こんにちは、AWS事業本部@福岡オフィスのべこみん(@beco_minn)です。
今回はCODE BLUE 2023で行われた以下のセッションのレポートです。
[日本電気株式会社] ファストフォレンジックにおけるマルウェア解析の活用
NEC では、お客様先でインシデントが発生した際、早期の業務復旧を目指してファストフォレンジックを活用したインシデント対応を行っています。
近年では、ランサムウェアなどのマルウェアを使用するサイバー攻撃の事案に対応することが多くなったため、マルウェア解析の結果を活用する取り組みを進めています。
本講演では、マルウェア解析の結果を実際に活用した事例をベースにその効果を解説し、NEC で考えるファストフォレンジックにおけるマルウェア解析の在り方についてお話しします。Presented by : 竹内 俊輝 (NEC サイバーセキュリティ戦略統括部 リスクハンティング・アナリシス グループ フォレンジックアナリスト) 松本 隆志 (NEC サイバーセキュリティ戦略統括部 リスクハンティング・アナリシス グループ フォレンジックアナリスト)
レポート
- RIHTで対応するサイバーインシデント
- RIHT(リフト) = リスクハンティンググループ
- お客様先で発生したインシデントを対応
- お客様の運用・保守対応を行い、インシデントが発生した場合にファストフォレンジック対応を行う
- 具体的にどういった作業をするのか
- ファストフォレンジックを基本とした対応を実施
- 早急な実態解明/ビジネス復旧のために必要最低限のデータを解析
- Windows
- イベントログ、ジャーナル、レジストリ、プリフェッチなど
- Linux
- ログ(SSH, HTTPなど)、cron、サービスの設定ファイル
- ファストフォレンジックを基本とした対応を実施
- RIHTで対応したインシデントの統計
- 大きく分けて3つ
- 不正アクセス
- 人手によるランサムウェア攻撃
- マルウェア検知・感染
- 全体の割合としては、不正アクセスが約5割、ランサムウェアが約4割を占める
- 年々マルウェアが関連する対応件数が増えている
- マルウェアに対応しなければ
- 大きく分けて3つ
- ファストフォレンジックの課題
- 情報漏洩の可能性に関する見解提示
- 複数の観点から説明が必要
- マルウェアに情報持ち出しの機能が存在するかの説明が求められる
- 侵害端末上のファイル再利用の可否判断
- 侵害された端末上のファイルを再利用しても問題無いか等を確認される
- 公開情報に存在しないマルウェアの動作説明
- 公開情報から情報収集が出来ない場合、マルウェアの動作は検知名等からの推定による説明となる
- 情報漏洩の可能性に関する見解提示
- マルウェア解析による課題の解決
- 情報漏洩の可能性に関する見解提示
- マルウェアを解析し、フォレンジック調査以外の観点の説明材料を増やす
- 侵害端末上のファイル再利用の可否判断
- マルウェアによって改竄されていないか、バックドアが仕込まれていないかの確認
- 公開情報に存在しないマルウェアの動作説明
- 類似のマルウェアを調査
- 情報漏洩の可能性に関する見解提示
- フォレンジックチームの体制
- 複数のメンバーでファストフォレンジックを実施
- 一部のメンバーがマルウェア解析を実施
- 検体を採取し、解析を行う
- このメンバーはマルウェア解析をするだけではない。その知見をファストフォレンジックに活かしている。
- マルウェア解析対応者の作業
- ファストフォレンジックだけでは調査が困難な領域をマルウェア解析でサポート
- なるべく時間をかけた解析は行わない
- ファストフォレンジックのため
- 重点的に見るポイント
- 通信先
- 生成するファイル
- 永続化の設定
- 見ないポイント
- RATによって実行されるコマンドの洗い出し
- など
- マルウェア解析の環境
- 隔離した環境を事前に構築
- チームメンバーに共通の解析環境を用意
- 具体的なマルウェア解析を行なったファストフォレンジックの事例紹介
- 1:セキュリティソフトで検知されたファイルを動的解析した事例
- ファストフォレンジックの結果から2つの可能性が考えられた
- しかし、マルウェア解析の結果、その可能性が異なることがわかった
- 解析結果を元に公開情報を調べたところ、類似の事例を見つけることが出来た
- 結果、より正確な報告を顧客に行うことが出来た
- 2:侵害が疑われる端末上で使用していた業務用ファイルを再利用するための安全性確認
- 各ファイルのリスクを説明、再利用にあたっての注意点を展開
- これまでのファストフォレンジックだと「リスクがあるので使わない方がいい」レベルの説明しか出来なかった
- 侵害の原因となったマルウェア解析を行うことで、より具体的に説明が出来た
- 3:クリプトマイナーを発見した事例
- ファストフォレンジック中に発見した実行ファイルを動的解析
- cronに登録されたファイルの特徴や通信先などから攻撃キャンペーンを特定
- 特定したキャンペーンの情報から芋蔓式に痕跡を発見
- 解析を進めると、マルウェアが公開情報から特定出来た
- ShellBotのリクエスト先IPも特定出来たので、顧客には対象のIPアドレスをブロックしてもらった
- 1:セキュリティソフトで検知されたファイルを動的解析した事例
- マルウェア解析のフォレンジックへの貢献
- インシデントの発生原因・影響に対する複数観点から見解の提示が可能
- 顧客への説明により強い説得力を持たせることが出来るようになった
- ファストフォレンジック調査の効率化
- マルウェアの動作による痕跡と攻撃者の操作による痕跡の識別がある禎吾可能になった
- マルウェア解析で発見した動作をファストフォレンジックの調査に活用出来るので効率化出来た
- インシデントの発生原因・影響に対する複数観点から見解の提示が可能
- NECにおけるマルウェア解析における3つの課題と展望
- 課題1:マルウェア解析者の不足
- 今年度からマルウェア解析者の育成を実施
- ハンズオン形式での学習
- 約1ヶ月のサイクルで実施
- テーマの選定、マルウェアの収集、解析、フィードバック
- 課題2:ファストフォレンジック用のログ解析基盤との連携
- マルウェア解析の自動化と収集したログとの紐付け
- Elasticsearchに食わせて、Kibanaで可視化
- マルウェア解析の自動化と収集したログとの紐付け
- 課題3:脅威インテリジェンスの活用
- インテリジェンスグループとの連携
- どこのログに痕跡が残るのかなど、NECが収集した脅威インテリジェンスをマルウェア解析の場面で活用
- インテリジェンスグループとの連携
- 課題1:マルウェア解析者の不足
感想
個人的にフォレンジックに興味があるので非常に興味深いセッションでした。
ファストフォレンジックの中でマルウェア解析なんて時間かかりすぎるんじゃないのか?と思っていましたが、見る観点を絞ることでより早く的確にお客様が知りたい問いに答えることが出来るとのこと。また、マルウェア解析の結果を活用することでファストフォレンジックの効率化に繋がるのは良いことですね。
32
