この記事では、APT攻撃の特徴、「敵」の偵察、武器と攻撃手段、APT攻撃で悪用される脆弱性についてすでに理解しています。この記事では、攻撃者がネットワークに侵入し、最終的な攻撃活動を開始するAPT攻撃の指揮統制フェーズについて見ていきます。
攻撃者は、偵察、兵器化、配備、エクスプロイト、インストールの各フェーズを完了しています。この質問に対する答えによって、C2フェーズへの対応が決まります。
前述のとおり、パッシブ攻撃は非常に受動的です。そのため、パスバイダウンロード攻撃や悪意のある電子メールの添付ファイルによってエンドポイントが感染した場合、そのインストールプロセスを検出するのは非常に簡単です。ただし、パスバイ攻撃が脆弱性攻撃キットを利用することもあり、この場合、ユーザーによる配信はほとんど必要ないため、検出されない可能性があります。
前回の記事で述べたように、受動的な攻撃活動は主に攻撃量に依存します。攻撃者が認証情報と財務情報を収集したら、攻撃者は感染したホストごとにC2チャネルを確立する必要があります。この場合、バリアントやトラフィックの制限はなく、何千もの感染ホストに対する単一の接点があるだけです。
フェーズ C2 は主に通信に関するものですが、フェーズ C2 にはデータ送信は含まれないことに留意してください。フェーズ C2 は、攻撃者が外部と通信するための通信チャネルを確立することです。
パッシブ攻撃は自動化されています。自動化により、攻撃者はほとんど操作する必要がなくなるため、攻撃の量を増やすことができます。しかし、自動化されているということは、検知される可能性があるということです。組織内の50のシステムが同じ未知のホストと通信している場合、それは気づかれる可能性があります。
標的型攻撃はより具体的で、自動化はほとんど行われません。攻撃者はコマンドを発行し、特定のツールを使用します。標的型攻撃におけるすべての活動は意図的であり、偵察を避け、できるだけ目立たないように努めます。
組織が受動的な攻撃の犠牲になる場合、攻撃者が使用する自動化されたツールは、あまりにも多くの動きを引き起こすため、既存のセキュリティ制御や緩和策による検出を免れることはできません。したがって、組織はこのような攻撃をできるだけ早く阻止する必要があります。
パッシブ攻撃は自動化されたアプローチを取るため、これらの攻撃キャンペーンの背後にいるオペレータは、制御よりも量に重点を置いていることに注意することが重要です。マルウェアやその他のペイロードが検出され、ブロックされたとしても、大した問題ではなく、すぐに他の被害者に移ることができます。
しかし、組織が標的型攻撃の被害を受けた場合、攻撃者は組織内に足がかりを見つけ、検知を避けるためにセキュリティ制御を迂回したり、無効化したりすることになります。さらに、攻撃者は他のシステムにバックドアを構築し、そのうちの1つが発見された場合に備えて、さらに多くの侵入口を作ろうとします。したがって、組織のインシデント対応計画における経験則としては、バックドア・プログラムを1つ見つけたら、他にも潜んでいるということです。
「強固な」C2とは、攻撃者がプログラムを動的に適応させることができるため、インシデント対応者による手作業での検知が不可能ではないにせよ、より困難になるという事実を指します。これが、データ侵害の検出に時間がかかる理由です。
第3回の記事で説明したように、攻撃者はコールバックして追加ツールにアクセスしたり、ペイロードを使用して外部リクエストを送信したりする傾向があります。これらの感染インジケータは、通常のネットワーク・トラフィックと比較してやや異常であるため、C2活動を明らかに明らかにすることができます。
したがって、組織はDNSリクエストと既知の悪意のあるサーバーのリストを比較したり、悪評のあるIPアドレスをフィルタリングしたりして、この種のトラフィックに対抗する必要があります。エクスプロイト段階とインストール段階の後、C2段階は、攻撃者が動きを作り出すのに数少ない期間です。しかし、このトラフィックが自動検出によってフラグを立てられた場合、それは受動的な攻撃であることを示しています。
攻撃キャンペーンの背後にいるオペレーターがC2チャネルを使用していたり、既知の悪意のあるソースからペイロードをダウンロードしている場合、企業は攻撃者のターゲットの1つになり得ます。一方、標的型攻撃キャンペーンの背後にいるオペレーターは、検知されないように注意します。C2トラフィックを通常の通信チャネルの中に隠すのです。
C2が確立された後、攻撃者はそこに到達するまでの道のりの半分を歩むことになります。通常、パッシブ攻撃は自動化され、移動が多く、すぐに開始されますが、標的型攻撃は数日、数週間、あるいは数カ月にわたって潜伏します。したがって、トラフィックの監視はC2フェーズにおける重要な防御手段です。先に述べた防御策を組み合わせることができれば、強固なレイヤード・プロテクションを構築することができます。
IPSおよびIDSシステムは、それらが適切に設定され、維持されている限り、防御の第一層として使用することができます。次に、ファイアウォールを介したインバウンドおよびアウトバウンドの接続を制限するための ACL ルールが必要になります。しかし、ファイアウォールルールに対する例外の数を制限する必要もあり、これらのルールは注意深く監視するか、不要な場合は取り消す必要があります。セキュリティ・ルールやポリシーは、特にそれが古かったり規制されていなかったりすると、標的型攻撃の際に不利に利用される可能性があります。
