地下経済の自動化革命との闘い

自動化はほぼすべての業界で不可欠な部分となっており、サイバーセキュリティほどこれが当てはまる場所はありません。 しかし、残念ながら、自動化のメリットは、犯罪企業にも防御者にも等しく利用できます。 そのため、犯罪者のアンダーグラウンドは、キャンペーンを運用して収益化するためのツールとリソースのエコシステムを構築してきましたが、SOARは、防御的なインテリジェンスフィードを自動化し、それらを自動検出および防止と組み合わせることで、防御側に有利なバランスを取り戻すために使用できます。

Recorded FutureのInsikt Groupによる調査 では、脅威アクターが悪意のあるキャンペーンに関連するタスクを自動化するために使用するツールとサービス、およびSOARと脅威インテリジェンスソリューションを通じて利用可能な緩和戦略を調査しました。

サイバー攻撃は、脅威アクターがネットワークへの不正アクセスを取得し、アンダーグラウンドフォーラムで認証情報を販売した結果、侵害されたネットワークや認証情報のデータベースから始まることがよくあります。 このアクセスは、ネットワーク内の特権昇格、ビジネスメール詐欺、ランサムウェア、およびその他の種類の攻撃に使用される可能性があります。

軽減戦略には次のものが含まれます。

• すべてのソフトウェアとアプリケーションを最新の状態に保つ
• スパムのメールをフィルタリングし、リンクと添付ファイルを精査する
• システムの定期的なバックアップを作成し、オフラインで保存する
• 会社の機密データの区分化
• ロールベースのアクセスの確立
• データ暗号化標準の適用

データ侵害によって取得した認証情報を持つ攻撃者は、チェッカーやブルートフォース攻撃を利用して、大規模な自動ログインリクエストを送信し、被害者の正当性を判断したり、何千ものアカウントに対するクレデンシャルスタッフィング攻撃によって不正アクセスを獲得したりします。

軽減戦略には次のものが含まれます。

• パスワードマネージャーに加えて、アカウントに一意のパスワードを使用する
• ログインに追加の詳細を要求する(例:CAPTCHA)または多要素認証(MFA)を要求する
• カスタマイズされたWebアプリケーションファイアウォールの確立
• ログイン トラフィックの日付またはレート制限が遅くなる
• 未使用の公開ログイン情報の削除
• 予期しないトラフィックを監視するためのトラフィックとネットワーク要求のベースライン化

また、脅威アクターは、ローダーやクリプターを適用して、ウイルス対策などのエンドポイントセキュリティ製品による検出を回避し、マルウェアなどの悪意のあるペイロードを1つ以上ダウンロードして実行します。

軽減戦略には次のものが含まれます。

• ウイルス対策ソフトウェアの定期的な更新
• 悪意のあるペイロードを検出するために、ウイルス対策以外の追加の応答および検出制御を実装する
• フィッシングおよび関連するリスクに関する個人のトレーニングと教育

スティーラーとキーロガーは、認証情報、PII、支払いカード情報などの機密情報を被害者から盗み出し、被害者のシステムにセカンダリペイロードをインストールするために使用されます。

軽減戦略には次のものが含まれます。

• パッチポスチャレポートを提供するソリューションへの投資
• デバイス上の悪意のあるアクティビティを警告するためのネットワーク防御メカニズムの設定
• ファイル ドライブとレジストリに対する疑わしい変更の監視

独自のスクリプトを作成する必要がないため、脅威アクターは、広く公開され、人気があり、詐欺を実行するための強力なツールであるバンキングインジェクションを簡単に入手できます。 偽のオーバーレイまたはモジュールは、バンキング型トロイの木馬で使用され、HTMLまたはJavaScriptコードを挿入して、正規のWebサイトにリダイレクトする前に機密情報を収集します。

軽減戦略には次のものが含まれます。

• ソフトウェアとアプリケーションを最新の状態に保つ
• ウイルス対策ソリューションのインストール、更新のスケジュール設定、およびすべての機器のウイルス対策ステータスの監視
• SMS 認証アプリケーションによる MFA の有効化
• HTTPS接続のみを使用する
• 従業員教育と研修の実施
• スパムフィルターと Web フィルターのデプロイ
• すべての機密情報を暗号化
• HTML を無効にする、または HTML メールをテキストのみのメールに変換する

エクスプロイトキットは、Webブラウザの脆弱性のエクスプロイトを自動化して、感染の成功を最大化するために使用され、トロイの木馬、ローダー、ランサムウェア、その他の悪意のあるソフトウェアなどの悪意のあるペイロードを配信します。

軽減戦略には次のものが含まれます。

• Microsoft 製品とテクノロジ スタックの古い脆弱性の修正プログラムの適用を優先する
• Adobe Flash Playerがブラウザの設定で自動的に無効になっていることを確認する
• フィッシングのセキュリティ意識の実施と維持

攻撃者は、スパムやフィッシングサービスを利用して、何十万人もの被害者にアクセスし、マルウェアを展開したり、ネットワークにさらにアクセスしたりするための電子メールキャンペーンを実施します。

軽減戦略には次のものが含まれます。

• メールアドレスのオンライン公開やスパムメッセージへの返信を控える
• 追加のスパムフィルタリングツールとウイルス対策ソフトウェアのダウンロード
• オンライン登録時に個人またはビジネスのメールアドレスを使用しない
• パスワード・セキュリティー・ポリシーの作成
• 全従業員に暗号化を義務付ける
• 従業員教育と研修の実施

犯罪行為の寿命を延ばすために、脅威アクターはプロキシと防弾ホスティングサービス(BPHS)を活用して活動を難読化します。 BPHSは、悪意のあるコンテンツやアクティビティの安全なホスティングと、業務を妨害したり逮捕につながったりする法的要求に従わないことを約束するモデルに依存することで、匿名性を提供します。

軽減戦略には次のものが含まれます。

• Recorded Futureなどの脅威インテリジェンスプラットフォームを活用して、悪意のあるサービスプロバイダーの監視を支援する
• 既知の悪意のあるBPHSと提携しているサーバーをブラックリストに登録する

アンダーグラウンド経済では、スニファーとは、JavaScriptで記述されたマルウェアの一種を指し、eコマースWebサイトのチェックアウトページからカード非提示(CNP)データを侵入して盗むように設計されています。

軽減戦略には次のものが含まれます。

• 疑わしいスクリプトやネットワーク動作を特定するために、Webサイトの定期的な監査を実施する
• 重要でない外部から読み込まれたスクリプトがチェックアウトページに読み込まれないようにする
• eコマースWebサイト上のサードパーティプラグインを評価し、コードや動作の変更を監視する

脅威アクターが取得したコンテンツを収益化するために、盗んだデータをオンラインのクレジットカードショップ、アカウントショップ、マーケットプレイスで販売しています。 銀行口座、携帯電話アカウント、オンラインストアアカウント、デートアカウント、さらには侵害されたシステムのデジタル指紋の資格情報を売買することで、さらなる侵害を促進することでお金が稼がれます。

軽減戦略には次のものが含まれます。

• ショップとマーケットプレイスを監視して、企業に関連するアカウントを探す
• 店舗で利用可能なアカウント数の急増への対応
• 非公開ドメインの認証情報に注意する
• SMS 認証アプリケーションによる MFA の有効化

脅威アクターがタスクを自動化するために現在使用している10種類のツールとサービス、および防御者が実装するための推奨される緩和策の詳細については、Recorded FutureのInsikt Groupによるレポート「Automation and Commodititization in the Underground Economy」の全文をご覧ください。