従来のセキュリティ管理や検出方法を覆すよう設計された巧妙な攻撃パターンが明らかに
クラウドネイティブのネットワーク脅威検知とレスポンス(NDR)を提供する米企業、ExtraHop Networks( https://www.extrahop.com/ja/ 、本社:米ワシントン州、読み方:エクストラホップ・ネットワークス、以下ExtraHop)は本日、SolarWindsのSUNBURSTエクスプロイトが発見される前の数ヵ月間に、サイバー犯罪者が検知を回避していた方法について、詳細に調査したセキュリティレポートを発表しました。本レポートは、SoloarWindsが得ていた企業としての信頼感のために、不審なネットワーク活動の大幅な増加が放置されていたことも明らかにしています。またレポートの一部として、ExtraHopのプラットフォーム「Reveal(x)」の監視下で見られた1,700件以上のSUNBURSTの侵害指標(IOC)リストも公開しました。これは侵害の有無や程度の判断に役立つ重要な情報になります。
ExtraHopの脅威研究者によると、独自の調査と顧客に対するSUNBURSTエクスプロイトの検知と修正の支援活動を通じて、2020年3月下旬から2020年10月上旬の期間に悪意ある活動の可能性があると思われる検知が約150%増加したことが分かりました。ラテラル・ムーブメント、特権エスカレーション、コマンド&コントロールビーコニングなど検知された活動は、EDRなどエンドポイントセキュリティやアンチウイルスといった従来の検出方法を回避していました。レポートに記載された活動パターンを見ると、SUNBURSTの攻撃者は、これらの検知方法を無効にするか、検知される前にアプローチの方向を変えることでこれらの検知方法のレーダーをかいくぐることに成功していることが分かります。
ExtraHopの副CISOであるジェフ・コストロー(Jeff Costlow)は次のように述べています。「SUNBURSTの調査で分かったのは、このような活動が実際にネットワーク上で検知されたということです。しかし、他の検知方法がこれらの活動に対して警告を発していなかったため、ほとんど見逃されていました。今回の場合、攻撃は検知を回避するために戦略的に設計されており、今後も同様の攻撃が繰り返されると思われます。ネットワークは嘘をつかないということです。」
このレポートでは、SUNBURSTの攻撃者がどのようにこれほど長い間ネットワーク内に潜伏していたか明らかにしています。またそれに加え、ExtraHopの顧客が自社の環境内で実施したエクスプロイト調査や修正等、ケーススタディを詳しく調査しています。ケーススタディでは、影響を受けたシステムやデータだけではなく、顧客が過去のメトリクスを使用して侵害の期間を判断した方法について詳細を記載しています。
本レポートの全文(英語)はこちら https://www.extrahop.com/resources/whitepapers/sunburst-attack-lessons-learned/ からダウンロードできます。
SUNBURSTに関する情報は、ExtraHopのブログ(英語) https://www.extrahop.com/company/blog/2020/detect-and-respond-to-sunburst/ からトピックを深堀りすることが可能です。また、1700+ IOCリストに関するブログ(英語)は、こちら https://www.extrahop.com/company/blog/2020/analyzing-sunburst/ から確認できます。
ExtraHopについて
ExtraHopは、日々高度化するサイバー脅威に対抗するため、企業のセキュリティチームが侵害を阻止する対応能力の強化をミッションとして設立されました。クラウドスケールの機械学習を利用したプラットフォーム「ExtraHop Reveal(x)」は、リアルタイムでクラウドやネットワークトラフィックを解析し、他のツールが見逃す脅威を余すところなく検知します。絶えず収集されるペタバイト規模のテレメトリに高度な機械学習モデルを適用することで、ExtraHopの顧客は不審な振る舞いを検知することが可能になります。1,500万以上のITアセット、200万台以上のPOSシステム、また5,000万件以上の患者記録の保護をサポートしています。Forbes AI50、Cybercrime Ransomware 25およびSC Media Security Innovatorなど、30以上の業界アワードを受賞し、ネットワークの脅威検知・レスポンス分野で市場をリードしています。
セキュリティ侵害を84%迅速に阻止するExtraHopの無料デモは https://www.extrahop.com/ja/demo/ から今すぐ体験頂くことが可能です。
公式フェイスブックページ