Microsoft Compromise Recovery Security Practiceは、消費者、企業、および業界の専門家が変化する環境に適応し続けるにつれて、セキュリティ業界が過去数年間でどのように進化してきたかを観察してきました。私たちは、国立標準技術研究所 (NIST) によるサイバーセキュリティ フレームワークなどの新しいフレームワークの出現を見てきました。これにより、スケーラブルなプログラムを構築し、ゼロ トラスト ワークプレースへの移行を加速することができます。また、人間が操作するランサムウェアが台頭し、注目を集めていることも目の当たりにしています。これは、従来のセキュリティ防御を覆し続け、情報資産の制御を主張し続けています。 1
多くのお客様は、この変化の期間中に出現した脅威を保護、検出、および対応するために、 Microsoft Defender for Endpointに信頼を置いています。ネットワーク境界の背後で排他的に保護することはもはや不可能な IT 環境で、国境を越えた脅威アクターから最も貴重な資産を保護する方法を再考せざるを得ないのは、多様な状況です。
攻撃者の戦術とテクニック
現在のレベルの多様性と継続的な IT サービスの進化により、攻撃者がネットワークを標的にして侵入するために必要な戦術とテクニックに関して、攻撃者がどのように考えているかを考えることが重要です。たとえば、HAFNIUM は積極的な偵察を行った後、Microsoft Exchange Server 内のゼロデイ脆弱性を悪用して、選択したターゲットの情報システムに対する制御を主張しました。
目的は、ターゲットを絞ったキャンペーンの一部として首尾よく悪用される可能性のあるエンドポイントのネットワーク マップまたは図を作成することでした。これは、偵察の重要性を浮き彫りにし、攻撃者が Active Directory ドメインの支配などの目標と目的を達成するのを支援する上で偵察が果たす重要な役割を示しています。
偵察に十分な時間を費やすことは、サイバーセキュリティ キル チェーンの後続の段階で利益をもたらすことが保証されており、攻撃の可能な限り早い段階で悪意のあるアクティビティを検出するための重要な指標です。残念ながら、武器化、配信、エクスプロイトなどの攻撃の特殊な段階を支持するセキュリティ専門家が見落としがちな分野でもあります。これは、パブリック ドメインや被害者のネットワークの外部で実行される偵察攻撃 (多くの場合受動的であるため) を検出するのが非常に難しいためです。求人情報、ドメイン レジストラ、および財務報告は、ターゲットに関するコンテキストを取得するための優れたリソースですが、その性質上、熟練したセキュリティ運用チームでさえ、この種の攻撃を検出して調査することは困難な場合があります。幸いなことに、生成されたデータ ポイントが広すぎて対応できない場合があるため、受動的な活動の利益が減少する可能性がある特定のポイントがあります。これにより、攻撃者は、エンドポイントまたは人間の相互作用に依存する積極的な偵察の使用を検討するようになります。セキュリティ サービスがイベント ログで攻撃の痕跡 (IOA) をキャプチャできる可能性が高まり、分析して十分な情報に基づいた対応を実行するために使用できるインテリジェンスが提供されるため、防御側にとっては朗報です。このブログ投稿の残りの部分では、よく知られているユーティリティを使用したアクティブなネットワーク偵察をより直接的に見ていきます。
アクティブなネットワーク偵察
アクティブなネットワーク偵察は芸術形式であり、やや分裂的なトピックです。典型的なアプローチは、ネットワーク アドレス範囲またはホスト IP アドレスに対してネットワーク スキャンを実行して、評価中のターゲットに関する情報を引き出すことです。多種多様なユーティリティがネットワークからのデータをスキャンして列挙できますが、多くの場合、時間に敏感なネットワーク インテリジェンスを開発する際にはNmap (Network Mapper)が第一の選択肢です。 24 年前に最初にリリースされた Nmap は、積極的に維持されており、Microsoft Windows、Linux、および macOS で利用できるため、オペレーティング システムの選択に関係なく、ネットワーク監査人やセキュリティ専門家がアクセスできます。
このユーティリティは、ターゲットに関する重要な情報を列挙します。これは、特別に細工されたネットワーク プローブを送信して、スキャンされたホストからの応答を引き出すことによって行われます。これらの応答が分析され、評価中のターゲットに存在するポート、サービス、およびオペレーティング システムのバージョンに関するデータ ポイントが提供されます。この情報は、攻撃ライフサイクルの武器化、配信、および悪用フェーズにアプローチする方法を定義し、侵入するために悪用できる脆弱性のタイプの決定など、関心のある重要な領域への洞察を提供するため、攻撃者にとって貴重です。同様に、これは攻撃面の弱点を特定するために使用できるため、防御側にとって非常に重要です。これは、保護するためにさらなる調査が必要であり、脅威および脆弱性管理プログラムの重要なコンポーネントと見なされることがよくあります。また、このユーティリティは、特定の時点でアクティブなホストを迅速に特定できるため、応答しているエンドポイントでより深い分析を直接実行できます。
どのホストがオンラインであるかを知ることで、この偵察調査の取り組みを特定のエンドポイントに絞り込むことが容易になり、より多くの時間と注意を払って悪用への最も効果的なパスを決定することができます。どのホストがオンラインであるかに関する情報を得ることで、構造化された攻撃戦略の開発が可能になります。これにより、成功の可能性が大幅に高まり、これらのエンドポイントだけにエネルギーが集中するようになります。これにより、エンドポイントのステータスと構成に関する興味深い情報が得られます。制御された環境で Nmap を使用した実際のスキャンでこれを説明しましょう。
Nmap スキャンの使用例
私たちのラボ環境では、認証されていないクライアントから個々の IP アドレスにプローブを送信するように Nmap が構成されています。結果は、特定のスキャン タイプに制限されていますが、攻撃者が検出されたホストに関するプロファイルを作成するのに役立つ、大量の情報を返します。スキャンの例を以下のスクリーンショットに示します。これには、次のデータ ポイントが含まれています。
- スキャンされたエンドポイントのオンライン ステータス。
- エンドポイントで実行されていることが判明したロールまたはサービス。
- エンドポイントにインストールされているオペレーティング システムの可能なバージョン。
このタイプの情報は、スキャンされたエンドポイントで実行されているオペレーティング システムのバージョンまたは Windows サービスの組み合わせを侵害するために悪用される可能性のある特定の脆弱性に関するさらなる調査に攻撃者を誘導するのに役立つため、非常に重要です。
注目すべき重要なポイントは、この情報は脅威アクターにとって興味深いものですが、スキャンはエンドポイントの相互作用に依存しており、異常なネットワークを確認できる高度なセキュリティを備えた Windows Defender ファイアウォールなどのセキュリティ サービス内にパンくずリストを残す可能性があるということです。トラフィック。
Windows Defender ファイアウォールでアクティブなネットワーク偵察から防御
セキュリティが強化された Windows Defender ファイアウォールは、Windows に直接組み込まれているサービスであり、ホストに近接しているため、アクティブなネットワーク インターフェイスに対するアクティブなネットワーク偵察攻撃をリアルタイムで検出できます。 Microsoft の Compromise Security Recovery Practice にとって残念なことに、このサービスは、認識された複雑さや運用上のオーバーヘッドのために無効な状態になっていることがよくあります。多層防御セキュリティ戦略の一部として見過ごされています。
ラボに戻ると、NMAP を使用して、セキュリティが強化された Windows Defender ファイアウォール サービスがアクティブなエンドポイントをターゲットにして、ローカライズされたログ ファイル内のネットワーク イベントをキャプチャしていました。このファイルを解析して、短期間に多数の TCP ポートに対するポート スキャンにリンクされている単一の IP の異常など、ネットワーク通信の異常を特定できます。セキュリティが強化された Windows Defender ファイアウォールのログファイルは、ターゲット エンドポイントと同じネットワーク セグメントに存在するホストからスキャンが行われたことを確認します。
企業のファイアウォールは、企業のネットワーク環境の最も外側の境界で脅威を可視化しますが、同じネットワーク セグメント内の脅威を常に検出できるとは限らないため、これは重要です。この場合、セキュリティ オペレーションがこれらのタイプの脅威を識別して対処できない可能性があります。 Windows Defender ファイアウォールが有効になっており、ネットワーク セキュリティ イベントを収集できることを確認することで、効果的なホストベースの調査を実行し、アクティブなネットワーク偵察の存在を確認し、キルの開始時に攻撃を妨害するための適切なアクションを取ることができます。鎖。
Microsoft Defender for Endpoint による企業全体の可視性
Microsoft Defender for Endpointは、脆弱性管理、エンドポイント保護、エンドポイントの検出と対応 (EDR)、およびモバイル脅威防御サービスを提供する市場をリードするプラットフォームです。これは、セキュリティ サービス業界における真のゲーム チェンジャーであり、一元化された一元化されたレポート プラットフォームで可視性を提供するものです。 Defender for Endpoint は、異種ネットワーク環境全体でオンデマンドで迅速にスケーリングし、マネージド エンドポイントから直接テレメトリ データの照合を開始して、真の企業全体の可視性を実現できます。
エンドポイントでセキュリティが強化された Windows Defender ファイアウォールのログ ファイルを解析することの価値を強調しましたが、このアプローチでは、全体的な脅威の状況をある程度限定的に把握できます。 Microsoft Defender for Endpoint は、管理されているすべてのエンドポイントからさまざまなテレメトリ データを継続的に収集するため、これらの制約を克服できます。セキュリティ オペレーション アナリストは、このテレメトリ データを使用して、企業全体に拡張できる詳細なカスタム レポートを作成し、チームがネットワーク内の悪意のあるホストを迅速かつ効果的に隔離できるようにします。
Defender for Endpoint による高度な脅威ハンティング
Microsoft Defender for Endpoint の高度な脅威ハンティング機能を使用して、時間、送信元アドレス、宛先アドレス、TCP/IP ポート、ネットワークの種類など、スキャンの一般的な特性を検索することにより、ネットワークの偵察を検出できます。たとえば、セキュリティが強化された Windows Defender ファイアウォール内で見つかったのとほぼ同じ方法で、単一の IP アドレスが特定のホストの広範囲のポートに短時間で接続しようとしているかどうかを確認できます。企業全体を瞬時にカバーします。これは、ほとんどすべてのユースケースをサポートするように調整できる、非常に柔軟なソリューションです。
結果をよく見ると、エンドポイントがデフォルトの Nmap スキャンを表す TCP/IP ポートでエンドポイントに接続しようとしていることがわかります。この種類の検出方法は、攻撃者が Microsoft Defender for Endpoint 内で管理されていないが、ネットワーク上に存在するワークステーションを使用している場合に役立ちます。
すべてのホストが Defender for Endpoint にオンボードされている状況では、Nmap プロセスがコマンド ラインから呼び出されたすべてのインスタンスを検出する高度な脅威ハンティング クエリを実行するなど、別の方法を使用して同じ脅威を検出できます。この例では、クエリは DeviceProcessEvents テーブルを参照して、cmd.exe などの親プロセスからの nmap.exe の呼び出しを検出できる表形式のレポートを生成します。中核となる価値は、Defender for Endpoint 内の高度な脅威ハンティング クエリをカスタマイズして、脅威のシナリオに合わせて、調査中に石が残されていないことを真に保証することです。
示されているように、結果テーブルは疑わしいエンドポイントへの明確な帰属を提供し、正当なネットワーク トラフィックと悪意のあるネットワーク トラフィックを除外するためにデータをドリルダウンする必要はありません。提供される情報は、実行されたスキャン <-sS, -T4> のタイプを正確に示しますが、172.16.0.0/24 サブネットなどの攻撃のターゲットを明確に示します。このレベルの詳細は、この種の攻撃シナリオから隔離、根絶、回復するための最善の方法について十分な情報に基づいた決定を下す際に重要になる可能性があります。
結果テーブルは、疑わしいエンドポイントへの明確な帰属を提供し、さらなる分析の必要性を最小限に抑えます.提供された情報は、疑わしいワークステーションによって実行されたスキャン <-sS、-T4> のタイプを正確に示していますが、攻撃 <172.16.0.0/24> の公開されたターゲットに調査を集中させるのにも役立ちます。このレベルの詳細は、攻撃への最善の対応方法について十分な情報に基づいた決定を下す際に重要になる可能性があります。
ラボの例で示されているように、高度な脅威ハンティングは、Nmap を使用して実行されるようなアクティブなネットワーク偵察攻撃を迅速に検出するための多目的で効果的な手段であり、セキュリティ運用能力を開発および成熟させるための優れた重点分野です。クエリは、ほぼすべてのユースケースに合わせて調整でき、複数の観点から問題を調査するのに役立ち、攻撃に対するカスタム固有のターゲット応答が可能になります. Defender for Endpoint には、組み込みのリポジトリを使い始めるのに役立つ便利なクエリが多数含まれていますが、オンライン コミュニティやGitHubなどのパブリック リポジトリからさらに多くのクエリを入手できます。これらは、ネイティブの Kusto クエリ言語 (KQL) の開発を加速するのに役立つ優れたリファレンスとして機能し、高度で持続的な脅威を検出して対応できるようになるための旅を開始するための素晴らしいポイントです。
アクティブな偵察を積極的に探す
2020 年には、侵害を特定するのに最大 228 日かかることが報告されました。これは信じられないほどの期間であり、キル チェーンの可能な限り早い段階で脅威を確実に封じ込めるために、この期間を絶対に最小限に抑えることを目指す必要があります。セキュリティ運用チームは、侵害を想定する考え方を採用するとともに、運用パフォーマンスの向上を目指す際に、これを考慮する必要があります。検出までの時間を最小限に抑えるには、Defender for Endpoint などの継続的な監視ソリューションを採用して使用することにより、偵察攻撃の検出をより重視する必要があります。これは、利用可能な最高のツールを使用して、可能な限り広い規模で、あらゆる形態のアクティブな偵察を積極的に模索するためのイニシアチブをとることを意味します。したがって、Windows Defender ファイアウォール内にあるような主要なログ ソースを有効にして、詳細な分析のためにローカライズされた IOA の可視性を高め、エンドポイントの Defender を採用してオンデマンドでスケーリングし、脅威の完全な水平ビューを確保することが不可欠です。管理された環境。
Microsoft Compromise Recovery Security Practice では、プロアクティブおよびリアクティブな調査の一環として、Defender for Endpoint を毎日使用しています。これは、お客様へのサービスを迅速かつ正常に回復するために不可欠であることが証明されており、お客様が変革プログラムを加速し、安全な最新の職場という望ましい目標を達成するのを支援するという私たちの目標に大きく貢献しています.
この経験を通じて、私たちはお客様が最初に行動し、迅速に行動し、キル チェーンの可能な限り早い段階で攻撃を防ぐことをお勧めします。
Microsoft Defender For Endpointは開始するのに最適な場所であり、アクティブなネットワーク偵察の実行から攻撃者を妨害するか、悪意のあるゼロデイ標的型攻撃の犠牲者になるかの違いであることが証明される可能性があると考えています.
もっと詳しく知る
- Windows Defender for Firewall を調べます。
- 今日からMicrosoft Defender for Endpoint の使用を開始してください。
Microsoft セキュリティ ソリューションの詳細については、 当社の Web サイト を参照してください。 セキュリティ ブログをブックマークして、セキュリティに関する専門家の記事を入手してください。また、 @MSFTSecurityをフォローして、サイバーセキュリティに関する最新ニュースと更新情報を入手してください。
1人間が操作するランサムウェア、2022 年 1 月 11 日
Comments