BlackBerryが有効性を実証：BlackCat/ALPHV および menuPass に対するMITRE ATT&CK 評価

原文のブログはこちらからご覧いただけます。

2024 年の動的な脅威環境での MDR（Managed Detection and Response、マネージド検知・対応）サービスの有効性を評価

サイバーセキュリティの動的な脅威環境は、組織に対し、課題を絶えず突き付けています。資産を安全に保ち、リソースを保護するには、防御する側は、脅威アクターによって使用されている高度なマルウェアの開発からより巧妙なソーシャルエンジニアリング手法まで、常に警戒を怠らず、最新のセキュリティ戦略で最新の状態を維持する必要があります。

巧妙化する今日のサイバー脅威に組織が対抗し、脅威検知機能を強化できるよう支援するため、MITRE は menuPass と BlackCat という 2 つの著名な脅威アクターをエミュレートした MDR（マネージド検知・対応）評価を実施しました。

BlackBerry の主な結果

この評価において、BlackBerry の Cylance^® AI が上げた成果のいくつかを紹介しましょう。

実用的な検知：実用的な検知については、BlackBerry は上位 5 つのソリューションに名を連ねました。これは弊社の包括的なアプローチを裏付ける重要な結果です。Cylance ポートフォリオによりサポートされた BlackBerry の CylanceMDR™ ソリューションは、攻撃チェーンのまさに最初の段階で脅威を検知しました。

アラート疲れの予防：評価中に最多のアラートを発したベンダーに比べ、BlackBerry が発したアラートは 75% 少ない数でした。BlackBerry は攻撃チェーンの要所ごとに実用的なアラートを発出することで、顧客に洞察を迅速に提供しながら、アラート疲れを防ぎました。

クラス最高の可視性：検知された活動、確認された TTP（戦術、技法、手順）、およびフォレンジック分析の組み合わせにより、BlackBerry チームはエミュレートされた両方のシナリオの最も初期の段階で、脅威アクター menuPass と BlackCat/ALPHV および使用されている特定のマルウェアを正確に特定しました。

防御的セキュリティ：CylanceMDR は、両方のキャンペーンで攻撃の最も重要なステップの検知に成功し、修復方法を提案しました。

さらに先へ：BlackBerry チームは早急に対処できるようアラートを提供し、タイムリーなエスカレーションを行っただけでなく、毎日の活動をまとめた詳細な日次レポートも提供しました。これは、BlackBerry が徹底的な解析と明確なコミュニケーションに力を入れていることを示しています。

評価について

MITRE Engenuity の ATT&CK^® 評価：マネージドサービス — ラウンド 2 は、MITRE フレームワーク内での攻撃者の行動を解析して記述する参加ベンダーの能力を評価するための極めて重要なベンチマークです。この評価は、巧妙化するサイバー脅威に対抗する MDR（マネージド検知・対応）ソリューションの有効性に対するテストの役割を果たしています。

ラウンド 2 のテスト対象は 11 社のベンダーでしたが、MDR/サービスに対する両方の MITRE 評価に参加したのは、BlackBerry を含め 8 社のみでした。この 2 つ目の評価では、参加ベンダーは自社で用意したツールセットを使用してサービス能力を証明し、顧客に対するものと同じ形式で解析を提供しました。

ベンダーにとってこの評価を特に難しくしているのが、攻撃エミュレーションへの「ブラックボックス」アプローチです。つまり、実行が完了するまで、ベンダーにはエミュレートされている 1 つまたは複数の攻撃者について明かされません。

また、このラウンドでのテストには、「実用的な検知」という新しいカテゴリも含まれていました。MITRE が求めていたのは、タイムリーな「シナリオ検知」です。このシナリオ検知には、セキュリティチームが検知された脅威を軽減または対処するための有効な措置を即座に講じることを可能にする、活動、時間、場所、ユーザー、コンテキストなどの明確で具体的な情報を含むことが必要です。

クラウドコンピューティング環境（AWS）で 5 日間にわたって実施された厳格な評価では、参加ベンダーは、2 つの著名な脅威アクターをエミュレートし、MITRE Engenuity が顧客であると想定して解析を提出するよう求められました。

攻撃者の紹介：menuPass と BlackCat

menuPass と BlackCat のどちらも、サイバー脅威環境で活動する高度な攻撃者ですが、運用する戦術および技法には以下のような明確な違いがあります。

menuPass はAPT10 としても知られ、主に国家支援型のスパイ活動を行っています。長期的な戦略的アクセスを獲得し、多数の世界的な業界にわたってデータを抽出することに力を入れており、日本の標的を重視しています。menuPass のメンバーは、中国の MSS（国家安全部）に関連して活動していたことが分かっています。その手法は順序だっており、スピアフィッシングおよび QuasarRAT などの悪意のあるカスタムのオープンソースアクセスツールを使用して、標的のネットワークに侵入して内部で永続化をはかります。

BlackCat はALPHV としての活動でも知られており、RaaS（Ransomware-as-a-Service、サービスとしてのランサムウェア）の新潮流を代表しています。ロシア語話者からなるこのグループは多くの攻撃を実施しており、攻撃的な収益化戦略で知られています。データの暗号化と漏えいで脅迫するランサムウェア攻撃を使用して被害者から金銭をゆすり取り、地域や業界を問わずビジネスに影響を及ぼしています。menuPass はひそかに侵入して持続することを目指すのに対し、BlackCat は迅速な経済的恐喝と公衆の混乱を重視しています。

CylanceMDR のテスト結果

MITRE Engenuity は 11 の MDR ソリューションを、1 日 24 時間の実行で連続 5 日間、厳格にテストしました。このラウンドは、「ブラックボックス」アプローチによる評価の 2 回目のテストでした。このテストでは、評価は menuPass と BlackCat の 2 つの攻撃者グループに分けられていました。

この評価は、ステルス性を重視し、信頼関係とシステムツールを利用してデータの復元を妨げる脅威を検知するベンダーの能力をテストします。この評価は合計 173 のサブステップを含む 15 の主要なステップから構成され、攻撃チェーン全体をエミュレートしています。

Cylance ポートフォリオによりサポートされた BlackBerry の CylanceMDR™ ソリューションは、攻撃の最も重要なステップの検知に成功し、修復方法を提案しました。テストされた 11 の MDR ソリューションのうち、BlackBerry は効果的な脅威対処に対するアラートの明瞭さ、コンテキスト、および実用的なガイダンスを評価するカテゴリである「実用的な検知」で上位 5 つのソリューションに名を連ねました。

この結果は、悪意がある可能性がある活動の報告および詳細なコンテキストと綿密な修復情報の提供の両方における、BlackBerry の積極的な取り組みを強調しています。

テストの 173 のサブステップのうちの 43 の主要なステップが、MITRE により最終的な評価のために選択されました。BlackBerry は 35 のステップに適切に対処し、ソリューションの安定性を実証しました。なお、残りの 8 つのステップについても、BlackBerry は攻撃を完全に認識していました。一例として、ステップ 1.B.3 反射型コード読み込み（Reflective Code Loading）では、BlackBerry は注入された Notepad++ プロセスを正しく識別していました。しかし弊社の標準的手順には含まれないため、その技術的詳細の顧客に対する自動的なレポートは実施しませんでした。

ただし、内部で生成されたリバースエンジニアリングレポートには追加のデータが含まれています。これらのレポートは要望に応じて顧客に提供できますが、今回のエミュレートされた攻撃では、このデータを識別してレポートするだけでは、MITRE により要求された検知基準を満たしませんでした。

ただし MITRE の評価ではなく実際の攻撃であったなら、疑わしいすべてのアーティファクトは、その挙動と実施された活動から、ただちに悪意があるとしてエスカレーションされていたため、顧客への影響は低程度から皆無だったと見られます。

BlackBerry vs.アラート疲れ

テストのこのラウンドでは、MITRE は発出された合計アラート数でベンダーを評価しました。評価のこの部分では、実際の悪意ある攻撃、通常のユーザー活動、または誤検知のいずれに関連しているかにかかわらず、受信したアラートの総数を計測しました。

アラートは重要ですが、SOC に大量のノイズももたらします。次の点を理解することが重要です。問題の100% にアラートを出すことは、有効な脅威予防とはなりません。組織は、自動化された防御アクションとシグナルノイズのバランスを取る必要があります。

5 日間の評価期間中、テスト中に最多のアラートを発出したベンダーに比べ、CylanceMDR が出したアラートは 1207 件少なく、割合にして75% 減に相当します。

設計により、Cylance AI を活用する BlackBerry 製品は、被害が生じる前に攻撃を先制的に阻止するための決定をユーザーに代わって自動的に行うことで、確実で実用的な形で報告されるイベント数とのバランスを取り、アラートの数を減らします。

この最適なバランスにより、セキュリティチームのアラート疲れを最小限に抑え、組織またはセキュリティチームの規模にかかわらず、MDR サービスを有効で管理しやすい状態に保つことができます。

BlackBerry の結果：詳細

インフラストラクチャ

本年の MITRE 評価では、複数のビルにまたがる信頼できるネットワークや請負業者への外部接続を含む企業ネットワークをシミュレートし、これまでの評価と比べて環境の複雑性が増すよう設計されています。

最初のシナリオでは、menuPass による、架空のグローバル製薬会社の 2 つの子会社に対する侵害をエミュレートしました。エミュレーションでは、menuPass での環境寄生型（Living-off-the-Land）技法、検知回避のための反射型コード読み込み、およびメモリ内で SigLoader、FYAnti、QuasarRAT、および SodaMaster ペイロードを実行するための DLL サイドローディングの使用を再現しています。

第2のシナリオでは、一方の子会社への、共生する ALPHV BlackCat アフィリエイトによる Windows^® および Linux^® ESXi サーバーへの BlackCat ランサムウェアの展開がエミュレートされ、防御回避、データの破壊/暗号化、およびシステム復元の妨害行動が示されています。

図 1：MITRE MDR ラウンド 2 の複雑なインフラストラクチャレイアウト

ソリューションの展開

CylanceMDR の重要な特徴の 1 つが、ワークステーションおよびサーバーのどちらにもシンプルな手順でインストールでき、また迅速な展開と微調整が可能であるため、短期間でスムーズに運用を開始できることです。

MITRE MDR 環境も例外ではなく、CylanceMDR を 2 営業日以内に展開して設定することができました。

CylanceMDR の基礎を成しているのが、Cylance AI を活用したクラス最高の 2 つの製品、CylancePROTECT® と CylanceOPTICS® の使用です。これらの高度なテクノロジーを使用して、弊社のアナリストは、Python Refract パッケージインターフェイスを介して、任意のエンドポイントまたはサーバーに、オンデマンドで必要な追加のフォレンジックツールを展開できます。

弊社のチームはこのようにして、攻撃者によって実行後に削除された悪意あるサンプルを復元し詳細に解析するためのメモリフォレンジックツールなど、各種ユーティリティを展開します。

脅威の検知と対応のパフォーマンス

両方のキャンペーンで検知された活動と確認された TTP およびフォレンジック分析の組み合わせにより、BlackBerry チームは脅威アクター menuPass と BlackCat/ALPHV および使用されている特定のマルウェアを正確に特定しました。

前述のように、MITRE は 173 のサブステップを含む合計 15 のステップをエミュレートし、活動の測定のために主に 43 のコアとなるサブステップに重点を置きました。以下にプロセスの概要を示します。

• 攻撃チェーンは、窃取した認証情報を使用して子会社のサーバーにアクセスすることから始まります。エミュレートされた脅威アクター menuPass はマルウェアを展開して、永続的な足場を確立します。
• 攻撃者は QuasarRAT を使用して、重要なネットワークコンポーネントを発見するための偵察を実施します。
• 攻撃者は取得した認証情報を使用して権限を昇格させ、組織内のより価値の高い標的を求めて水平展開します。
• 攻撃者は各種の高度なツールや技法を使用して、Active Directory データベースなどの重要なデータを抜き出し、さらなる水平展開に備えます。
• 最終的に、攻撃者は機密情報をネットワークから収集して盗み出し、検知を回避するためにイベントログを消去することでその痕跡を消します。

BlackCat の攻撃

• BlackCat による攻撃は、アクセスブローカーが窃取した認証情報（前述のシナリオに由来）を使用して請負業者の組織に侵入し、重要なネットワークホストへの RDP（リモートデスクトッププロトコル）アクセスを提供することで始まります。
• 侵入後、攻撃者は発見ツールを使用してネットワークを綿密に調査し、認証情報を収集します。
• 次に、BlackCat はセキュリティ対策を無効化し、権限を昇格させ、ネットワーク内を水平展開して機密データを特定し抜き出します。
• 攻撃の最終段階では、Linux および Windows システムの両方にランサムウェアペイロードを展開し、ファイルを暗号化して脅迫状を残します。
• この多段階攻撃は広範囲にわたるデータの暗号化につながり、被害者の組織の業務に多大な混乱をもたらします。
  
  

図 2：MDR（マネージド検知・対応）攻撃チェーンのタイムライン

脅威の封じ込めと修復の速度および正確さ

以下の図 3 とおよび4に示すように、MITREによる MDR 評価を構成する 15 のステップにおいて、BlackBerry は両シナリオの最初期段階でアラートを発行することで、予防的な脅威検知機能を示しました。

図 4：攻撃チェーンでの脅威の検知と実行可能性 – BlackCat/ALPHV により実行されるステップ 10～15

図 3 と 4 に示したように、CylanceMDR は攻撃チェーンの最初期から脅威を検知しました。BlackBerry の IR（インシデント対応）チームがこれらの検知に応じて対処することを許可されていたなら、製品自体が提供する修正案または予防手段により、この攻撃は初手から阻止されていたでしょう。

アラートが発行された各ステップについて、BlackBerry の IR チームは、コンテキスト、修復方法の提案、および観察された活動の具体的な詳細を MITRE に提供しました。

MITRE は 173 のサブステップのうちの 43 個のみを評価しましたが、実世界における攻撃シナリオであれば、BlackBerry による攻撃チェーンの早期検知により、レポートされなかった 8 つのステップはそもそも発生しなかったでしょう。

実用的なレポート

各ケースをエスカレーションした BlackBerry の MDR アナリストのたゆまぬ努力、およびバックグラウンドで証拠を収集するために尽力を続けた専任チームのおかげで、BlackBerry は、MITRE チームによりほぼすべてのステップに対して導入された新たな「実行可能性」指標を達成できました。

BlackBerry チームは、タイムリーなエスカレーションを送信するだけでなく、日次レポートも提供することで、要件をさらに一歩抜きん出ています。

アクティビティの完了時に、BlackBerry は173 ページの非常に詳細なレポートを、複数の付録および視覚的な詳細を示すための攻撃の図とともに提出しました。この包括的な解析は、攻撃チェーン、侵害の影響、およびイベント全体のタイムラインについて綿密に記述しており、BlackBerry が徹底的な解析と明確なコミュニケーションに力を入れていることを示しています。

MDR の取り組み：チームの準備と継続的なトレーニング

BlackBerry の MDR サービスが常に最高の能力を発揮できるように、弊社はアナリストおよびリバースエンジニアに対して継続的なトレーニングを実施しています。同時に、最新かつ最も重要な脅威アクターおよびツールを使用して実際の脅威のエミュレーションを頻繁に実施することで、弊社の製品、テレメトリ、および検知機能に対するきめ細かな調整を続けています。

弊社の方法論は、セキュリティに関して良い成果を上げることに重点を置いており、顧客が自社組織の保護を実現できるよう支援するために設計されています。また、さまざまなシナリオにおいて弊社製品の機能を厳格にテストする月次のパープルチーム演習を通じ、このアプローチを強化しています。この方法論は、従来の「レッドチームのように考え、ブルーチームのように行動する（Think red, act blue）」戦略に沿うものです。

弊社の事前予防型の考え方および継続的な準備のおかげで、MITRE によるMDR 評価を日常業務にシームレスに組み込むことができました。通常業務として扱い、BlackBerry のソリューションを展開し、MDR チームがあらゆる顧客に対応する場合と同様に対処することを可能にしたのです。

図 5：BlackBerry の MDR の取り組み

MITRE ATT&CK 評価と実際の攻撃の違い

重要な留意点として、MITRE では評価結果に対し、順位付けや採点を行っていません。セキュリティ担当者にとっては、BlackBerry 製品の実力を示すうえで数値が役に立つ可能性がありますが、MITRE のテストが最も重視するのは、コンテキストとタイミングに関する情報を明らかにすることです。

MITRE ATT&CK 評価のテストは検知と可視性を中心に実施されますが、「収穫逓減」に達するポイントがあるかもしれません。MITRE はテスト結果を 0 ～ 100% までのパーセント評価で公表していますが、評価者は、テストのどのセクションまたはカテゴリでそうしたスコアを獲得したとしても、現実世界での保護が保証されるわけではないと述べるでしょう。

現実世界では、100% の保護というものは存在しせん。100% 保護できると主張する人は、サイバー脅威の本質を理解していません。結局のところ、最も重要なのは結果です。攻撃の進行を止められましたか ?  

結論

BlackBerry のチームは攻撃チェーンの各要所で実用的なアラートを効果的に発出することで、顧客に対する洞察を迅速に提供しながら、アラート疲れを防ぎました。BlackBerry は早急な対処のため即座にアラートを発し、また毎日の活動をまとめた詳細な日次レポートも提供しました。

さらに、アクティビティの完了時には、非常に詳細かつ徹底した最終レポートも提出しました。このレポートには、活動の詳細なタイムライン、ドロップされたアーティファクトに対するリバースエンジニアリングレポート、および顧客が攻撃について理解するのに役立つ視覚的な図が含まれています。これは、そのシンプルさおよび BlackBerry のアナリストの専門知識を活用してより優れたサービスを提供する、CyanceMDR ソリューションの顧客中心の本質を強調しています。

謝辞

MITRE Engenuity チーム、特に ATT&CK 評価チームの継続的な支援と、すべてのベンダーの製品とサービスのレベルアップにつながり、セキュリティ業界全体に共通のメリットをもたらすための取り組みに感謝を表します。

関連記事

• CylanceMDR Goes Head to Head with Adversaries in MITRE Evaluation
• 脅威アクターが今使用している上位 20 の MITRE ATT&CK 戦術
• BlackBerry の AI サイバーセキュリティ、Turla にも威力を発揮
• BlackBerry Demonstrates Prevention Against Wizard Spider and Sandworm Emulated in MITRE ATT&CK Evaluations

Disclaimer: The views and opinions expressed in this blog are those of BlackBerry, and do not necessarily reflect the views or positions of any entities they represent.

同様の記事やニュースの配信を希望される場合は、BlackBerryブログの購読をご検討ください。

ご質問はこちらから、お気軽にお問合せください：https://www.blackberry.com/ja/jp/forms/enterprise/contact-us

• 攻撃や感染した事故対応はこちらまで　サイバーセキュリティチームによるコンサルティングサービス: https://www.blackberry.com/ja/jp/services/blackberry-cybersecurity-consulting/overview
• ランサムウェア対策: https://www.blackberry.com/ja/jp/solutions/malware
• BlackBerry Japan：https://www.blackberry.com/ja/jp
• Facebook（日本語）: https://www.facebook.com/watch/BlackBerryJPsec/
• Twitter（日本語）: https://twitter.com/BlackBerryJPsec
• LinkedIn: https://www.linkedin.com/company/blackberry/
• YouTube（日本語）: https://www.youtube.com/channel/UCT2VHYwfUVC4V0AnkVZ2QIg/videos
• セミナーやトレーニング情報はこちらをご覧ください。