2020年に特定されたMITRE ATT&CK技術トップ6、防御回避戦術が優勢 [レポート]
このレポートでは、2020 年に MITRE ATT&CKフレームワークにマッピングされた Recorded Future® Platform データ ソースにタグ付けされた戦術と手法の概要を概説しています。 データは2020年1月1日から12月1日までを対象としています。 このレポートは、 MITRE ATT&CKフレームワークに精通している人を対象としており、赤と青のチーム演習、侵入テスト、脅威ハンティング、およびさまざまなセキュリティプロトコルの優先順位付けを通知するためにフレームワークに依存しているセキュリティチームに特に関連しています。
Executive Summary
2020年、Recorded Future Platformによると、最も広く使用された6つの手法は、 T1027 - 難読化されたファイルと情報、T1055 - プロセスインジェクション、T1098 - アカウント操作、T1219 - リモートアクセスツール、T1082 - システム情報検出、 T1018 - リモートシステム検出でした。 上位 6 つに関連する追加の "関連技術" (MITRE ATT&CK技術) には、 T1497 - 仮想化/サンドボックス回避、T1083 - ファイルとディレクトリの検出、 T1036 - マスカレードの 3 つが含まれていました。
これらの手法のうち4つは 、防衛回避 戦術に分類され、 次に永続化 と 発見が続きます。 データで防御回避戦術が優勢であることは、これらの戦術がマルウェアでより一般的になりつつあるというInsikt Groupの観察と一致しています。 これらの手法を特定することで、COVID-19によるリモートワークを利用した日和見的な脅威アクターから、流出や恐喝を含む著名なランサムウェアオペレーターの大幅な拡大まで、昨年のサイバー脅威の状況を特定するのに役立ちます。 特定されたすべての手法は、2020年のサイバー攻撃の成功に不可欠でした。
防御側にとっての課題は、この情報を実用的なものにすることです。 これらの手法の一部は、より高度な脅威アクターが真意を隠したり、通常の活動に紛れ込んだりするため、検出が困難な場合があります。 MITRE ATT&CKの用語集 で述べた ように、データは単独で見るのではなく、 防御回避 や 持続性などの戦術を強調する活動のパターンとして見るべきです。 これらの手法を他の忠実度の高いイベントと関連付けることで、防御側は疑わしいアクティビティのより良い兆候を見つけることができます。 このレポートには、強調表示された手法を使用して観察された個々のマルウェアの検出と、より高レベルの検出戦略の両方が含まれています。
背景
MITRE ATT&CK は、実際の観察に基づく敵対者の戦術と手法に関するグローバルにアクセス可能なナレッジベースです。 ATT&CKフレームワークは、民間部門、政府、サイバーセキュリティ製品およびサービスコミュニティで特定の脅威モデルと方法論を開発するための基盤として使用されます。 ATT&CKフレームワークの助けを借りて、セキュリティチームは敵対者の行動をより広く把握し、緩和と検出の方法を手法に対してテストできます。 インテリジェンスの提供、戦術や手法の傾向の追跡、レッドチームや敵対者のエミュレーションによるテストの実行、侵入に対するネットワークやシステムの防御の強化など、多くのサイバーセキュリティ分野で有用なツールとなっています。
ATT&CKフレームワークは、2018年の発行以来進化しており、約200の独自の戦術、技術、手順(TTP)が含まれています。 最近、Pre-ATT&CK フレームワークがメインのエンタープライズ ATT&CK フレームワークに統合され、サブ手法が導入されたことで、このフレームワークの使いやすさはさらに向上しました。
方法論
2019年のレポートでは、Insikt Groupは、優れたATT&CK手法を見つけるための情報源として、Recorded Future Malware Detonation Sandboxを活用しています。ATT&CKフレームワークの変更とRecorded Futureデータの継続的な改善に基づき、2020年に使用された「上位」のMITRE ATT&CK技術を特定するために、Recorded Future Platformの3つのクエリを使用しました。各クエリのデータは、Insikt Note、Recorded Future Malware Detonation Sandboxサンプル、Attack Vectorから取得され、Recorded Futureによって自動的に分類されます。
Insikt Groupのメモは、最初のクエリに示されている、幅広い脅威インテリジェンスとサイバー攻撃をカバーしています。 2 番目のクエリは、マルウェア デトネーション サンドボックスのサンプル分析をソースとして使用し、マルウェアの実行に重点を置いた技術的な視点を提供します。 3 番目のクエリでは、MITRE ATT&CK 手法が攻撃ベクトルとして指定されたサイバー攻撃イベントを探して、追加情報の取得を試みます。 誤検知を排除し、使用される手法のより全体的な全体像を提供するために、クエリは分離されました。
ATT&CKフレームワークの 中間改訂 では、Pre-ATT&CKとサブテクニックが含まれ、偵察から流出、そしてその先までの サイバーキルチェーン をより正確かつ詳細に表現するものが作成されました。 Insikt Groupのメモは、最終的なインテリジェンスまたは「伝聞」(たとえば、資格情報にアクセスできると主張する脅威アクター)をカバーするという事実の性質上、エクスプロイト前およびエクスプロイト後の戦術(偵察、 初期アクセス、 影響など)をカバーしています。 ただし、マルウェア デトネーション サンドボックスの結果は、送信された悪意のあるサンプルの動的分析に基づくエクスプロイト戦術 ( 実行、 永続化、 特権昇格など) に重点を置いています。 攻撃ベクトルの結果は、Recorded Futureが世界中のサイバー攻撃で使用された戦術の処理と分類に基づいており、その戦術は大きく異なります。
Insikt Notes、Malware Detonation Sandboxの結果、およびAttack Vectorsへの参照は、さまざまな範囲の戦術をカバーしているため、3つのクエリを組み合わせることで、2020年にサイバー攻撃で使用されたコア手法のライフサイクル全体をより適切に把握できます。
以下の各列には、Insikt Notesへの掲載、Malware Detonation Sandboxのソースへの掲載、Recorded Future PlatformのAttack Vectorエンティティとの関連ごとに、最も参照されているMITRE ATT&CKの手法が掲載されています。 この表のリストは、参照カウントの降順で並べられています。
表1:クエリ別に分類されたMITRE ATT&CKテクニックトップ10(出典:Recorded Future)
トップ6のATT&CK技術分析
表2:2020年のATT&CK技術トップ6(出典:Recorded Future)
2つ以上のソースで観察された6つの手法を特定しましたが、そのうち、3つのソースグループすべてに存在していたのは、_T1027 — 難読化されたファイル」とInformation_and T1055 — プロセスインジェクションの2つだけでした。 これら2つの手法は、それぞれ 防御回避 (TA0005)と 特権昇格 (TA0004)の戦術に分類され、 T1486(Data Encrypted for Impact)などの特定の手法とは異なり、ランサムウェアのオペレーターにのみ役立つため、サイバー脅威の作戦を成功させるために不可欠であるため、脅威アクターの間で非常に多用されています。
追加の手法である T1098 — アカウント操作、 T1219 — リモート アクセス ツール、 T1082 — システム情報検出、 および T1018 — リモート システム検出は、3 つのソース タイプのうち 2 つだけに存在していました。 これらの手法は、COVID-19によるリモートワーカーを利用する日和見的な脅威アクターや、流出や恐喝を含む著名なランサムウェアオペレーターの大幅な拡大など、2020年のサイバー状況のごく一部を表しています。
2019年の結果によると、これらの手法に共通する戦術のトップは 「防御回避」です。 ランサムウェア、リモートアクセスツール(RAT)、またはインフォスティーラーを展開する脅威アクターは、静的ファイル検出によって検出されないままの難読化されたファイルを介して、またはプロセスインジェクション手法によって正当なサービスになりすますかどうかにかかわらず、検出を回避しようとします。
Insikt Groupは、関連するマルウェア、脅威アクター、関連する手法など、過去1年間の6つの手法のそれぞれの関連例をまとめました。 言及された各マルウェアの軽減策と検出に関する提案は、一列にリンクされています。
その他の ATT&CK 技術解析および検出
表3:方法論に表示された残りのMITRE ATT&CK手法(出典:Recorded Future)
Insikt Groupは、2020年に脅威アクターによって広く使用された16のMITRE ATT&CK手法(表3)をさらに特定しました。 これらは、3つのクエリの「トップ10」リストの1つで特定されましたが、複数のクエリには含まれていなかったため、上記の「トップテクニック分析」セクションでは詳しく説明していませんでした。
これらの手法の一部は、「関連する手法」のサブセクションで参照されており、T1497 - 仮想化/サンドボックス回避、T1083 - ファイルとディレクトリの検出、T1036 - マスカレードの 3 つの手法が複数回言及されています。これらの手法は、防御回避と検出の戦術に分類され、マルウェアサンドボックスクエリから参照されます。
これらの手法は、3つとも本音を隠そうとしたり、通常の活動に溶け込もうとする試みを取り入れているため、検出が難しい場合があります。 MITRE ATT&CKの用語集で述べたように、データは単独で表示するのではなく、防御回避や永続化などの戦術を強調する活動パターンを持つ必要があります。 これらの手法を他の忠実度の高いイベントと関連付けることで、防御側は疑わしいアクティビティのより良い兆候を見つけることができます。
T1497 — 仮想化/サンドボックス回避 は新しい手法ではありませんが、その使用は昨年増加し、Pysa ランサムウェアや BABAX Stealer などのマルウェアの亜種に現れました。 T1497の検出 - 仮想化/サンドボックス回避 技術は、 Yara Rules Project のYARAルール Antidebug_antivm を使用して実行できます。このYaraルールは、 仮想化/サンドボックス回避 戦術のサブセットのみを検出するため、出発点と見なすか、他の検出手法やツールと組み合わせて使用する必要があります。
T1083 — ファイルとディレクトリの探索とT1036 — マスカレードの両方の手法の検出は、監視ツールで疑わしいアクティビティを監視することで実行できます。T1083 — File and Directory Discovery では、通常、脅威アクターがネットワークをアクティブに列挙しているときに実行される特定のコマンドがあります。JPCERT は、攻撃者によって悪用されるより一般的なコマンドのいくつか を概説 しています。 ファイルの検出と列挙に最も関連するコマンドは、"dir"、"type"、"net view"、および "net use" です。
「dir」、「type」、「net view」、「net use」などのコマンドの検出だけでは、システム管理者も使用するため、悪意のあるアクティビティを警告するには不十分です。 ただし、これらのコマンドの実行と、たとえば、互いに 30 分以内にリモート ドライブからファイルをダウンロードするアクティビティを組み合わせると、悪意のあるアクティビティをよりよく示します。 これに加えて、脅威アクターは、「関連手法」カテゴリで観察したように、 T1082 - システム情報検出 や T1018 - リモート システム検出など、複数の検出戦術を使用する可能性があります。
T1083 — ファイルとディレクトリの探索と同様に、T1036 — マスカレードの検出は、正当なアプリケーションやツールの不適切な使用を特定することに依存しています。Sunburstマルウェアは、コードがSolarWindsプロセスの下で実行され、C2通信にSolarWinds Orion Improvement Program(OIP)も使用しているため、マルウェアを装った良い例です。 このアクティビティを検出するには、そのようなツールの通常の動作を理解し、異常を特定する必要があります。 Sunburstマルウェアは、マスカレードに高度な手法を使用しますが、アウトバウンド接続を監視したり、認証情報の収集や権限昇格を示すSolarWindsのプロセス、ユーザー、またはホストからのアクティビティを監視したりすることで、検出が可能な可能性があります。
今後の展望
ATT&CKフレームワークは、サイバー攻撃のライフサイクルを、サイバーセキュリティコミュニティが認めている一連のTTPにマッピングするように設計されています。 防御側は、サイバー攻撃をこのフレームワークにマッピングして、防御する手法に優先順位を付けることができます。 ネットワークとエンドポイントの防御技術が最も新しい脅威に適応するにつれて、攻撃者は防御者によって設定された検出を回避する革新的な方法の作成に引き続き注力するでしょう。 攻撃者と防御者の間の絶え間ない闘争が、 防御回避 が毎年最も一般的な戦術であり続ける理由です。
防御側は、初期アクセスフェーズで攻撃者を特定するためのツールと検出を優先し、被害者に感染する前に攻撃を阻止する必要がありますが、それが常に可能または容易であるとは限りません。 また、防御側は、 防衛回避 戦術に包含された37のテクニック、特に2020年に最も一般的だった本レポートで概説されているテクニックを優先する必要があります。 T1140 — Deobfuscate/Decode Files or Informationなどの特定の防御回避手法の検出を構築する際に、防御側が直面する課題の1つは、攻撃者が使用するさまざまな実装です。このような場合は、手法自体よりも、特定の手法の下に隠された根本的な検出可能なアーティファクトと動作に焦点を当てることが重要です。
昨年の調査結果に沿って、 防衛回避 に次いで2番目に多い戦術は、2020年の ディスカバリー でした。 ディスカバリー戦術の広範な使用は、機密情報を発見して盗むというほぼすべての攻撃者に共通の目標を浮き彫りにしています。これには、恐喝目的でデータを発見して盗み出すNetwalkerの背後にいるランサムウェアオペレーター、ビットコインウォレットを探しているFickerStealerなどの情報窃取者、将来の水平移動のためにネットワークスキャンを実行するSDBbotなどのRATが含まれます。 脅威アクターが 検出 を実行するために使用する手法の多くは、上記のように正当な用途があるため、防御側は、これらの正当なアプリケーションやツールの不適切な使用を特定するために、検出を構築することに集中する必要があります。
防御回避と発見の戦術によってカプセル化された技術を特定することは、多くの場合、防御側にアクティブな作戦中に攻撃を検出する機会を与え、これは損害を軽減するために重要です。これら2つの戦術は防御側が優先する必要がありますが、他の12の戦術の検知を構築することは依然として重要です。 攻撃者が ATT&CK マトリックス内の別の手法を使用するたびに、悪意のあるアクティビティを検出するための新しい機会が防御側に提示されます。 各セクションに規定されている緩和策、公開されているATT&CKマッピング検出メカニズム、およびInsikt Group Hunting Packagesを使用することで、防御者は最新のTTPに対する防御を最新の状態に保つことができます。
関連