SophosのMTDモジュールでC&Cサーバーへの不正な通信を検知してみた

sophos

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

クラウド管理型のSophos Server Protectionで、MTD (Malicious Traffic Detection) 機能を試してみました。
MTDは、C&C(コマンド&コントロール)サーバーなどの既知の悪質なURLに接続しようとする兆候に関して、HTTPトラフィックを監視します。
C&Cサーバーは、ウイルスに感染したPCやサーバーに命令を送るサーバーを指します。

CentOSから、C&Cサーバーに見立てたデモサイトにHTTP接続して、検知することを確認しました。

利用条件

MTDはSophos Anti-Virus for Linux バージョン10で利用できます。
C&Cサーバーへの通信を遮断する機能はなく、通知のみ行います。

クラウド管理型のSophos Server Protectionでは、要件を満たす場合にSophos Anti-Virus for Linux バージョン10がインストールされます。
利用にはServer Protection Advancedライセンスが必要です。
Linuxでは、Redhat Enterprise Linux 6.5 (またはそれと同等) 以降の64ビット版がサポートされます。

本記事ではライセンスやSophos Server Protectionの初期設定に関する説明はしません。
興味のあるかたは以下をご覧ください。

MTDの有効化

MTDを有効化するには、脅威対策ポリシーを選択します。
"C & C サーバーに送信されるネットワークトラフィックを検出する"を有効にし、保存します。

デモサイトへの接続と通知テスト

以下のコマンドを実行し、デモサイトに接続します。

curl -s http://sophostest.com/mtdtest/2/ | grep C2 | sed -n '/^$/!{s/<[^>]*>//g;p;}'

Sophos Centralには以下のようにイベントが作成されます。
MTDで悪意のあるアウトバウンドトラフィックを検出しました。
curlプロセスでhttp://sophostest.com/mtdtest/2/に接続した事がわかります。

以下のような形でメール通知されます。
検出された脅威にMTDとあります。

おわりに

クラウド管理型のSophos Server Protectionで、MTD機能を試してみました。
デモサイトに接続すると、Sophos Centralでイベントが作成されると共にメール通知されることを確認しました。

検証環境

  • Sophos Central 試用ライセンス
  • AMI: CentOS 7 (x86_64) - with Updates HVM ,ami-25bd2743
  • Sophos Linux Security バージョン 10.3.0

参考