YARAとは

YARAとは、マルウェアの研究者たちのために作られた、マルウェアを検知・解析・分類するための、オープンソースのプログラム(Pythonベース)です。
Windows/Linux/Mac OS Xと、幅広く対応しているマルチプラットフォームのツールで、『YARAルール』という文字列と条件、条件演算子、正規表現などを用いて、マルウェアのファミリーの記述を作成し、”yara”コマンドで
“””
yara [OPTION]… [RULEFILE]… FILE | PID
“””
とすることで、ルールに沿ってFILE or PIDからマルウェアを検出します。
引用： 「YARAルール」とClamAV

つまり？？

• ファイルやプロセスメモリのバイナリデータをスキャンし、そのスキャン結果を出力する
• スキャンには正規表現や条件演算子を使用できる

参考リスト

Web

Blog

• 「YARAルール」とClamAV

その他

• YARAについて

Notice
この記事はまだ編集中です。
記載の内容は十分な事実確認を実施していない場合があるためご注意ください。

概要

参考リスト

Web

資料

• 高度サイバー攻撃（APT）への備えと対応ガイド～企業や組織に薦める一連のプロセスについて(JPCERT コーディネーションセンター)

Slide

Notice
この記事はまだ編集中です。
十分な事実検証を実施しておりませんので利用の際はご注意ください。

マルウェア解析の流れ

• 検体が既知のマルウエアかどうかを判別する
  • データベース化された既知のマルウエアと検体の比較を高速に実行するため、マルウエア検体のハッシュ値が利用されるが、従来のハッシュ関数では、類似の検体は全く異なる検体として扱われる
  • そのため、fuzzy hash関数(ssdeep)や、PE(portable executable)のインポートテーブルから値を算出するimphash(import hash)が利用される
    関連：impfuzy

pcapファイルの解析手順

pcapファイルの解析手順

• 調べるパケットの目星をつける
• 必要なパケットのみ表示する
  • Display Filterで表示するパケットを絞る
• 絞り込んだパケットを解析する
  • Request と、Response の2種類があることがわかります
  • Requestではクライアントからサーバへ送信した要求を表示し、Responseではコマンドを実行した結果を表示する
    引用：「ネットワークジャンル（パケット解析）」－CTF for ビギナーズ2015での演習より

pcapファイル解析のコツ

• パケット数が多い場合
  • WiresharkのStatistics機能で的を絞る
  • TCPストリームで、特定のTCPセッション情報のみ取得する
• パケット数が少ない場合
  • TCPストリーム
    • Follow TCP ストリーム
  • 送受信データ
    • HTTP Export Object
    • Export Selected Packed Bytes
• 暗号化されたPOSTデータから漏洩した情報を確認する
  • 暗号化の手法によって復号方法が変わる

Notice
この記事はまだ編集中です。
記載の内容は十分な事実確認を実施していない場合があるためご注意ください。

MITREとは何か

MITREは1958年に設立された非営利法人であり、「世界をより安全にするために問題を解決する」ことを使命としています。
この目標の一部は、MITREが新たにキュレーションしたナレッジベースMITRE ATT&CKによって達成されています。

参考リスト

Notice
この記事はまだ編集中です。
記載の内容は十分な事実確認を実施していない場合があるためご注意ください。

概要

• デジタル世界の攻撃者が使用するさまざまな攻撃タイプの戦術、手法、および手順（TTP）を体系化し分類したプラットフォーム
• 企業や組織が防御の弱点を特定するのに役立つ
• ナレッジベースとフレームワークの両側面を持つ
• 4半期に一度、公開情報や提供された情報から更新を行う
• オープンソースのレポートに基づいて、既知の手法およびツールなど、数多くの攻撃者および攻撃グループに関する詳細情報を提供している
• MITRE ATT＆CKは、各ベンダの製品に対して点数によるランク付けを行い、単純な優劣を比較するためのものではない

攻撃の大きな流れを表現したサイバーキルチェーンをより詳細な方法論に整理しつつ、実際に駆使された具体的な攻撃テクニックまでしっかり結びつけることを意図して生み出されたものと言えます。
引用：https://www.socyeti.jp/posts/4873582

攻撃主体として「APT28」が、「Mimikatz」というソフトウェアを利用して、「Credential Dumping」というテクニックで、「Credential Access」を達成した、というような整理が可能になります。
引用：https://www.socyeti.jp/posts/4873582

概要

防衛、金融、エネルギー、製薬、通信、ハイテク、教育、製造、法律サービスなど、さまざまな業界を標的とした中国を拠点とする脅威グループ。
2017年、フィッシングキャンペーンが7つの法律および投資会社を標的にするために使用されました。一部のアナリストはAPT19とDeep Pandaを同じグループとして追跡していますが、グループが同じであるかどうかはオープンソース情報からは不明です。
参照：https://attack.mitre.org/groups/

詳細は以下を参照

• APT19 MITRE ATT&CK

参考リスト

WEB

• APT19 MITRE ATT&CK

Notice
この記事はまだ編集中です。
記載の内容は十分な事実確認を実施していない場合があるためご注意ください。

概要

APT29はロシア政府が原因であるとされる脅威グループであり、少なくとも2008年以降活動しています。[1] [2]このグループは2015年の夏に始まる民主国家委員会を侵害しました。
引用：https://attack.mitre.org/groups/G0016/

APT29は、適応性が高く、高度な訓練を受けている攻撃グループです。侵入先ネットワークでの活動を隠蔽し、頻繁ではないものの、正規のトラフィックに見せかけた通信を行います。ポピュラーな正規のWebサービスを利用し、接続もSSLで暗号化するため、検知が一層困難になっています。APT29は、最も進化を遂げ、高い能力を備えている攻撃グループの1つです。新しいバックドアを用いて自らバグの修正や機能の追加を行う以外にも、ネットワーク・セキュリティ担当者の行動を監視し、システムへのアクセスを維持します。C&Cサーバーとの通信には感染サーバーのみを使用します。攻撃からの復旧を妨害するほか、マルウェアの作成も短期間でこなし、検知を回避するためのツールも素早く変更します。
引用：https://www.fireeye.jp/current-threats/apt-groups.html#apt29

Notice
この記事はまだ編集中です。
記載の内容は十分な事実確認を実施していない場合があるためご注意ください。

概要

何のためにやるのか

• ハニーポッドを構築し、ログ解析をすることで、フォレンジックのスキルを向上させると共に、最新の脅威の傾向を知るアンテナとする

参考リスト

Web

• Project Honey Pot

Book

• サイバー攻撃の足跡を分析する ハニーポット観察記録 [ハニーポット観察記録] 森久和昭 (著)

Slide

• 初心者向けハニーポット WOWHoneypot の紹介
• 冴えない彼女の育てかた