティ運用チームがクレデンシャルハーベスティングインシデントに対応できるように、初期インシデントの優先度レベルと高レベルの対応手順を提供します。

オープンソースの Sigma プロジェクト が提供する Sigma ルールと Recorded Future が開発したカスタム ルール (既存のクライアントのみが利用可能) は、既存の SIEM ソリューションを使用してクレデンシャル ハーベスティングを検出して対応する強力な機能を提供します。 Sysmon などのツールを使用して、適切に構成されたホストベースのログ記録と組み合わせることで、Sigma ルールは、組織が脅威を検出して対応する能力を高め、精度と効率を高めることができます。

Sigma は標準化されたルール構文であり、SIEM がサポートするさまざまな構文形式に変換できます。 Recorded Future Platformは、Insikt Groupが開発したSigmaルールにアクセスし、ダウンロードして組織で使用することを可能にします。

主な判断

• ほとんどのクレデンシャルハーベスティングツールは、ラテラルムーブメントや特権昇格などの追加の戦術、技術、手順(TTP)を可能にするため、リスクが高くなります。一般的に、クレデンシャルハーベスティングツールは第2段階のツールとして使用され、ホストがすでに侵害されていることを示します。
• クレデンシャル ハーベスティング アクティビティの検出と対応が成功すると、侵入が目的を正常に達成できなくなる可能性があります。
• シグマルールは、複数のプラットフォーム間で検出を共有する効果的な方法です。 Recorded Futureの優先度レベルと対応手順をSigmaルールとともに使用することで、サイバーセキュリティチームは簡単に実装できる検出および対応機能を利用できます。

編集者注:この記事はレポート全文の抜粋です。分析全体を読むには、 をクリックして、レポートをPDFとしてダウンロードします。