Websense のセキュリティ研究責任者である Alex Watson 氏は、Windows Error Report の 1600 万件のクラッシュレポートを調査した結果、ゼロデイ脆弱性を利用した高度な持続的脅威を昨年発見しました。
最近、モバイルネットワーク事業者や政府機関に対する標的型攻撃が発見されましたね。
企業ネットワークに侵入する標的型攻撃などの脅威を検知する方法を検討する試みが行われていました。現在導入されているサイバー・セキュリティ・システムは、ベンダーからの追加情報とシグネチャ・ベースの防御策に基づいています。つまり、セキュリティ・システムは既知の脅威を検知することに非常に長けているのですが、過去1年間に見られた例では、サイバー犯罪組織は、PFやファイアウォール、アンチウイルス・システムによる検知を回避するために、必要なリソースやイベントを費やすことを厭いません。
未知の脅威を発見するためのWindowsエラーレポートとは?
どのような脆弱性の悪用をテストしたのですか?
多くのケーススタディが実施され、既知の攻撃を発見するために異常な活動をどのように利用できるかが調査されました。過去1年間で最も人気のあった攻撃の1つであるCVE-2013-3893(台湾と日本の標的型攻撃で使用された、非常に強力なIE脆弱性のエクスプロイト)を見てみると、この脆弱性は価値の高い組織を標的に使用されていましたが、使用していたインフラ、シェルコード、ファジング技術は、実際に悪用されている脆弱性のレベルに達していなかったため、このエクスプロイトだけがグループによって使用されているのではないかと疑われました。グループの
この攻撃をどう表現しますか?
これは標的型攻撃で、攻撃者はまず組織内の選ばれたグループに電子メールを送信します。15 人と仮定すると、これらのアプリケーションのうち少なくとも 1 つは失敗し、検出可能なプログラムクラッシュを引き起こしますが、他は成功する可能性があります。これらの脆弱性の悪用を逆手に取り、クラッシュポイントを発見し、クラッシュレポートのフィンガープリントを作成しました。
しかし、4カ月間にわたる1,600万件の報告を検索した結果、4つの異なる企業からの5件の報告が指紋と一致しました。これらの企業は閲覧され、特にそのうちの2社は価値の高い標的でした。それらはすべてHoudini H-Worm(リモートアクセストロイの木馬)を持っていました。
他に攻撃はありましたか?
このような攻撃に対して、セキュリティ企業はどのように対応すべきでしょうか?
攻撃者が侵入テクニックを向上させるにつれ、セキュリティ業界はシグネチャ・ベースの防御から脱却し、異常なアクティビティやネットワークの挙動に関するインテリジェンス・モニタリング・システムを追加する必要があります。
