IOCセキュリティ:妥協の指標対攻撃の指標
妥協のインジケータ(IOC)は何ですか?
まず、妥協の指標(IOC)の定義を提供する必要があります。IOCは、多くの場合、ネットワークのセキュリティが破られたことを示しているコンピュータ上の証拠として、法医学の世界で記述されています。調べでは、通常、定期的に、またはネットワークからの異常なコールアウトの発見後、不審な事件を知らされた後、このデータを収集します。理想的には、この情報を検出し、将来的に疑わしいファイルを隔離することができ、「よりスマート」なツールを作成するために収集されます。
サイバーの世界では、IOCは、MD5ハッシュ、これらのIOCは常に作り変えているなどのC2ドメインまたはハードコードされたIPアドレス、レジストリキー、ファイル名、である 積極的なアプローチを 不可能に企業を確保するには。IOCが悪者を追跡する反応方法を提供するので、あなたがIOCを見つけたとき、あなたはすでに危険にさらされている可能性が高いです。
アタック(IOA)のインジケータとは何ですか?
妥協の指標とは違って(IOCは)従来の終点検出ソリューションによって使用される、関係なく、マルウェアの、攻撃者が達成しようとしているものの意図を検出するか、攻撃に使用するエクスプロイトの攻撃の指標(IOA)フォーカス。ただ、AV署名のように、IOCベースの検出方法は、増加したマルウェアのない侵入からの脅威と検出できない ゼロデイエクスプロイトを。結果として、次世代のセキュリティソリューションは、CrowdStrikeによって開拓IOAベースのアプローチに移動しています。
攻撃のインジケータ - 物理的な世界
アタック(IOAの)の指標を中心に議論を集中させる一つの方法は、犯罪者が物理的な世界の銀行を計画し、強盗に着手する方法の例を提供することです。
スマート泥棒は、銀行の「ケーシング」偵察を実施し、任意の守備の脆弱性を理解することから始めます。彼は最高の時間とストライキ戦術を決定すると、彼は銀行を入力するように進みます。強盗は、セキュリティシステムを無効にボールトに向かって移動、およびこれらの組み合わせを解読しようとします。彼が成功した場合、彼は、戦利品を挟み込む平穏な休暇を行い、ミッションを完了します。IOAのは、銀行強盗が彼の目的を達成することで成功するために示さなければならない行動のシリーズです。彼は金庫を入力することができます前に、銀行(ターゲットを識別)、公園の周りをドライブし、建物を入力する必要があります。彼は、セキュリティシステムを無効にしない場合、彼は金庫に入り、お金を取るとき、それは、アラームになります。
もちろん、銀行、駐車場の周りに駆動し、銀行に入るような活動は、自分自身で、ない攻撃が差し迫っていることを示します。また、銀行の金庫を開け、現金を引き出すことは、必ずしもIOAはない...個人が保管庫にアクセスすることを許可された場合。活動の具体的な組み合わせは、IOAのトリガ。
サイバー世界 - アタックのインジケータ
サイバー世界からの例を見てみましょう。IOAは、敵が成功するために行わなければならない一連のアクションを表します。槍フィッシング - - 私たちは、最も一般的な、まだ決定し敵の最も成功した戦術を打破した場合、我々はこの点を説明することができます。
成功したフィッシング詐欺メールは、リンクをクリックするか、マシンに感染する文書を開くために、ターゲットを説得しなければなりません。危険にさらされると、攻撃者が黙って、別のプロセスを実行するメモリまたはディスク上に隠すと、システムのリブート永続性を維持します。次のステップでは、彼はさらなる指示を待っていることを彼のハンドラを通知、コマンドおよびコントロール部位と接触するようにすることです。
IOAは、これらのステップを実行し、敵の意図と彼が達成しようとしている成果と懸念しています。IOAのは、彼が彼の目的を達成するために使用する特定のツールに焦点を当てていません。
指標を収集し、ステートフルインスペクションの実行エンジンを経由して、それらを消費し、これらの実行ポイントを監視することで、我々は、俳優が正常にネットワークへのアクセスを獲得する方法を決定することができますし、我々は意図を推測することができます。(別名:妥協の指標)ツールやマルウェアのいかなる事前の知識は必要ありません。
IOCにIOAの比較
In revisiting the bank robber analogy, imagine if we were only looking for IOC’s. In evidence from a previous robbery CCTV allowed us to identify that the bank robber drives a purple van, wears a Baltimore Ravens cap and uses a drill and liquid nitrogen to break into the vault. Though we try to track and observe these unique characteristics, his modus operandi (MO), what happens when the same individual instead drives a red car and wears a cowboy hat and uses a crowbar to access the vault? The result? The robber is successful again because we, the surveillance team, relied on indicators that reflected an outdated profile (IOCs).
Remember from above, an IOA reflects a series of actions an actor / robber must perform to be successful: enter the bank, disable the alarm systems, enter the vault, etc.
IOA’s are the Real-time Recorder
A by-product of the IOA approach is the ability to collect and analyze exactly what is happening on the network in real-time. The very nature of observing the behaviors as they execute is equivalent to observing a video camera and accessing a flight data recorder within your environment.
Returning to the physical world, when a detective arrives on a crime scene and has a gun, a body, and some blood they usually ask to see if anyone has any video of what transpired. The blood, body, and gun are IOCs that need to be manually reconstructed and are point-in-time artifacts. Very simply put, IOAs provide content for the video logs.
In the Cyber realm, showing you how an adversary slipped into your environment, accessed files, dumped passwords, moved laterally and eventually exfiltrated your data is the power of an IOA.
Real-world Adversary Activity – Chinese Actor
CrowdStrike’s Intelligence Team documented the following example activity attributed to a Chinese actor. The following example does highlight how one particular adversary’s activity eluded even endpoint protections.
This adversary uses the following tradecraft:
- In memory malware – never writes to disk
- A known and acceptable IT tool – Windows PowerShell with command line code
- Cleans up logs after themselves leaving no trace
Let’s explore the challenges that other endpoint solutions have with this tradecraft:
Anti-Virus – since the malware is never written to disk, most AV solutions set for an on-demand scan will not be alerted. On-demand scanning is only triggered on a file write or access. In addition, most proactive organizations perform a full scan only once a week because of the performance impact on the end user. If defenders were performing this full scan, and if the AV vendor was able to scan memory with an updated signature, they may provide an alert of this activity.
AV 2.0 Solutions – these are solutions that use machine learning and other techniques to determine if a file is good or bad. PowerShell is a legitimate windows system administration tool that isn’t (and shouldn’t be) identified as malicious. Thus, these solutions will not alert clients to this behavior.
Whitelisting – Powershell.exe is a known IT tool and would be allowed to execute in most environments, evading whitelisting solutions that may be in place.
IOC Scanning Solutions – since this adversary never writes to disk and cleans up after completing their work, what would we search for? IOC’s are known artifacts and in this case, there are no longer artifacts to discover. Moreover, most forensic-driven solutions require periodic “sweeps” of the targeted systems, and if an adversary can conduct his business between sweeps, he will remain undetected.
Final Words
In conclusion, at CrowdStrike, we know that our clients have adversary problems, not malware problems. By focusing on the tactics, techniques and procedures of targeted attackers, we can determine who the adversary is, what they are trying to access, and why. By the time you detect Indicators of Compromise, your organization has probably already been breached and may require an expensive incident response effort to remediate the damage.
記録と攻撃の指標を収集し、ステートフルインスペクションの実行エンジンを経由して、それらを消費することで、リアルタイムでのアクティビティを表示するためにあなたのチームを可能にし、現在に反応します。独自のネットワークフライトレコーダーにアクセスすることは事実の後に「一緒に作品を置く」に関連する時間のかかるタスクの多くを回避することができます。犯罪現場を再構築するために必要なツールを使って最初の応答を提供することは、高度な永続的な脅威に直面する費用対効果の高いと積極的なアプローチを提供します。
IOAのアプローチについての詳細を学ぶことに興味?上の私たちの記事読ん CrowdStrikeは悪質な動作を検出するには、イベントストリーム処理(ESP)を活用する方法を。