あゝ素晴らしきHunting Life

Threat Hunting・マルウェア解析・フォレンジック・CTFなどを発信予定

ひと狩り行こうぜ!Threat Hunting

アジェンダ

・What is Threat Hunting?

・How to do?

    ・基礎編

    ・実施編

 

What is Threat Hunting?

・Threat Huntingとは

    すでに企業の内で攻撃活動が行われているという仮定の下、企業のIT環境にある脅威を探し対処するというもの。個人的にThreat Huntingは能動的なSOCとCSIRTを足した様なイメージ。

 

How to do?

基礎編

- 必要な知識はざっと7つあります。

  1. 己を知る
  2. 相手を知る
  3. マルウェア解析
  4. フォレンジック
  5. ログ解析
  6. パケット解析
  7. ペネトレーションテスト
1. 己を知る

兵法を書いた孫武の有名な言葉の「彼を知り己を知れば百戦殆からず」がありますね。これはセキュリティにも当てはまります。Threat Huntingではまず自分の環境を知ることから始めます。

例:下記のような情報を収集します

    ・自社のネットワーク構成はどうなっているのか?

    ・サーバやエンドポイントはどういったOSで、どのバージョンなのか?

 ・どんなソフトウェアがあり、それはどのバージョンなのか?

    ・どういった資産があるのか?

 

2. 相手を知る

 例えば野球ではピッチャーの配球だったり、ゲームのFPSだったら相手の立ち回りなどを知ることは勝利を左右する重要なポイントです。このことはセキュリティにも当てはめることができます。

セキュリティ場合相手を知るのに必要な情報は下記のようなものがあります。

 

1.ATT&CK

https://attack.mitre.org/wiki/Main_Page

敵対者のライフサイクルの様々なフェーズや目標とするプラットフォームを反映した、サイバー敵対行動のための知識ベースとモデル化したものです。 具体例にはネットワーク内で操作しながらアクセスし、目標を実行するために使用する戦術、技術、手順(TTP)を詳述したもので、各OSごとにまとめられています。

 

2.セキュリティベンダーのホワイトペーパーなど

各ベンダーが出しているホワイトペーパーやブログなどで、紹介している最新動向を知ることを重要!

 3.マルウェア解析

マルウェア解析は追々解説しますがオススメサイトは下記のサイトです。

malwareunicorn.org - Reverse Engineering

4.フォレンジック

フォレンジックも追々解説しますが、オススメは下記動画です。

www.youtube.com

5.ログ解析

オススメ記事

Web攻撃のログ解析

https://resources.infosecinstitute.com/log-analysis-web-attacks-beginners-guide/

Snortログ分析

https://resources.infosecinstitute.com/snort-logs/

Modセキュリティログ

https://resources.infosecinstitute.com/analyzing-mod-security-logs/

 

6.パケット解析

オススメ記事

大きなキャプチャファイルの分析第1回 - Wiresharkでの会話の色付け

https://chrissanders.org/2018/05/large-captures1-colorizing-wireshark/

 

7.ペネトレーションテスト

ペネトレーションテストは実践あるのみ。下記サイトはロシアのペネトレーションラボサイトです。各自の責任でやってみてください。

https://lab.pentestit.ru/

 

実践編
Threat Huntingは下記のステップで実施するのが一般的です。

  1. 仮説を立てる
  2. 情報を収集する
  3. 情報を整理・分析する

・参考になる記事
- Foundstoneがまとめガイド(https://github.com/Foundstone/ExpertInvestigationGuides/tree/master/ThreatHunting)
- ThreatHuntingProjectがまとめたコレクション集[(https://github.com/ThreatHuntingProject/ThreatHunting)


例:ファイルレスマルウェア
1.仮説を立てる

・ファイルレスマルウェアに感染しているのではないか?

2.情報を収集する

・ファイルレスマルウェアを探すにはPowerShellのパワーシェルのプロセス
ネットワークログと、データベースログ、サーバーログまたはWindowsイベントログにあるエンドポイントデータを確認することで得られるネットワーク情報が必要になります。また、特定の環境でPowerShellの使用状況を把握するために、プロセス名、コマンドラインファイル、DNSクエリ、宛先IPアドレス、デジタル署名などのデータを収集します。

3.情報を整理・分析する

・各ログはSEIMなどで分析したり、エンドポイントはEDRなどを使用して分析します。

 

次回

ツール。環境構築、フレームワークの3つをご紹介予定