サイバーキルチェーンに関して
こちらの記事にも書いたが、ロッキード社が提唱したサーバー攻撃の段階を構造化した「サイバーキルチェーン」に関して詳しく見ていこうと思う。
サイバーキルチェーン
一般的なサーバー攻撃の段階を構造化したもの。攻撃者の目的から遂行までチェーンを切っていく。
https://gyazo.com/56220cdd55f411a3d6a5d397fba63281
◎偵察:reconnnaissance
攻撃対象組織の情報を集める。昨今だとネットで情報は集めやすい背景もある。
具体的には
• 従業員のEメールアドレス
• 従業員・企業のSNSアカウントと発信内容
• 組織のイベント情報(会議スケジュールなど)
• 組織が使用しているIT機材とそのセキュリティレベル
etc...
◎武器開発:weaponization
攻撃に使用するマルウェアの開発
• 組織の従業員のPCに感染するための仕掛け
• 組織のセキュリティ対策を回避するための工夫
− シグネチャマッチングの回避(既知の攻撃の特徴をもとにウイルスを検知するのがシグネチャマッチング。既知の攻撃を行わない
− サンドボックスの回避(一時的にプログラムを動かしてみて怪しいかを確認する
• 潜伏時の通信方法の確立のための仕掛け
開発方法
• マルウェア開発ツールキットが一般に流通している
◎配布:Delivery
開発したマルウェアを送り込む
• メール添付
− 偽装実行ファイル − マクロ付きファイル
• Webサイト
− 攻撃者のサイトへ誘導(フィッシング)
− 第三者のサイトを攻略(水飲み場攻撃)
ー普段訪れているサイトにアクセスした時にウイルスに感染してしまう
• メディア
− USB,DVDなど
ー道端にメディア機器を落として感染させるパターンも多い
◎脆弱性利用:Exploitation
マルウェアが実行権を得るには,何らかの「脆弱性の利用」が必要になる
• Webブラウザの脆弱性
• OSの脆弱性
• アプリケーションソフトの脆弱性
ーソフトよりもOSより種類が多いので、管理者権限を得やすい。
• 人間系(あるいはマネジメント系)の脆弱性 − セキュリティ警告の無視
− 誤認によるプログラムの実行
− 無配慮のメディア閲覧
→人がやらかす組織:頑張ります、反省しますではなく実施可能な対策を行う。
◎侵入:Installation
内部システムに常駐する
• 一般的には従業員のPCがターゲットになる。
− 感染するチャンスが多い
− 外部と通信しても怪しまれない。 管理レベルが低いことが多い・
• この段階では「怪しまれない」ことが第一。
− メッセージを出すなど感染に気付くような行動をしない PCのリソースを無駄に使わない(重くなるとユーザーに気づかれてしまう)
◎通信:Command & Control
攻撃者とマルウェアの通信の確立
• PCに感染したPCから発呼。
• 目立たないようにHTTPSなど通常よく使うプロトコルを使用。
• 通信先のサーバ(C&Cサーバ)は,万一ばれてもよいように,使い捨ての踏み台(第三者サーバ)を使う。
• しばらくの間通信を維持しながら潜伏して,組織内の情報調査、入手した情報を使っての感染の拡大などを行う。
※C&Cサーバーは善意の組織が多い
◎目的遂行:Actions on objective
任務の遂行
• 情報収集であれば,集めた情報を1か所に集めて,アーカイブ化・圧縮・暗号化。C&Cの通信経路で外部に送り出す。
• 任務が完遂したら証拠を消す。 (後から分からないように
− マルウェア本体
− ログ,データなど
• 情報の消去,サーバダウンなどの妨害行為を行うこともある。それまでの侵入がすべて露見するので,通常は行われない。理由としては正体がばれやすくなってしまうため。
サイバーテロとしては,膨大な情報に少しずつエラーを入れるの が効果的。長期的にできるとなおよい。