MITRE Engenuity の Center for Threat-Informed Defense は、脅威グループFIN6 (Microsoft がTAALとして追跡) をエミュレートするための詳細な計画のライブラリ、脅威インテリジェンス、MITRE ATT&CK データ、サポート スクリプト、およびレッド チームが敵をエミュレートし、その環境での防御能力を評価しています。
MITRE Engenuity の Center for Threat-Informed Defense の創設メンバーである Microsoft は、この業界全体の共同プロジェクトに参加し、Center for Threat-Informed Defense は、世界中のセキュリティ研究者を集めて、サイバーセキュリティにおける最先端のアプローチを推進することを目的としています。
FIN6敵対者エミュレーション計画の公開などのプロジェクトを通じて、センターは応用研究と高度な開発をサポートして、サイバー防御を大規模に改善しています。
また、このセンターは MITRE ATT&CK に基づいて構築されているため、エミュレーション プランは、セキュリティ研究者やアナリストが既に使い慣れており、セキュリティ オペレーションで使用しているフレームワークと一致しています。
FIN6: 進化する電子犯罪グループ
FIN6 は、2015 年から活動している、ロシア発祥の疑いのある洗練された電子犯罪グループです。
金融を目的とするこのグループは、FrameworkPOS を使用して、小売業およびホスピタリティ業界の POS システムを標的にすることが知られています。
またGratefulPOS マルウェア株は、最近このグループは活動を「Magecart」キャンペーンにまで拡大しており、悪意のあるスクリプトをオンライン ショッピング Web サイトに挿入して、クレジット カード データやその他の機密情報を盗み出しています。
このグループは、既存の Trickbot 感染を利用してターゲット ネットワークにアクセスし、RDP ブルート フォースを介して横方向に移動し、Ryuk および LockerGoga ランサムウェア ペイロードを特定の場所に展開することも確認されています。
さらに、FIN6 は「Anchor」と呼ばれるマルウェア フレームワークを利用していることが確認されており、これは 2018 年以来、Trickbot の活動にも結び付けられており、2 つのグループ間の疑わしい操作上のリンクに信憑性を与えています。
これらのキャンペーンは、グループが継続的に目的、攻撃ツール、および他の電子犯罪グループとのパートナーシップを進化させ、拡大して、金銭的動機の目標を推進していることを示しています。
重要で実用的なエミュレーション計画
Center for Threat-Informed Defense によって公開された FIN6 エミュレーション プランは、攻撃者の情報、個々の戦術、技術、手順 (TTP)、およびエミュレーション プランをまとめたものです。
現在複数の場所に存在する脅威インテリジェンスを 1 つのリソースに収集することで、重要なエミュレーション情報を提供しながら、レッド チームが情報を精査、読み取り、消化する時間と労力を節約します。
スキルレベルに関係なく、敵をエミュレートしようとしているレッドチームは、この計画が有益だと理解することができます。
脅威アクターの概要を提供するだけでなく、操作を成功させるための前提条件が満たされていることを確認するのに役立つ、公開されている必要なツールを一覧表示します。
エミュレーション計画はフェーズごとに編成されており、FIN6 の目標と手順をエミュレートするためにレッド チームの運用を構築するのに役立ちます。
CALDERA および Atomic Red Team スタイルで実装された戦術、技法、および手順 (TTP) は、関連するすべての MITRE ATT&CK 技法に信号を提供します。
この情報収集により、レッド チームは最小限の知識から作業エミュレーションへと短時間で移行します。
同様に、より高度なチームは、この計画が価値があると考えるでしょう。
チームが公開ツールやコマンドライン エミュレーションに限定されていない場合でも、TTP エミュレーション プランは時間を節約し、より複雑で微妙なエミュレーションを実装したり、これらの機能をカスタム ツールに吸収したりするための基礎として使用できます。
最終的に、FIN6 エミュレーション プランのような研究は、重要で現実的なエミュレーション シグナルをブルー チームにより迅速に提供します。
すぐに使用できるエミュレーション プランは、脅威のエミュレーション シグナルを受信するためのハードルを下げるため、概して、防御機能の向上に役立ちます。
Microsoft 脅威保護の対象範囲
FIN6 エミュレーション プランは、合計 16 の MITRE ATT&CK 手法をカバーしています。
その多くは、通常のネットワーク アクティビティに溶け込んでいるため検出が非常に困難ですが、16 のすべてが Microsoft Threat Protection に表示されます。
Microsoft Threat Protection は、エンドポイント、電子メールとデータ、ID、およびアプリ全体の脅威データを統合することにより、調整されたクロスドメイン防御を提供し、最新の MITRE ATT&CK 評価で業界をリードする検出機能を実証しました。
FIN6 で利用されている 7 つの手法について、Microsoft Threat Protection は自動的にリアルタイム アラートを生成し、脅威アクターの存在とネットワーク内での活動についてセキュリティ オペレーション チームに通知します。
残りの FIN6 手法は、Microsoft Threat Protection によってテレメトリとして記録され、アラートのプロセス ツリー内に詳細として表示されます。
さらに、これらの手法の回避的な性質があっても、Microsoft Threat Protection はエンドポイントで 3 つの手法に関連するプロセスを停止します。
これは、次世代の保護機能と、ブロック モードの新しいエンドポイントおよび検出応答 (EDR) によって実現されます。ブロック モードの EDR は、EDR 検出を、悪意のある動作とアーティファクトのブロックと封じ込めに変換します。
関連するすべてのアラートとシグナル、および影響を受けるエンティティや修復ステータスなどのその他の重要な情報が、1 つのインシデント ビューに統合されます。この脅威データの相関関係により、セキュリティ運用チームは、環境に対する脅威の全容を判断し、重大度レベルに基づいてアラートに優先順位を付け、影響を受ける資産を迅速に修復できます。
エミュレーション計画と Center for Threat-Informed Defense とのパートナーシップからの Microsoft 自身の学習の一環として、マイクロソフトの研究者は、テレメトリを、該当する場合にアラートを生成する特定の検出に変換することで、カバレッジをさらに改善することを検討しています。
業界のコラボレーションにより、エコシステムの保護を強化
Microsoft Threat Protection が FIN6 エミュレーション プランでカバーされている MITRE ATT&CK 手法を 100% カバーしていることは、Microsoft が脅威、特に FIN6 攻撃のような巧妙で永続的な脅威に対する幅広い可視性を示していることを示しています。
MITRE Engenuity のCenter for Threat-Informed Defenseと提携することで、私たちの洞察と経験をセンターの他のメンバーや業界全体と共有し、他の専門家からも学ぶことができます。
Microsoft は常に業界全体のパートナーシップの擁護者であり続けてきました。これは、エコシステム全体のセキュリティが向上するためです。この目的のために、私たちはこのようなプロジェクトのために MITRE Engenuity と協力し続けます。また、MITRE Corporation との提携を継続し、すべての人に利益をもたらす透明性のある共同テストを構築します。
Microsoft 脅威保護研究チーム
Comments