痛みのピラミッド(ピラミッドオブペイン)

https://scrapbox.io/files/6756fe91b2d88d1bda1b8313.png

この概念は、Cisco Security、SentinelOne、SOCRadarなどのサイバーセキュリティ ソリューションに適用され、 CTI (サイバー脅威インテリジェンス)、脅威ハンティング、インシデント対応演習の有効性を向上させている

脅威ハンター、インシデント対応者、またはSOCアナリストとして、痛みのピラミッドの概念を理解することが重要

敵対者が「Fast Flux」を使うと、IPアドレスを頻繁に変えることで、特定のIPアドレスをブロックしてもすぐに新しいIPアドレスに切り替わって、IPアドレスをブロックしても攻撃を止めるのが難しくなる

Fast Flux はボットネットがフィッシング、Web プロキシ、マルウェア配信、マルウェア通信アクティビティをプロキシとして機能する侵害されたホストの背後に隠すために使用するDNS技術

Fast Flux ネットワークを使用する目的は、マルウェアとそのコマンド アンド コントロール サーバー (C&C) 間の通信をセキュリティ専門家が発見しにくくすること

Fast Flux ネットワークの基本概念は、常に変化するドメイン名に複数の IP アドレスを関連付けること

Palo Alto は、Fast Flux を説明するために素晴らしい架空のシナリオを作成した

ドメイン名

ドメイン名を変更するには、攻撃者がドメインを購入して登録し、DNSレコードを変更する必要がある可能性が高いため、少し面倒

防御側にとって残念なことに、多くのDNSプロバイダーは標準が緩く、攻撃者がドメインを変更するのをさらに容易にする API を提供しています。

悪意のある Sodinokibi C2ドメインなどもある

Punycode攻撃

一見正当に見える悪意のあるドメインにユーザーをリダイレクトするために攻撃者が使用するドメインにアクセスさせる攻撃

Punycode : ASCII で記述できない単語を Unicode ASCII エンコードに変換する方法

悪意のあるドメインを検出するには、プロキシ ログまたは Web サーバー ログを使用できる

URL短縮サービス

悪意のあるドメインは、URL短縮サービスを使用していることが多い

Confenseによると、以下のドメインが多いらしい

bit.ly

goo.gl

ow.ly

s.id

smarturl.it

tiny.pl

tinyurl.com

x.co

短縮リンクに「+」を追加すると、その短縮リンクがリダイレクトする実際の Web サイトを確認できます (以下の例を参照)。短縮 URL を Web ブラウザーのアドレス バーに入力し、上記の文字を追加すると、リダイレクト URL が表示されます。