本ブログ記事は、2021年10月13日に米国で公開されたBlackBerryのブログ記事の抄訳版です。原文はこちらからご覧頂けます。
国家が支援する APT グループ、サイバー傭兵、サイバー犯罪者グループは、強力で柔軟な Cobalt Strike ソフトウェアを使って新たな脅威を開発しています。BlackBerry Research & Intelligence Team は、この種の脅威を、それが被害を与える前に発見するための自動化されたシステムを開発しました。
このたび BlackBerry が発表した新刊E-Book 『サイバー空間の闇に灯るビーコンの見つけ方』では、攻撃者が使用する最も一般的なツールの一つである Cobalt Strike Beacon の進化と普及について詳しく説明しています。本書では、Cobalt Strike Team Server を識別するためのさまざまな手法を紹介し、悪意のある Cobalt Strike のペイロードから自身や組織を守るために必要な情報を提供します。堅牢な CTI(cyber threat intelligence)ライフサイクルと XDR(extended detection and response)ソリューションによって、この種の脅威を完全に理解し、未然に防御するために必要となるコンテキストを提供する方法を説明しています。
今回、日本版をこちらから無償でダウンロードできます。ぜひ、ご一読ください。
Cobalt Strike とは
Cobalt Strike は当初、脅威をエミュレートする機能を備えた敵対者シミュレーションツールとして開発されましたが、その後、脅威アクターが利用する最も永続的な攻撃手法の一つに発展しました。脅威の研究者による最近の報告によれば、サイバー犯罪者による Cobalt Strike の使用は前年比 161% もの上昇を記録し、サイバー犯罪の世界では実質的に主流のツールとなっています。Cobalt Strike はセキュリティ担当者にとって永続的な問題になっており、防御機能と高度な脅威インテリジェンスの提供に役立つ堅牢なソリューションが求められています。
Cobalt Strike の魅力の一つに、その柔軟性とアクセスのしやすさがあります。このため、レッドチームに広く利用されていますが、サイバー犯罪者にも多く利用されており、その多くの場合、クラックされたものやリークされたものが利用されています。脅威アクターが高度な攻撃ツールで武装することが簡単になったため、かつて複雑な作業だったことが、ほとんど努力を要さずにできてしまいます。このソフトウェアは、多くの攻撃手法を容易にするため、無数の国家主導型アクターに愛用されてきました。
Cobalt Strike のメインのペイロードである Beacon は、キーロギング、リモートスクリーンショット、データの持ち出し、認証情報のハーベスティング、権限昇格など、攻撃者に豊富な機能を提供します。このソフトウェアは、過去 18 か月間に行われたランサムウェアベースの攻撃での権限昇格に重要な役割を果たしました。今回の BlackBerry® の新たに発表されたE-Bookでは、組織が直面している現在の脅威に焦点を当て、包括的な防御フレームワークを提供し、これまでは無関係だと考えられていたサイバー攻撃間の関係を明らかにしています。
Cobalt Strike はレッドチーム向けに正規販売されていますが、サイバー犯罪者にとっては、既存のマルウェアや関連ツールを地下フォーラムで入手する方が、自前で技術を開発するよりも大幅に低コストになるため、法執行機関に重大な帰属問題をもたらす Cobalt Strike の利用には理想的です。この問題は、サイバー傭兵グループが国家レベルの大規模なアクターの指令で活動している場合には、さらに複雑になります。
BlackBerry の Research and Intelligence 担当バイスプレジデントである Eric Milam 氏は次のように語っています。「Cobalt Strike は、サイバー犯罪者にとって完璧に近いソフトウェアであると同時に、優れたツールがサイバー犯罪を助長したり増加させたりするというセキュリティ分野での重要な難問に光を当てています」「Cobalt Strike は機能が豊富で、しっかりとサポートされ、開発者によって積極的にメンテナンスが行われています。ペイロードは攻撃者に役立つ機能を満載しています。そのため、APT グループにもサイバー犯罪の初心者にも、魅力的な選択肢となっています」
サイバー脅威インテリジェンスとは
本書では、BlackBerry Research & Intelligence Team が、Cobalt Strike Beacon 用の C2(コマンドアンドコントロール)サーバーである Cobalt Strike Team Server のインスタンスを対象としてインターネットでハンティングを行うための堅牢なシステムを紹介します。また、CTI ライフサイクルについても紹介します。これは、ほとんどの XDR 製品とサービスの基礎となる製品とサービスのためにインテリジェンス主導の防御を築く、マルチフェーズのアプローチをまとめたものです。
CTI ライフサイクルに従って Team Server のハンティングを行い、これらのサーバーが提供する Beacon ペイロードから構成を抽出することによって、得られたデータセットをどのように活用して強力なインテリジェンスとなる洞察を引き出せるか示すことが、本書の目的です。これらの洞察によって、既知の脅威グループとキャンペーンに関連したサーバーのクラスターを特定できるだけでなく、これまで把握できなかった両者間のつながりが明らかになり、無関係に見えるネットワークインフラストラクチャ間の相関を解明できるようになります。
BlackBerry の狙い :追われる側から追う側へ
Cobalt Strike の使用が地下犯罪組織内で拡大していることには重大な懸念がありますが、高度な APT グループによる継続的な使用(悪用)も同様です。最近では、2021 年 10 月に APT41 がインド市民を対象としたフィッシングメールに Cobalt Strike を使用しているのが確認されており、また、Dridex のオペレーターは最近のフィッシングやマルスパムの組織的攻撃に Cobalt Strike を多用しています。
BlackBerry のプロダクトエンジニアリング担当バイスプレジデントである Billy Ho は次のように語っています。「本書の目的は、この知識の共有によってセキュリティコミュニティを支援することです。Cobalt Strike のハンティングを行う自動化システムを作成するために実行した手順を紹介するほか、最も重要な点として、得られたデータセットから有意義な脅威インテリジェンスを取り出す方法を説明します」「さらにこの情報を使用して、脅威グループとキャンペーンに関する洞察、トレンド、インテリジェンスが得られます」
得られたインテリジェンスを活用して、防御担当者、ハンター、アナリスト、調査担当者など、あらゆる XDR 関係者に有用な侵害の痕跡(IOC)を提供することもできます。これらは、以下のために役立ちます。
- 組織を防御する
- 詳細な CTI レポートを生成する
- 脅威環境をより正確に把握する
- 十分な情報に基づいてセキュリティに関する意思決定ができるように、常に時代を先取りして、各部門の最高責任者とセキュリティチームに適切なアドバイスを提供する
このたび BlackBerry の新刊『暗闇に光るビーコンの見つけ方 :サイバー脅威インテリジェンスのためのガイド』が、発刊されました。
次のトレーラー動画をご覧ください。
・お問い合わせ:https://www.blackberry.com/ja/jp/forms/enterprise/contact-us
・イベント/セミナー情報:https://www.blackberry.com/ja/jp/events/jp-events-tradeshows
・BlackBerry Japan:https://www.blackberry.com/ja/jp
