• April 25, 2024
• Written by: 管理者
• No Comments

この実際のネットワーク攻撃シミュレーションでは、初期アクセスからデータ抽出までの6ステップをカバーしています。攻撃者が最もシンプルなツールでどのように検出されずに残るか、そしてなぜ防御戦略に複数のチョークポイントが必要なのかを見てみましょう。

驚くべきことに、ほとんどのネットワーク攻撃は特に洗練されているわけではなく、技術的に進んでいるわけでもなく、エッジケースの脆弱性を利用するゼロデイツールに依存しているわけではありません。代わりに、よくあるツールを使用し、複数の脆弱性ポイントを悪用します。実際のネットワーク攻撃をシミュレートすることで、セキュリティチームは検出システムをテストし、複数のチョークポイントを配置し、リーダーシップにネットワークセキュリティの価値を示すことができます。

この記事では、多くのシステムで容易に発生可能な実際の攻撃をデモンストレーションします。攻撃シミュレーションは、MITRE ATT&CK フレームワーク、Atomic Red Team、Cato Networksの現場経験、および公開された脅威インテリジェンスに基づいて開発されました。最後に、ネットワークセキュリティのために包括的なセキュリティアプローチが重要である理由を説明します。

実際のネットワーク攻撃をシミュレートする重要性
ネットワークに対する実際の攻撃をシミュレートすることには3つの利点があります:

1. 検出が攻撃を特定し、阻止できることを確認するためにテストできます。これは、最も一般的なタイプの攻撃である日常的な攻撃を扱う上で重要です。
2. 実際の攻撃は、防御が複数のチョークポイントに依存していることを示すのに役立ちます。攻撃はほとんどの場合、単一の故障点の結果ではありません。したがって、単一の検出メカニズムだけでは不十分です。
3. 実際の攻撃は、リーダーシップにネットワークモニタリングの重要性を示すのに役立ちます。それらはネットワークへの実際の可視性がどのように侵害の洞察を提供し、効果的な軽減、修復、およびインシデント対応を可能にするかを示します。

攻撃フロー
以下に示す攻撃フローは6つのステップに基づいています:

• 初期アクセス
• イングレスツール転送
• 発見
• 資格情報ダンピング
• 横断移動と持続性
• データ抽出

これらのステップは、攻撃で一般的な技術を例示しているため選ばれました。

さあ、各ステップについて詳しく見ていきましょう。

1. 攻撃はスピアフィッシングから始まり、これがネットワークへの初期アクセスを確立します。たとえば、魅力的な求人のメールが従業員に送信されます。そのメールには添付ファイルがあります。バックエンドでは、メールの悪意のある添付ファイルがマクロを実行し、Microsoft Officeのリモートコード実行の脆弱性を利用するHoaxshell（オープンソースのリバースシェル）を利用します。

Cato Networksの脅威対策スタッフセキュリティエンジニアであるDolev Attiyaによると、「防御の深さの戦略は、この初期アクセスベクトルから早い段階で有用だったかもしれません。フィッシングメールとHoaxsheelは、メールゲートウェイをスキャンするアンチウイルスエンジン、エンドポイントのアンチウイルス、またはネットワークへの可視性を通じて、悪意のあるドキュメントによって生成されたネットワークアーティファクトのコマンドとコントロールを捕捉することで検出され得たでしょう。複数のコントロールは攻撃を捕捉するチャンスを増やします。」

2. イングレスツール転送

Attiyaは次のように付け加えています。「これらのツールの多くはすでにMicrosoft Windowsフレームワーク内にあります。通常、これらは管理者がシステムを制御するために使用されますが、攻撃者も同様の、ただし悪意のある目的でこれらを使用することができます。」

3. 発見

3. 次に、攻撃者はサービス、システム、ワークステーション、ドメインコントローラー、ポート、追加の認証情報、アクティブなIPなど、価値のあるリソースを特定するためにネットワークを探索します。

Attiyaによると、「このステップを、攻撃者が初めて大都市を訪れる観光客のように考えてみてください。彼らは人々に場所の行き方を尋ね、建物を調べ、通りの標識をチェックし、自分たちの方向を学ぶことにしています。これが攻撃者がしていることです。」

4. 資格情報ダンピング

価値あるリソースが特定されると、以前に追加されたツールを使用して、侵害されたシステムの複数のユーザーの認証情報を抽出します。これにより、攻撃者は横断移動の準備ができます。

5. 横断移動と持続性#

With the credentials, the attacker moves laterally across the network, accessing other systems. The attacker’s goal is to expand their foothold by getting to as many users and devices as possible and with as high privileges as possible. This enables them to hunt for sensitive files they can exfiltrate. If the attacker obtains the administrator’s credentials, for example, they can obtain access to large parts of the network. In many cases, the attacker might proceed slowly and schedule tasks for a later period of time to avoid being detected. This allows attackers to advance in the network for months without causing suspicion and being identified.

Here’s the continuation of the translation into Japanese:

認証情報を使用して、攻撃者はネットワークを横断し、他のシステムにアクセスします。攻撃者の目標は、できるだけ多くのユーザーとデバイスにアクセスし、可能な限り高い権限を得ることで拠点を拡大することです。これにより、攻撃者は抽出可能な機密ファイルを探すことができます。例えば、攻撃者が管理者の認証情報を取得した場合、ネットワークの広範囲にアクセスすることができます。多くの場合、攻撃者はゆっくりと進行し、検出されるのを避けるために後の時期にタスクをスケジュールすることがあります。これにより、攻撃者は数ヶ月にわたってネットワーク内で進行し、疑いを持たれたり特定されたりすることなく活動を続けることができます。