ブログ(製品・サービス関連)

MITRE ATT&CK Evaluation: 参加ベンダーは誰もが「トップ」

MITRE ATT&CK Evaluation

「今回のMITRE ATT&CK® Evaluationでトップを記録」という内容のベンダーのプレス・リリースやブログの記事をいくつも目にされていると思います。これらは、その製品が最も多くのアラートやデータ(テレメトリー)を収集することができた、ということを端的に表現しているに過ぎません。MITRE ATT&CK® Evaluationがセキュリティー・コミュニティ、顧客、参加ベンダーに大きな利益をもたらしていることは間違いないのですが、結果として得られる指標を、顧客が実用的なセキュリティ価値に変換するのは困難です(と、アナリスト会社のブログは指摘しています)。私たちFireEyeもマーケティング的な数値を持ち合わせてはいます(例えば、「Linuxアクティビティを100%可視化する」など。この点はどうかご容赦ください)。しかし、より価値あるアプローチとは、モジュラー・アーキテクチャーによって加速される各機能について説明することだと考えています。私たちは、過去3年間のMITRE ATT&CK® Evaluationからの学びを活かし、可視性を高め、カバレージ域を広げてきました。特に、1年弱で、FireEye Endpoint Securityの検知エンジンおよびモジュールの数は、4個から10個に増加しています。水平展開を試みる悪意あるPowerShellスクリプトのメモリ内検知から、クラウド上の動的マルウェア解析まで、MITRE ATT&CK® Evaluationからの学びを活かし、Endpoint Securityは急速に進化し続けています。

評価の概要

今回のMITRE ATT&CK evaluation では、攻撃グループであるFIN7とCARBANAKによって使用される技術に対する検知と対応能力に対する詳細なアセスメントを行いました。注意しておくべき点は、MITREアセスメントは、評価されたソリューションの定量的スコアリングを提供せず、ベンダーをランキングするものでもない、ということです。

今年のテストで、MITRE EngenuityはMITRE ATT&CK®ナレッジベースを使用してCARBANAKとFIN7の戦術と技術をエミュレートしました。これらはどちらも高度なマルウェアと技法を使用し、金融サービス業界およびホスピタリティ業界の組織を侵害して、過去5年間に何百もの企業から10億ドル以上の金銭窃取を行っている攻撃グループです。FireEyeは従来FIN7CARBANAKを幅広くカバーしてきましたが、FIN7に関して言えば、FireEyeが2015年に命名したのが始まりです。

今回の評価で使用されたFireEye製品

  • FireEyeエンドポイント・セキュリティ5.0.1、およびエージェント32.30.12
  • Helixセキュリティ・プラットフォーム
  • Detection On Demand

イノベーション・アーキテクチャ(IA)モジュール

FireEyeは、過去2回の評価(APT3およびAPT29)から学んだすべてを今回の評価テストに反映させることができました。FireEyeにとって同評価の真の価値は、学んだことを取り入れて、その知見をもとに、製品を強化することにあります。FireEyeがしてきたことは、次のようなことを考慮しています。2018年におけるAPT3のTTPを用いた評価では、分析検知の100%がFireEye Endpoint Security内のコア・エンジンから生じたものでした。今年の評価では、FireEye Endpoint Securityモジュールによる検知が分析検知全体の35%に達し、イノベーション・サイクルの実用化が強調されました。AMSIとEvent Steamerの2つの最新モジュールを含む、今回の評価に貢献したモジュール概要を表1に示します。

モジュール

バージョン

機能

評価への貢献

リソース

AMSI

1.0.0

Microsoft Antimalware Scanインターフェイス (AMSI)と統合され、悪意のあるPowerShellスクリプト(オンディスクおよびインメモリ) 、疑わしいWMIクエリ、さらにはメモリ内の.NETマルウェアの検知など、さまざまなシナリオに関する警告が生成されます。 Microsoft Antimalware Scanインターフェイス (AMSI)と統合され、悪意のあるPowerShellスクリプト(オンディスクおよびインメモリ) 、疑わしいWMIクエリ、さらにはメモリ内の.NETマルウェアの検知など、さまざまなシナリオに関する警告が生成されます。

ダウンロード

Logon Tracker

0.4.4

Windowsエンタープライズ環境内での水平展開の調査を可能にします。

ローカル・アカウントとドメイン・アカウント、RDPアクティビティ、そしてSMB共有のマッピングを検出しました。

ダウンロード

ブログ記事

Enricher

1.3.5

FireEyeのクラウド・サンドボックスである Detection On Demand にファイルを送信し、ファイルにMandiant Threat Intelligenceからの情報を追加することで、ファイルが悪意のあるものであるかどうかを判断し、インシデントレスポンス調査に役立てることができます。

MeterpreterやMimikatzなどのツールの検知に、FireEyeのインテリジェンス的なコンテキストでエンリッチメントを施し、さらにDetection On Demandに送ることで追加情報の提供を可能にします。

ダウンロード

UAC Protect

1.0.9

Windowsエンタープライズ環境でユーザー・アクセス制御バイパス攻撃のアラートとブロックを有効にします。

すべてのUACバイパス攻撃を検出しました。

ダウンロード

動画

Process Tracker

1.2.4

Windows、Mac、およびLinuxの各OSが動作するエンドポイントで見つかった新しいプロセスに関連付けられたメタデータを収集し、そのデータをエンドポイント・セキュリティのコンソールに渡します。

MeterpreterやMimikatzなどのツールの実行を特定し、Enricher経由でさらに分析するためにそれらを送信しました。

ダウンロード

Process Guard

1.4.1

Windows OS内に保存されている認証情報データまたは鍵の元情報へのアクセスを禁止することで、認証情報窃取を防ぎます。

LSASSプロセスメモリからOS認証情報をダンプするすべての試行を検出しました。

ダウンロード

動画

ブログ記事

Event Streamer

1.1.7

Syslogプロトコルを使用して、Windowsイベント・ログをFireEye Helixサーバーやサードパーティ・サーバーに転送します。

 

HelixにWindowsイベントログデータを転送することで、レジストリの変更、サービスの実行、APIの使用、データのアーカイブ、アプリケーション・シミングを可視化しました。

ダウンロード

表1:FireEye Endpoint Securityモジュール

検知ハイライト

本章では、最新のモジュールとその貢献、新たに追加されたLinux版の対象範囲、およびDetetion On DemandHelixなどのクラウドベースの検知ソリューションなど、今回の評価から重要な検知事項をいくつか共有していきます。

モジュールのハイライト

AMSIモジュール

FireEye Endpoint AMSIモジュールは、Microsoft Antimalware Scan Interface (AMSI)と統合され、幅広いシステム活動を可視化します。その後、カスタム検知ロジックを使用して、このモジュールを活用します。2019年にMITRE によるAPT29を用いた評価が行われた直後から、難読化スクリプト・ベースの攻撃(インメモリ攻撃とオンディスク攻撃の両方)をより強固に検知するために、同モジュールの開発を開始しました。表2から、同機能開発に関わる投資効果がわかります。特に、評価の間同モジュールが検知したATT&CK Techniquesの幅広さがそれをよく表現しています。

ATT&CK Tactic and Technique

分析検知(Analytic Detections)

テレメトリー検知(Telemetry Detections)

実行(Execution)

 

 

コマンドとスクリプト・インタプリタ(Command and Scripting Interpreter)

1

1

ネイティブAPI(Native API)

1

 

検知(Discovery)

 

 

検知(Discovery)

1

 

クエリ・レジストリ(Query Registry)

1

 

リモートシステム検出(Remote System Discovery)

2

 

システム情報の検出(System Information Discovery)

3

 

システムネットワーク設定の検出(System Network Configuration Discovery)

2

 

システム所有者/ユーザー検出(System Owner/User Discovery)

1

 

防御回避(Defense Evasion)

 

 

難読化/暗号化ファイルまたは情報(Deobfuscate/Decode Files or Information)

2

1

ホストでのインジケーターの取り外し(Indicator Removal on Host)

1

 

仮想環境/サンドボックス回避(Virtualization/Sandbox Evasion)

1

 

コレクション(Collection)

 

 

ローカル・システムからのデータ(Data from Local System)

1

 

画面キャプチャ(Screen Capture)

1

 

権限昇格(Privilege Escalation)

 

 

権限上昇制御メカニズムの悪用(Abuse Elevation Control Mechanism)

2

 

認証情報へのアクセス(Credential Access)

 

 

ブルート・フォース(Brute Force)

1

1

表2:AMSIモジュールの検知

評価中に発生したAMSIモジュールによる重要な検知には、以下が含まれます。

  • レジストリ値を復号化、解凍、base64で平文シェルコードにデコードするPowerShellスクリプト(ステップ3.B.5)
  • CreateThreadやVirtualAllocなどのプロセス・インジェクションに関連する関数を呼び出すPowerShellスクリプト(ステップ3.B.6)
  • システム調査に関連するメモリ内WMIクエリを実行した実行可能ファイル(ステップ12.A.5)
  • 既知のComputerDefaults UACバイパスを利用するPowerShellスクリプト(ステップ15.A.5)
Logon Tracker

2019年のMITRE ATT&CK evaluation の直前にリリースされたFireEye Endpoint SecurityのLogon Trackerモジュールの初期バージョンは、ほとんどのMandiantインシデント・レスポンス (IR)で使用されました。また、以前SolarWindsに関するブログでも触れた水平展開の調査における重要な要素にもなりました。しかしながら、当時は主にデータ収集と可視化機能であったため、テレメトリー・コレクターとしてMITRE evaluationに寄与していました。1年経過した今、モジュールはカスタム・ルール・ベースのアラート機能を備え、今年の評価結果に貢献しています。表3は、Logon Trackerが可視化したさまざまなATT&CK technique を示しています。

ATT&CK Tactic and Technique

分析検知(Analytic Detections)

テレメトリー検知(Telemetry Detections)

Command and Control

 

 

Proxy

 

1

防御回避/持続性(Defense Evasion / Persistence)

 

 

有効なアカウント:ドメイン・アカウント(Valid Accounts: Domain Accounts)

6

 

水平展開(Lateral Movement)

 

 

リモート・サービス:リモート・デスクトップ・プロトコル(Remote Services: Remote Desktop Protocol )

2

 

リモート・サービス:SMB/Windows管理共有(Remote Services: SMB/Windows Admin Shares)

2

 

リモート・サービス:SMB/Windows管理共有(Remote Services: SMB/Windows Admin Shares)

1

 

表3:Logon Trackerモジュールの検知

ここからわかるように、数多くのドメイン・アカウントの利用成功を検知しています。ドメイン・アカウントで認証が成功するたびにアラートを発するようにLogon Trackerを設定するだけでそれが実現できるのです。他の製品には過去、ドメイン・アカウントの認証成功をすべて知らせる仕組みがなかったということは驚きです。しかし、想定されるふるまいがわからないラボ環境において、悪意あるドメイン・アカウントへのログオンをどのように検出したらいいでしょう?実際には、不可能です。これは、実環境と製品評価構成の違いです。では、Logon Trackerのカスタマイズ可能なアラート機能を活用して、実環境で価値ある検知を実現するにはどうしたらいいのでしょう?以下、Mandiantの調査員やFireEyeのお客様が使用している実際のサンプルをいくつか引用します。

  • ドメイン管理者権限を持つドメイン・アカウントがユーザー・ワークステーションにログインしたときにアラートを発します(※もしあなたの組織のITサポートチームがドメイン管理者アカウントを使用してリモート・サポートを行っているならば、直ちにこの記事を離れて、根本問題解決を行ってください)。
  • 誰かがパブリックIPアドレスから組織にRDP接続するとアラートが表示されます(あなたの組織では、ネットワークにRDP接続する前にVPNに接続させていますか?)
  • 高セキュリティVLANではないシステム(ジャンプ・ボックスなど)から、誰かがドメイン・コントローラーにRDPを送信したときに警告します

最後に、ステップ19.A.3のProxy(T1090) techniqueの実行中に、より興味深い検知テレメトリーが発生しました。このステップでは、攻撃者はIT Adminを介して攻撃者インフラストラクチャ(attack-evals)からアカウンティング・システムにRDPトラフィックを中継しました。図1は、Logon Trackerにおける同アクティビティの表示の様子を示しています。さて、これを受けてFireEyeはどうすべきでしょうか。お察しのとおり、Logon Tracker への「RDPトンネリング」検知機能の実装を完了しており、まもなくリリース予定です。2021年の評価でお見せできるかもしれません。このイノベーション・サイクルは、MITRE ATT&CK evaluation 本来の、ベンダーやお客様に対する価値や目的をよく示していると、FireEyeは考えます。


図1:Logon Trackerの詳細ビュー

Linux対応

Windowsシステムを超え、ファイル、DNS、Webサーバとしてネットワーク上でよく使用されるLinuxデバイスを対象としたテクニックを対象とした、初のMITRE ATT&CK evaluation でした。この評価はCentOSファイル・サーバーのみに焦点を当てたものでしたが、FireEye Endpoint SecurityはCentOS、RedHat、Ubuntu、Suse、Open Suse、Oracle、Amazon Linuxなどの多くのLinuxディストリビューションで利用可能であり、エンタープライズ顧客にとって幅広い選択肢を提供しています。

評価に含まれる12のLinuxテストにわたる当社の検知を表4に示します。私たちのIOCとLogon Trackerモジュールは、製品のフォレンジック検知(Triage SummaryとAudit Viewerと名付けられた機能)を提供する分析検知を提供し、今年の評価におけるすべてのLinux上の活動を可視化しました。

ATT&CK Tactic and Technique

分析検知(Analytic Detections)

テレメトリー検知(Telemetry Detections)

Collection

 

 

ローカル・システムからのデータ(Data from Local System)

1

2

検知(Discovery)

 

 

ファイルとディレクトリの検出(File and Directory Discovery)

1

1

プロセス検出(Process Discovery)

1

2

リモートシステム検出(Remote System Discovery)

1

1

水平展開(Lateral Movement)

 

 

水平展開ツール移行(Lateral Tool Transfer)

3

3

リモート・サービス:SSH(Remote Services: SSH)

2

1

持続性(Persistence)

 

 

有効なアカウント:ドメイン・アカウント(Valid Accounts: Domain Accounts)

1

2

表4:Linux検知

設定不要で検知

Event StreamderとHelix

エンドポイント・エージェントで収集された豊富なテレメトリーを、Helixもしくは任意のSIEMにストリーミングする機能は、FireEyeのお客様から高いニーズのある機能です。当初、FireEyeエンドポイントの Event Streamerモジュールは、Windowsイベント・ログ・データのストリーミングにフォーカスし、2020年に開発されました。今回のMITRE ATT&CK® Evaluationでは、Windowsイベント・ログ・データをHelixにストリーミングするようにEvent Streamerを設定しました。ここでは、悪意のあるPowerShellスクリプトの実行、レジストリへのアクセスや改変、APIの使用、Windowsサービス状態の変化など、さまざまな評価ステップに関連するテレメトリーをキャプチャしました。表5は、Event Streamer 経由でHelixに送るために受け取ったテレメトリー検知クレジットと幅広いテクニックを示しています。

ATT&CK Tactic and Technique

テレメトリー検知(Telemetry Detections)

防御回避(Defense Evasion)

 

レジストリの変更(Modify Registry)

1

難読化されたファイルまたは情報(Obfuscated Files or Information)

1

検知(Discovery)

 

アカウント検出:ドメイン・アカウント(Account Discovery: Domain Account)

1

クエリ・レジストリ(Query Registry)

1

実行(Execution)

 

ネイティブAPI(Native API)

1

システムサービス:サービス実行(System Services: Service Execution)

1

抽出(Exfiltration)

 

収集データのアーカイブ(Archive Collected Data)

1

持続性(Persistence)

 

イベント・トリガー実行:アプリケーション・シミング(Event Triggered Execution: Application Shimming)

1

表5:Event Streamer モジュールとHelix検知

Detection On Demand

FireEye EndpointのProcess TrackerモジュールとEnricher モジュールは、2020年当時新しいものではありませんでしたが、クラウド・ホスト型脅威検知サービスにファイルを自動的に送信する機能は新しく追加されたものでした。Endpoint Securityのワークフローは次のようになります。

  • Process Trackerは、Endpoint上で実行されていないファイルを検出します。
  • Enricherはファイルを取得し、包括的な脅威分析のためにFireEye Detection On Demand (DOD)に送信します。
  • FireEyeのMulti-Vector Virtual Execution™(MVX)検知エンジンを使用して、スタティック、ダイナミック、マシン・ラーニング (ML)解析を適用します。
  • Mandiant Threat Intelligenceを動的に活用して、ファイルにコンテキストを追加します。
  • Mandiant Threat IntelligenceまたはDODのいずれかによって悪意があると判断された場合は、Endpoint Security本体で警告が生成されます。

これらの機能が評価中、どう作用したか、興味がありますよね?確かにMimikazなしにエンドポイント製品の評価は追えません。Mimikatzは、攻撃グループやRed Teamによって管理認証情報を取得するために広く使用されているツールです。ステップ15.A.6では、「samcat.exe」という名前に変えられたMimikatzを実行して、OS Credential Dumping (T1003)をテストしました。Process Trackerが実行を検出し、Enricherがファイルを獲得し、DODはスタティック、ダイナミック、機械学習ベースの検知を提供しました。さらに、Process Guardは「samcat.exe」も検出しています。図2はDODで表示される検知とプロセスグラフを示しています。これはEndpoint Securityからアクセスできます。


図2:Detection On Demand詳細結果ビュー

まとめ

FIN7とCARBANAKを用いた今年の評価は、FireEyeのモジュラー方式の有効性、Linuxのカバー範囲の広さ、およびFireEye Endpoint Security、Helix、Detection On Demand を含むFireEyeプラットホームの能力を検証するよい機会となりました。本評価は、以前の2回の評価と同様に、先行投資の有効性と、継続的なイノベーションを示しました。

FireEyeは、MITREの協調的でオープンな製品評価プロセスや、組織の攻撃者の活動理解への補助、そして何より、MITREの活動のセキュリティの有効性について、全面的に支援します。FireEyeのMITRE evaluationにおける良い結果は、FireEyeがお客様を守るために何が必要かを深く理解していること、侵害対応の専門家を世界規模で擁してきた歴史、最強の脅威インテリジェンス、そしてクラス最高の製品機能を示しています。

評価結果詳細に関心をお持ちの場合は、MITRE webサイトのFireEyeの結果をご参照ください。APT3に関して実施されたラウンド1の結果詳細、APT29に関して実施されたラウンド2の結果もご参照いただけます。

 

本ブログは、米FireEyeが公開した April 26, 2021 「Everybody Wins in MITRE ATT&CK Evaluations」(英語)の日本語抄訳版です。

日本語版:Reviewed by Noriko Yokokawa