ナビゲーションをスキップする
BlackBerry ブログ
  1. BlackBerry ThreatVector Blog
  2. 2022
  3. 02
  4. すべてのビーコンが支配下に :BlackBerry 、Cobalt Strike 脅威アクターのコードを解読

すべてのビーコンが支配下に :BlackBerry 、Cobalt Strike 脅威アクターのコードを解読

リサーチとインテリジェンス / 02.18.22 / Steve Miller

* BlackBerry 脅威インテリジェンスの日本語版の新刊E-Bookは、現在無償ダウンロード可能です。

本ブログ記事は、2021年11月16日に米国で公開されたBlackBerryのブログ記事の抄訳版です。原文はこちらからご覧頂けます。

 

Cobalt Strikeはポストエクスプロイトのフレームワークの 1 つで、後期段階のマルウェアエコシステムの最も優れた機能をエミュレートし、ユーザーが攻撃アクションをシミュレートできるように開発されたものです。全世界の脅威アクターが Cobalt Strike を採用し、数百件の本格的な侵入、ランサムウェア攻撃、データ侵害でこのフレームワークが使用されていることから、Beacon がトップに登りつめたことがわかります。現在、全マルウェアツールキットのチャンピオンの座に君臨しています。役に立つものが勝者なのです。

Poison Ivy と Gh0st が脇に追いやられた一方で、Cobalt Strike とそのコアインプラントの Beacon が一躍脚光を浴びました。このため、世界中のアナリストと研究者が、Cobalt Strike とその使用に関する大量の情報を収集し、処理し、共有するために、新しいアプローチを見つけなければなりません。

それぞれの組織が以下のようなことを自問しなければなりません。実行される前に Cobalt Strike ペイロードを検知できるか? それとも、実行された後にしか検知できないか? ネットワーク C2 トラフィックは検知できるか? Cobalt Strike が検知されたとき、レッドチームの演習と本物の侵入を区別できるか?

もっと事前に対応できるように、最初のフィッシングメールが届く前に Cobalt Strike の到来に関する情報が得られるか? 攻撃者が最初のペイロードを構築する前に、C2 サーバーを特定できるか? 攻撃者によって制御されるインフラストラクチャから直接、詳しい情報を取り出すことはできるか? BlackBerry のチームは、「できる」と答えるためのさまざまな手段を用意しています。

サイバー空間の闇に灯るビーコンの見つけ方』は、専門家が専門家のために無償で提供しているE-Bookです。当初は Cobalt Strike を検知するためのプロジェクトとして始まったものが発展して、Cobalt Strike Team Server とそれに対応する Beacon ペイロード、さらにこれらの構成の詳細について幅広い情報を収集し、処理して、データを取り出すための本格的な自動化プラットフォームが生まれました。今回、日本語版を無償で提供することになりました。こちらからダウンロードください

このシステムの構築と、データの一括解析を通じて、BlackBerry Research & Intelligence Team は脅威インテリジェンスのライフサイクルのさまざまなフェーズにわたるトレンドを観測し、Cobalt Strike の全体像を描き出しました。静的なペイロード解析から、構成、サーバーのフィンガープリント、固有のツールマークに至るまで、本書の著者は Cobalt Strike フレームワーク自体の実際的で詳細な調査結果を示した後、Cobalt Strike が野放しの状態でどのように使われているか理解するために役立つ例を紹介しています。さらに、便利な検知ルールとスクリプトも記載されています。

本書には一見しただけでは掴みきれないほど豊富な情報が含まれており、Cobalt Strike というレンズを通じて、脅威アクターがあらゆるタイプのマルウェアをどのように設計し、構成し、運用する傾向があるのか、より詳しく理解できます(ネタバレ注意:ポート 80、443、8080 はマルウェア構成で多用されていますが、それには当然の理由があります。これらのポートが、ネットワーク機器ではほとんど必ず「オープン」になっているからです)。

詳細な情報の洞窟を探検し、学んだ内容を実戦に生かすことが楽しめるでしょう。本書が刺激となって、ご覧いただいた皆様も進化的圧力の一部になることを期待します。さらに幅を広げれば、増殖力の高いマルウェアファミリーに関する大量情報解析を構築し、共有する方法のモデルとして、本書が活用されることを願っています。

~Steve Miller (@stvemillertime)
Researcher, Stairwell Inc.
(ニューヨーク州イサカ)研究員

 

サイバー空間の闇に灯るビーコンの見つけ方』は、現在日本語版をこちらから無償ダウンロードいただけます。

 

次のトレーラー動画をご覧ください。

 

・お問い合わせ:https://www.blackberry.com/ja/jp/forms/enterprise/contact-us

・イベント/セミナー情報:https://www.blackberry.com/ja/jp/events/jp-events-tradeshows

・BlackBerry Japan:https://www.blackberry.com/ja/jp

Steve Miller

About Steve Miller

Steve Miller@stvemillertime)は、攻撃者のノウハウの研究者であり、デジタルアーティファクトに残された人間の指紋を見つけることに全力を傾けています。同氏は、侵害の「犯人、目的、理由」よりも「方法」に注目し、脅威アクターの TTP や手口を重視しています。Steve が得意とする研究対象は、インシデント対応、脅威インテリジェンス、検知エンジニアリングの交わる部分です。

悪者を見つけ出したり、マルウェアを粉砕したり、独創的な検知ルールを作成したりする以外の時間には、地下室のビート研究所で、モジュラーシンセサイザー、ドラムマシン、その他の音楽機材から大音量のノイズを発生させていることでしょう。

Steve は、Champlain College、Mandiant、米国国土安全保障省、米国陸軍情報保全コマンド(INSCOM)、米国国家安全保障局のアナリストを歴任し、2021 年 8 月にサイバーセキュリティ企業の Stairwell Inc. に入社しました。

戻る