SophosのMTDモジュールでC&Cサーバーへの不正な通信を検知してみた
クラウド管理型のSophos Server Protectionで、MTD (Malicious Traffic Detection) 機能を試してみました。
MTDは、C&C(コマンド&コントロール)サーバーなどの既知の悪質なURLに接続しようとする兆候に関して、HTTPトラフィックを監視します。
C&Cサーバーは、ウイルスに感染したPCやサーバーに命令を送るサーバーを指します。
CentOSから、C&Cサーバーに見立てたデモサイトにHTTP接続して、検知することを確認しました。
利用条件
MTDはSophos Anti-Virus for Linux バージョン10で利用できます。
C&Cサーバーへの通信を遮断する機能はなく、通知のみ行います。
クラウド管理型のSophos Server Protectionでは、要件を満たす場合にSophos Anti-Virus for Linux バージョン10がインストールされます。
利用にはServer Protection Advancedライセンスが必要です。
Linuxでは、Redhat Enterprise Linux 6.5 (またはそれと同等) 以降の64ビット版がサポートされます。
本記事ではライセンスやSophos Server Protectionの初期設定に関する説明はしません。
興味のあるかたは以下をご覧ください。
MTDの有効化
MTDを有効化するには、脅威対策ポリシーを選択します。
"C & C サーバーに送信されるネットワークトラフィックを検出する"を有効にし、保存します。
デモサイトへの接続と通知テスト
以下のコマンドを実行し、デモサイトに接続します。
curl -s http://sophostest.com/mtdtest/2/ | grep C2 | sed -n '/^$/!{s/<[^>]*>//g;p;}'
Sophos Centralには以下のようにイベントが作成されます。
MTDで悪意のあるアウトバウンドトラフィックを検出しました。
curlプロセスでhttp://sophostest.com/mtdtest/2/に接続した事がわかります。
以下のような形でメール通知されます。
検出された脅威にMTDとあります。
おわりに
クラウド管理型のSophos Server Protectionで、MTD機能を試してみました。
デモサイトに接続すると、Sophos Centralでイベントが作成されると共にメール通知されることを確認しました。
検証環境
- Sophos Central 試用ライセンス
- AMI: CentOS 7 (x86_64) - with Updates HVM ,ami-25bd2743
- Sophos Linux Security バージョン 10.3.0
