φ(..)メモメモ

ここでの問題は、攻撃ツールが、セキュリティソフトによって常に検出されるわけではないこと、また少なくとも論理的な問題や法的な問題により、検出されないグレイウェアとして存在する場合があることです。残念ながらこのことは、持続的標的型攻撃のフォレンジック調査における検知の可能性が低くなることを意味します。さらに攻撃者が、独自のツールを作成する手間を省くこともできます。

持続的標的型攻撃で利用される攻撃ツールに注目 | トレンドマイクロ セキュリティブログ

■どうすれば持続的標的型攻撃でこれらのツールが使われていることを識別できるのでしょうか？
「TrendLabs（トレンドラボ）」では、管理者権限の取得や重要文書の収集のために、これらのツールが持続的標的型攻撃において利用されるのを確認しています。では、IT管理者や権限を持ったユーザは、これらのツールを利用する持続的標的型攻撃を識別するために、この情報をどう活用することができるでしょうか。

• 不審なコマンドシェルプロセスのインスタンスから、攻撃の可能性を知り得るかもしれません。上述したツールは、コマンドラインツールであるか、またはコマンドラインと「Graphical User Interface（GUI）」の両方で実行されるかのいずれかです。攻撃者は、隠ぺいされたコマンドプロンプトのインスタンスを介してこれらのツールを利用します。そのため、定期的に不明なコマンドシェルのプロセスがコンピュータに存在するかを確認することが、感染の可能性を見極めるのに役立ちます。さらに、”Process Explorer” のようなプロセスチェックツールを使用することでコマンドプロセス上でパラメータが確認できるようになります。これらのツールは、持続的標的型攻撃のコンポーネントかどうかを証明する際に役立ちます。
• ツールの存在は、正規のものかどうかにかかわらず、攻撃の証である可能性があります。攻撃者は、正規のソフトウェアを長期にわたって悪用しています。このため、ユーザは、コンピュータ内に存在するソフトウェアに注意し、何がインストールされているかを把握しておく必要があります。面倒に感じることもあるかもしれませんが、コンピュータに存在するファイルに注意しておくことは、自組織における大規模な機密文書の漏えい被害や持続的標的型攻撃の被害の緩和につながります。
• また、トレンドラボは、攻撃者が不自然なファイル名や偽の拡張子を用いてこれらのツールを保存しているのを確認しています。コンピュータに追加されたファイルを特定することができれば、攻撃の可能性を確認する際の重要な手がかりとなります。
• FTP接続におけるネットワークログに注意を払うことをお勧めします。不正な C&Cサーバへの接続を確認することは一般的ですが、FTP接続を確認することも、ネットワーク内の不正を発見するためのもう一つの手法となります。一般的な企業設定では、通常 FTPサイトは、イントラ上のサイトであるため、不正なものから正規FTPサイトを区別しやすくなります。FTPの通信は、ネットワーク内の他の通信よりも非常に小さいため、ユーザはより早く不正を発見することが可能です。また、リモートサイトにアップロードされた不自然な名前のアーカイブファイルまたはファイルを確認することも、攻撃を知る方法です。
• スケジュールされたジョブを確認しましょう。スケジュールされたジョブは、持続的標的型攻撃だけでなく、通常の不正プログラムにおいてもよく利用される自動実行方法です。スケジュールされたジョブのプロパティを調べると、感染が確認できるだけでなく、スケジュールされたジョブが実行するファイルから、攻撃のコンポーネントを明らかにするのにも役立ちます。持続的標的型攻撃のキャンペーン（繰り返される作戦活動）数が増加している現状を踏まえると、組織内のネットワークが、過去に持続的標的型攻撃のを受けていることに気づくのは、持続的標的型攻撃の最初の感染を防ぐことと同じくらい重要です。

持続的標的型攻撃で利用される攻撃ツールに注目 | トレンドマイクロ セキュリティブログ