オリジナルの記事はThreatSTOP社Ofir Ashman 氏が書いたもので、本記事はその日本語訳です。オリジナルの記事(英語)は以下のURLからご覧いただけます。
https://blog.threatstop.com/enrichments-connecting-the-dots
Part 3「脅威インフラの分析」はこちらから
IOCの調査においては、情報のつながりから新しい痕跡をみつけることが重要です。そして、最も楽しい部分であることも間違いないでしょう。新しい脅威に関するブログ記事や報告は、特定のマルウェアサンプルや攻撃手法に使われたと考えられるIOCについて記載しています。
しかし、多くの場合、その背後には、もっと多くの攻撃に使われるインフラ群が、発見されるのを(そしてブロックされるのを!)待っているのです。
脅威IPやドメインに関するIOCを調べているときに、全く別の攻撃に使われるインフラが見つかることもあります。便利な世の中で、IOCや関連するインフラを調査、もしくは新しくIOCを発見するために使えるツールがたくさんあります。
今回は、ThreatSTOPのセキュリティリサーチチームが使っている、繋がりを見つけ、調査を深化させるためのツールをいくつかご紹介しましょう。
① ThreatCrowd
Alien Vault社が提供するThreatCrowdは、サイバー脅威に関するアーティファクトを発見、調査するためのプラットフォームです。ThreatCrowdのサーチエンジンでは、ドメイン、IPアドレス、メール、団体で検索することが出来ます。
各インジケーターの繋がりに関するグラフを作成し、関連するドメイン/IPアドレス、DNSサーバ、ハッシュ、メールを表示してくれます。ユーザは特定のアーティファクトを中心にグラフを表示させることも出来、関連するインジケーターをより詳しく見ることができます。
ThreatCrowdのレポートはそれぞれ、AlienVault社のOpen Threat Exchange (OTX、IOC共有プラットフォーム)に掲載しているインジケーターに関するレポートにリンクしています。
② VirusTotal (再登場!)
もしこのシリーズの第3回(リンク)を読んで頂けていたら、私たちがいかにVirusTotalを愛しているかご存知ですよね。VirusTotalは、怪しいIOCのスキャニングと情報共有のためのプラットフォームです。70以上のアンチウイルススキャナーとURL/ドメインブラックリストのサービスを行っています。
最近スキャンされたアイテムに関する検索エンジンや、大量のURL情報、ファイル提出方法(一般的なWebインターフェース、デスクトップアップローダー、ブラウザ拡張、プログラム可能なAPI)も提供しています。 さらに、VirusTotalは、動的な関係性グラフもあり、ユーザが各アーティファクトについて情報を見たり、データの見方を変えたり、グラフを編集したり、新しいノードを追加することができます。ユーザはグラフを保存したり、ノードリストをダウンロードすることもできます。
③ PassiveTotal
RiskIQが提供しているPassiveTotalは、内部アクティビティ、イベント、インシデントIOCアーティファクトを外部の脅威、攻撃者、関連するインフラと繋げることで調査を促進することが出来るツールです。PassiveTotalは、イベント調査のプロセルをシンプルにし、アナリストが統合したデータプラットフォームにアクセスすることが出来るようにします。彼らの検索エンジンは、ドメイン、ホスト名、IPアドレス、SSL証明書、メールで検索することができます。
PassiveTotalは関連性を示すグラフはありませんが、ThreatSTOPのアナリストたちは、IOCアクティビティについて、一般的な考えを手に入れられることから便利に使っています。PassiveTotalのヒートマップでは、IOCが時間で変化していく様子がわかりますし、関連する複数のIOCに関するレポートを行き来するのも非常に簡単にできます。
[SMART_CONTENT]
④ Yeti
Yetiは、アナリストが調査対象、IOC、TTPs、知識を、BootstrapベースのUIもしくはweb APIを使って、1つもしくは統合されたレポジトリーに整理するために作られたプラットフォームです。ただ整理するだけでなく、自動の深堀調査(例:ドメインの解決、IPアドレスの地理情報の特定)を行ってくれます。関係性のグラフは、私たちがこれまで見た中で、最も明確で、一番見やすく、動的なIOC分析にも使うことができます。
Yetiは、ユーザがデータフィードを追加することも出来、自動で深堀調査を行わせるためのカスタム分析を作成することも出来ます。
これまで、ThreatSTOPのリサーチチームが愛用しているツールをご紹介してきましたが、もし、これらの調査を自社で行うことが難しい、もしくは情報を精査することが難しい場合は、セキュリティの専門家が最新の脅威状況に合わせて分析、抽出した脅威インテリジェンスフィードを採用すべきです。
脅威インテリジェンスの専門ベンダー ThreatSTOP社では、セキュリティ研究者がIOCの収集、分析を行い精査した脅威インテリジェンスフィードを提供しています。様々なベンダーのファイアウォールやDNSサーバで利用できるので、最新の脅威状況に合わせて防御力を高めることができます。 是非、こちらもご検討ください。
この記事に関するサービスのご紹介
セキュリティリサーチツール Check IOC
CSIRTやSOCメンバーが脅威IPアドレス及びドメインの情報を調べるリサーチツールとして情報提供します。STIX/TAXII形式での提供が可能です。
詳細はこちら