Microsoft Defender ATP 概要

概要

Microsoft Defender Advanced Threat protection (Microsoft DEFENDER ATP)は、予防的な保護、事後対応の検出、自動調査、および応答のための統一されたプラットフォーム
引用:脅威の防止 (Windows 10) - Windows security | Microsoft Docs

  • サポートOSはWindowsOS、WindowsServerのみ
    • Linuxは2020年6月22日時点で未対応

機能

  • 高度な機械学習による検知
  • Microsoft Defender SmartScreen
    • URL Reputation によるフィッシング対策
    • App Reputation による
  • クラウド型保護機能
    • 1台の端末が感染した際に、データをMSに送信、数秒後には他端末で同種のマルウェアを検知できるようになる(Youtube動画にデモあり)
  • ポリシー設定
  • 定義ファイルの更新
    • クラウド(Windows Update)
    • オンプレ(WSUS、SCCM)
  • レポート、通知機能
    • クラウド(Update Compliance、Windows Defender ATP)
      • Update Complianceは無償でレポート機能のみ利用可能
      • Windowsセキュリティの統合監視で、レポート、リアルタイムアラートが可能
    • オンプレ(SCCM)
      • クライアント管理の統合
      • アラート、レポート、リモートスキャン
      • オンプレサーバと有料ライセンスが必要
続きを読む

EKANS(SNAKE)について

概要

  • 2019年12月に出現した新しいランサムウェア
  • マルウェアのファイル名は、nmon.exeとされている
  • 日本国内からVirusTotalにアップロードされた

    引用:VirusTotal

  • GO言語で開発されたことを示すソースコードのファイル名と、Admin3というアカウント名を持つ攻撃者がWindows環境で開発したと思われる

EKANSの特徴

  • 「Snake」または「EKANS」と呼ばれる
  • 産業制御システムを狙うマルウェア
  • 石油施設や電力網、工場などで使われるようなシステムを停止させて身代金を要求するランサムウェア
  • 制御システムを標的とするマルウェアとしては、国家の支援を受けたサイバー犯罪者が開発したものではない初の事例である可能性がある
    • 産業制御システムを攻撃するマルウェアの作成は高い技術力が必要で、開発が難しい
  • 横展開やファイル窃取の動きは確認されていない
  • FWの操作など、管理者権限/システム権限で実行されることを前提にして開発されている
続きを読む

Cyder備忘録

Cyderとは?

  • 国立研究開発法人 情報通信研究機構が、脅威に対応できる情報システム管理者の育成を目的とした研修プログラム
  • 2020年には、Covid-19の影響で、教材が無料公開された
  • 主な内容は、インシデントハンドリングの体験学習トレーニング

検知

  • インシデント発生に関する予兆等の検知や連絡を受け付ける

    • 通知の発信源は正しいか?
    • 上位者へ第一報を報告すること
    • 速やかにPoCに連絡すること
    • ホームページなどでPoCの連絡先を公表しておくこと
    • 正確な状況確認を行う(メールにファイルは添付されてたか?リンクをクリックしたか?)
  • 不審メールの対応

    • メールヘッダを確認することで、「どこから」「どのような経路で」「いつ」送られてきたかが判断できる
      • N番目のReceivedヘッダのbyと、n+1番目のReceivedヘッダのfromが一致しない場合は、ヘッダ情報の改ざんが疑わしい
        参照:メールヘッダの見方
      • SPFレコードが一致しない場合、送信ドメインが詐称されている可能性

トリアージ

  • ヒアリング、ログ検査・分析などで事実関係を確認し、インシデントと判断した場合、被害状況と重要度に基づいて、対処の優先順位を付けること
    • プロキシログから、不正なC2サーバへの接続有無や、データの送受信について確認する
    • ログに記載された時刻が正確である必要があります。事前にNTP (Network Time Protocol)によって、組織内の機器の時刻を合わせておくことが重要
続きを読む

コロナの影響で医療機関を狙った攻撃が急増

Notice
この記事はまだ編集中です。
十分な事実検証を実施しておりませんので利用の際はご注意ください。

概要

国連のグテーレス事務総長は(5月)27日、安保理で開かれたテレビ会議形式の公開討論で、「市民生活に不可欠な施設への悪質なサイバー攻撃に対処しなければならない。新型コロナウイルスの感染が拡大する中、いくつかの国で医療施設に対する攻撃が増加しているという報告がある」と指摘しました。

ICRC=赤十字国際委員会が(5月)25日、新型コロナウイルスの感染が拡大して以降、チェコやフランス、スペイン、アメリカなどの欧米諸国とアジアのタイで起きているとして、医療機関の機能が損なわれて患者の生命が脅かされるおそれがあるとする声明を発表しています。
引用:「医療機関ねらったサイバー攻撃急増」 国連事務総長 コロナ | NHKニュース

CrowdStrikeの最近のレポートによると、医療機関に対する侵入は2019年の第4四半期から2020年の第1四半期にかけて倍増しました。
引用:コロナウィルス(COVID-19)によって医療機関に対する攻撃が急増 – バラクーダネットワークス

なぜ医療機関が攻撃されるのか

  • 医療機関のシステムの機能を停止を解除する代わりに多額の金品を要求する
    • 新型コロナ禍の中、ランサムウエア攻撃を受けた病院は、治療に遅れが生じる恐れから、金銭を払ってでもコンピューターの復元を選ばざるを得ない状況に陥りやすい
  • 新型コロナウイルスに関する研究情報を盗むため
    • ワクチンの開発情報
    • 感染者のデータ
    • 多くの医療機関が仮設病院の設置を急いでおり、セキュリティのベストプラクティスを考慮せずに、仮設病院の多くを設置しているケースがある
  • 十分な検討なしで進む医療のオンライン化
続きを読む

情報セキュリティガイドライン要点まとめ

情報システムのセキュリティ要件のポイントまとめ

  • オンライン手続きのリスク評価と主体認証方式の適切な選定

    • 前回のログインに関する情報を通知する機能
    • 不正にログインしようとする行為を検知又は防止する機能
    • 情報システムへのログイン時にメッセージを表示する機能
    • 管理者権限によるログインの際に個別の識別コードによりログインすることを併せて求める機能
  • パスワードの定期的な変更の是非とその効果に関してはしばしば検討する必要がある

    結局のところ、パスワードは当てられない程度に十分に長くするほかないのであり、その尺度には、例えば、「100 年以内に 1 回以上当てられる確率が0.0001%以下」といった基準が考えられ、これを満たす長さのパスワードを設定していれば、定期的に変更してもしなくても、当てられる確率はこれ以下に抑えられる。

    共通鍵暗号では、一般に、同じ鍵を繰り返し用いていると、その鍵で暗号化された暗号文を大量に得ることができれば、それを用いて鍵を推定できる確率が高まっていく性質があることから、鍵の定期的な変更が求められている。このことからの類推で、パスワードについても使用回数が増えるとパスワードの秘匿性が劣化すると考えてしまうとすれば、それは誤解である。

  • ACLの設定を適切に行う

続きを読む

CALDERAの環境構築とテスト

Notice
この記事はまだ編集中です。
記載の内容は十分な事実確認を実施していない場合があるためご注意ください。

環境構築

環境

1
2
3
4
5
6
7
8
OS:Ubuntu18.04(Chromeを利用するためGUI)
RAM:8GB
CPU:1コア(CALDERAの推奨は2コア以上)

その他:
- Python3.6以上
- PIP
- (pipenv)
続きを読む

ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge)とは

Notice
この記事はまだ編集中です。
記載の内容は十分な事実確認を実施していない場合があるためご注意ください。

概要

  • デジタル世界の攻撃者が使用するさまざまな攻撃タイプの戦術、手法、および手順(TTP)を体系化し分類したプラットフォーム
  • 企業や組織が防御の弱点を特定するのに役立つ
  • ナレッジベースとフレームワークの両側面を持つ
  • 4半期に一度、公開情報や提供された情報から更新を行う
  • オープンソースのレポートに基づいて、既知の手法およびツールなど、数多くの攻撃者および攻撃グループに関する詳細情報を提供している
  • MITRE ATT&CKは、各ベンダの製品に対して点数によるランク付けを行い、単純な優劣を比較するためのものではない

攻撃の大きな流れを表現したサイバーキルチェーンをより詳細な方法論に整理しつつ、実際に駆使された具体的な攻撃テクニックまでしっかり結びつけることを意図して生み出されたものと言えます。
引用:https://www.socyeti.jp/posts/4873582

攻撃主体として「APT28」が、「Mimikatz」というソフトウェアを利用して、「Credential Dumping」というテクニックで、「Credential Access」を達成した、というような整理が可能になります。
引用:https://www.socyeti.jp/posts/4873582

続きを読む

What is MITRE

Notice
この記事はまだ編集中です。
記載の内容は十分な事実確認を実施していない場合があるためご注意ください。

MITREとは何か

MITREは1958年に設立された非営利法人であり、「世界をより安全にするために問題を解決する」ことを使命としています。
この目標の一部は、MITREが新たにキュレーションしたナレッジベースMITRE ATT&CKによって達成されています。

参考リスト