ブログ(製品・サービス関連)

Web Shell 検知機能でサーバー保護を実現

攻撃者たちは、絶えず新たな攻撃手法を模索しています。キーボードやマウスを実際に操作するユーザーがいる可能性が高いため、攻撃者はエンドユーザー端末としてのエンドポイントを好んで狙う傾向にあります。しかし、エンドポイントだけが狙われているわけではありません。インターネットからアクセス可能なサーバーに対して直接攻撃が仕掛けられることもあります。攻撃者にデータ窃取を許してしまうようなWebサーバーでは、標的型攻撃の要領でネットワークの他の部分へ水平展開されたりする危険があり、この攻撃を検知するには、ネットワークの様々な部分に標的型攻撃を可視化するネットワーク・セキュリティ製品を導入する必要があります。

しかし、多くのサンドボックスはインライン設置されておらず、個々のファイルを分析するため、水平展開を検知することはできません。サンドボックスが分析するファイルは、ネットワーク・トラフィック全体のフローを見ている、プロキシやファイアウォールなどのデバイスのトラフィックから共有されたものです。他のデバイスから共有されたファイルのみ分析するということは、アーキテクチャ的観点からしても、脅威全体の可視性を著しく損なわせると言わざるを得ません。しかし、FireEyeネットワーク・セキュリティは、インライン設置してトラフィック全体を見るというアーキテクチャを持ちます。このアプローチは、従来のファイルベースのサンドボックスをはるかに凌駕する機能を与えることになります。

MVX:仮想実行エンジン:
Multi-Vector Virtual Execution(MVX)エンジンは、動的かつシグネチャに依存しない分析を安全な仮想環境(いわゆるサンドボックス)上で行い、ゼロデイ攻撃やマルチフロー攻撃、また検知回避攻撃を検出します。MVXは、新種のエクスプロイトやマルウェアを特定することで、サイバー・キル・チェーンにおける「感染フェーズ」と「侵害フェーズ」で攻撃を食い止めます。多くのサンドボックスでは、実行ファイルや Word ファイル、PDF, JAR などの圧縮ファイルを Windows 環境上で実行しますが、MVXは更に、WindowsではFLV、CHM、SWF、MSI、OS XではDMG、MACH-O、LinuxではPL、ELF、SHなどを含む様々なOSおよびファイルタイプに対応しています。

コールバック検知エンジン: FireEyeネットワーク・セキュリティは、危険なファイルを検知するだけでなく、攻撃者サーバーへのコールバック通信も検知します。コールバック通信が検知されたということは、被害者ネットワーク内のエンドポイントが侵害を受けてマルウェアがインストールされており、そこから攻撃者のサーバーに対する通信がなされて、次の指示待ち状態にあると推測されます。この時点ですでに、攻撃者が被害マシンの制御を完全に乗っ取るまであともう少しの所まで来てしまっていることを意味しています。

IPS エンジンFireEye Integrated 侵入防御システム(IPS)機能を FireEye ネットワーク・セキュリティ上で実行することで、ネットワーク・セキュリティの最適化とコンプライアンスを実現します。シグネチャ・ベースの検知と、シグネチャを用いない検知を組み合わせることで、既知の脅威と未知の脅威の両方からシステムを守り、誤検知を軽減し、ノイズに紛れた攻撃を洗い出すことができます。

SmartVision: Post Exploitation Detection Engine: SmartVision Post Exploitation Detection Engine: FireEyeネットワーク・セキュリティは、エンドポイントとインターネット間の通信を見張るだけではありません。エンドポイントに対する「初期侵入」に成功すると、攻撃者は侵入後テクニックを用いて、狙うデーターや金銭的価値の高い情報が保管されている、より高い価値を持つサーバーを探すため、水平展開を行います。

<<新機能>> Web Shell 検知エンジン:エンドポイントをターゲットとする攻撃を検知するのと同様に、サーバーに対する攻撃も可視化する必要があります。Web Shellは、ウェブ・サーバを狙うことでよく知られたツールです(MITRE ATT&CK Technique1100を参照)。MITRE ATT&CKでは、Web Shellを次のように定義しています:

Web Shell:Web Shellとは Webスクリプトの一種で、外部からアクセス可能なサーバーをネットワークへのゲートウェイとして利用するために、攻撃者によって用いられるものであり、一連の機能、もしくはそのWebサーバーをホストしているシステムに対するコマンドライン・インターフェイスを提供する。Web Sell は、サーバー側に置くスクリプトだけでなく、クライアントにインターフェイス・プログラムを起き、Webサーバーとの通信を可能にする。クライアント・インターフェイス・プログラムの例として、China Chopper Web Shell Client が挙げられる。Web Shellはまた、1つ目の不正アクセスが検知された場合の代替手段(Redundant Access)として、もしくは持続的にシステム内に居続けるための方法として利用される。

Web Shellは、Webで表示される画像に隠されていたり404 エラーのページに隠されていることもあります。また、サーバーダウンや機密情報漏えいにつながる場合もあります。たとえば、中国のAPTグループ関係者とみられる人物が、IT企業の履歴書提出サイトに China Chopper Web Shell を挿入し、30万を超えるEメールアドレスを盗んだ事件が観測されたこともあります。闇サイトでWeb Shellアクセスが売買されることもあります。これは、ある攻撃者がWeb Shellによる侵入に成功したあと、その Web Shell に対するアクセスを、その被害組織のネットワークやデータを悪用しようとしている他の攻撃者に売ることを目的としています。

FireEye ネットワーク・セキュリティは、Web Shell の活動を多段階に渡って検知することで、インターネット接続された Web サーバーを保護することが可能になりました。

  • Web Shell アップロード: まず、Web Shell が Web サーバーにアップロードされるのを検知することが第一段階です。Webアプリケーションファイアウォール(WAF)などの他のソリューションも、ある程度役には立ちますが、これらは通常、シグネチャをもとにしています。FireEyeネットワーク・セキュリティはシグネチャに依存せず、MVXエンジンでサンプルを実行し、ふるまいに基づいて未知のWebShellの亜種サンプルを検知します。通常のサンドボックスはクライアントとしてのエンドポイントを想定しているため、PDFのリーダーやOfficeアプリケーションなどしか用意していませんが、FireEye ネットワーク・セキュリティは、サーバーが受け取るPHP, JST, ASPX 等のファイルに対応させるため、MVX エンジンにWebサーバーソフトウェアを再現しました。
  • Web Shellの相互作用: Web Shell検知の第2段階は、WebサーバーにすでにインストールされているWeb Shellとの通信検知です。この活動を検知するため、FireEyeネットワーク・セキュリティに新たなルールを追加しています。ルールは、FireEyeの「イノベーション・サイクル」の一環として自動的にアップデートされます。これは、インシデント・レスポンス・サービスにおいて、攻撃の最前線で得られた攻撃者の手法を製品の検知技術に還元し、応用するものです。

Web Shell 検知を含む上記の機能は全て、FireEye ネットワーク・セキュリティ 8.3.0 以降でご利用いただけます。これらの機能をすべて同時に利用することで、FireEye ネットワーク・セキュリティはエンドポイントからインターネット、エンドポイントからサーバー、そしてインターネットからサーバーに対する攻撃を可視化することができるようになります。TAP構成でファイルの解析のみを行うサンドボックスに比べて、FireEye ネットワーク・セキュリティは、そのアーキテクチャにより、トラフィックに対する包括的な可視化と、より深く幅広い解析を実現しています。

FireEyeソリューションは、組み合わせて利用することで、よりその効果を発揮しますが、FireEye ネットワーク・セキュリティと、FireEye エンドポイント・セキュリティを組み合わせて利用することで、相乗効果を得ることができます。FireEye ネットワーク・セキュリティが Web Shell攻撃を検出すると、IoC が FireEye エンドポイント・セキュリティに提供されます。FireEye エンドポイント・セキュリティによって Windowsや Linuxベースのサーバーに対する完全検証を行うことができるため、いかなるインシデントが発生したとしても、迅速な復旧を実現します。

FireEyeなら、攻撃開始から攻撃に気がつくまでの期間を数ヶ月から数分に、解決に要する時間を数日から数分に短縮することができるのです。

本ブログは、米FireEyeが公開した「FireEye Adds Web Shell Detection to Protect Servers」(英語)の日本語抄訳版です。

日本語版:Reviewed by Noriko Yokokawa