「暗号化されたコマンド&コントロール」を悪用する攻撃を防御できる、Vectra AIフローエンジンの提供を開始

SHARE:

時間領域データと機械学習を駆使し、攻撃者の振る舞いをキャッチすることで迅速な防御を可能に

ハイブリッドおよびマルチクラウド企業向けのAI主導型サイバー脅威検知・対応のパイオニアであるVectra AI(本社:カリフォルニア州サンノゼ、CEO:ヒテッシュ・セス)は、暗号化されたコマンド&コントロールを使ったサイバー攻撃に対して攻撃されたC&C通信を特定し、サイバー脅威を軽減し、組織の資産を保護できる、AI主導のフローエンジンを提供します。

2023年に暗号化されたwebトラフィックの量<https://www.darkreading.com/application-security/encrypted-traffic-once-thought-safe-now-responsible-for-most-cyberthreats>は、Google Transparency Reportが2013年に発表した情報と比較して95%増加しています。その多くは、安全なクライアントサーバ間通信のためのTLSに依存しています。TLS プロトコルは既存のプロトコルと直接連動してトラフィックを暗号化します。既存のプロトコルの代表格が HTTPS (Hypertext Transfer Protocol)です。HTTPS は、TLS によって保護される最も一般的なプロトコルです。SSL/TLSによって通信経路での第三者による情報の盗聴や改ざんのリスクを防止できるため、これらの実装がより身近でコスト効率の良いものとなり、オンライン上のプライバシーが確保されるようになりました。

これらの暗号化プロトコルは安全な通信のために開発された技術ですが、一方でセキュリティ専門家にとってはサイバー攻撃者が使用する暗号化されたコマンド&コントロール (C&C)< https://ja.vectra.ai/topics/command-and-control> チャネルの検知を困難にさせています。TLS により、暗号化されたトラフィックに脅威が潜むようになったのです。攻撃者が侵害したシステムの制御状態を維持し、悪意のある活動の実行やデータの流出をするためにC&C通信は、重要な役割を果たします。攻撃者はC&C通信は攻撃の過程において被害者の通信環境への持続的かつステルス的なアクセスが可能になるからです。

暗号化を悪用する攻撃者のアプローチ
攻撃者の目的は現在のハイブリッドクラウド環境に隠れ続けることです。攻撃者がどこに到達しても、その中に溶け込み、通信を隠すために、C&C チャネルを確立しなければなりません。 MITRE ATT&CK<https://attack.mitre.org/>フレームワークによるとマルチステージチャネル、マルチホッププロキシ、HTTPSトンネリングなど、一般的なタイプのC&Cチャネルが多数存在します。 これらのチャネルは、多くの場合、TLSを使用して暗号化されるか、Web トラフィック (ほとんどが HTTPS) になりすまします。HTTPS トラフィックを装って暗号化したり通信を暗号化するため、被害者による攻撃の検出を困難します。

攻撃者は、C&Cチャネルの検知をさらに困難にする、さらなる難読化技術も利用します。 分析を阻止するために通信チャネル内の暗号化が使用されるだけでなく、ジッター (通常のビーコンの検索を無効にするためにビーコンのよりランダムなタイミングを作成する) やパディング(表示要素の内側に設けられた余白や、文章を一定の長さに整形するため前後に挿入される無意味なデータ)などの技術も使用されます。
通信チャネル内には、送信されているデータを防御者が読み取れないようにするためのさらなる暗号化層や、時間の経過とともに定期的なビーコン動作をマスクするセッションジッターなどの時間ベースの変数が存在することもあります。

セキュリティチームがすべき対応策
最新のインターネットトラフィックでC&Cチャネルを見つけることは、セキュリティアナリストにとって最も重要です。攻撃者のトラフィックの暗号化だけでなく、現在インターネットの多くが暗号化されたトラフィックで機能し、WebSocket や C&C動作のように見える長時間開いたセッションを使用しているため、セキュリティアナリストがその攻撃を検知することが困難です。アナリストは直近のトラフィックだけでなく、そのトラフィックのメタデータも調べる必要があります。 トラフィックのフローを調査することは有用です。送信の時間間隔など、これらのフローに関する詳細なメトリクスを調べると、暗号化されたセッション内の悪意のあるトラフィックが明らかになる可能性があります。

Vectra AI のフローエンジンは、追跡されたデータフローごとにこのような詳細な分析を提供し、サンプリングは 0.5 秒間隔の粒度で行われます。 これには、時間の経過とともに送受信されるバイト数などのメトリクスが含まれており、各インタラクションのダイナミクスについての洞察が得られます。
Vectra AIフローエンジン概念図

PR TIMESで本文を見る