SandwormとWizard SpiderをモデルとしたATT&CK® Evaluation: ESETの評価と結果

MITRE Engenuity ATT&CK®による最新の製品評価の結果が発表されました。今回の製品評価では、サイバー犯罪グループであるWizard Spiderと、国家が支援する犯罪グループであるSandwormが使用している攻撃手法をシミュレーションしています。ESETはSandwormに関するリサーチのパイオニアとして、これらの脅威グループに関する重要な発見をいくつも発表してきました。

最初に、今回の製品評価の方法とESET Inspect(旧ESET Enterprise Inspector)の結果を簡単に紹介します。

評価の概要

MITRE Engenuityが強調しているように、「これらの評価は競合分析ではない」ため、「勝者は存在しません」。この評価は、エンドポイント脅威検出ツールを専門的な方法で実行することで、今回のテーマとして選ばれた脅威グループが仕掛けるいくつかの攻撃手法をそのツールが検出する能力を透明性のある客観的な全体像として提示するものです。それと同時に、実環境の防衛では重要であるものの、この製品評価には含まれない領域も存在します。

今回の評価では考慮されなかったその他の重要な要素としては、性能やリソースの要件、ノイズの多さ(アラート疲れ ― ほぼ全ての製品が、テスト環境で記録されたすべてのアクションに対してアラートを生成することから、これらのほとんどの評価結果でノイズが高いスコアになることがあります)、エンドポイントセキュリティソフトウェアとの統合、および使いやすさがあります。

これらの要素が評価から除外されるのは、組織、セキュリティオペレーションセンター(SOC)チーム、セキュリティエンジニアの成熟度はそれぞれ異なり、準拠すべき法規制、さらには、業種、企業、サイトによってセキュリティニーズも異なるためです。したがって、ATT&CK評価で使用されるすべての指標の重要度がすべての評価者にとって同じではありません。

評価結果を正しく分析するためには、評価方法といくつかのキーとなる用語を理解することが重要です。検出のシナリオは、ATT&CKフレームワークに記載されている、初期アクセスから水平移動、情報収集、データ窃取などの手法を網羅する19のステップ(Wizard Spiderは10ステップ、Sandwormは9ステップ)で構成されています。これらのステップはさらに細分化され、合計109のサブステップに分かれます。LinuxマシンをサポートするESET Inspectが評価時にリリースされていなかったため、Linux関連のステップやサブステップは今回の評価の対象外になっており、ESETについて評価されたのは、15ステップと90サブステップです。MITRE Engenuityチームは、評価に参加した各ソリューションについて、各サブステップでの応答と可視性のレベルを記録しました。

その結果は、ステップごとに5つの検出タイプ、NONE(なし)、Telemetry(テレメトリ)、General(一般)、Tactic(戦術)、Technique(技術)に分類されます。エミュレーションされた攻撃の振る舞いを捉えるソリューションの能力(「テレメトリ」カテゴリ)や、詳細な分析データを提供する機能(「一般」、「戦術」、「技術」のカテゴリ)に基づき、さまざまな指標に統合されます。詳細については、MITRE Engenuityの検出カテゴリに関するドキュメントを参照してください。

図1.Wizard SpiderとSandwormの評価の検出カテゴリ(イメージソース

ESETの評価結果

評価の結果は、こちらに公開されています。

ESET Inspectは、検出の評価対象となった15ステップをすべて検出しました(100%)。図2と3は、ステップごとの検出タイプを示しています。

Wizard Spiderシナリオ

Sandwormシナリオ

攻撃エミュレーションをさらに細かいレベルに分解すると、ESET Inspectは、エミュレーションに該当する90サブステップの75サブステップ(83%)を検出しました。図4と5は、サブステップごとの検出タイプを示しています。

Wizard Spiderシナリオ

Sandwormシナリオ

この結果が示すように、ESET Inspectは、セキュリティが侵害されたシステムにおける攻撃者のあらゆるフェーズの行動について、優れた可視性を防御側の組織に提供します。

SOC分析者がその環境でのセキュリティインシデントを理解するための重要な指標となるのが、分析能力、すなわち追加のコンテキストを提供する能力です。たとえば、攻撃者が特定のアクションをシステムで実行した理由などがこれに該当します。ESET Inspectは、検出したサブステップのうちの69サブステップ(92%)に対して、このような追加情報を提供しました。

WindowsとmacOSに加えてLinuxもサポートし、主要プラットフォームすべてをサポートするようになった新バージョンのESET Inspectを発表したのが2022年3月30日であるため、ESETは、今回Linux関連の評価には参加していません。

Linuxの検出は別して(ESETのエコシステムはLinuxのエンドポイント保護を現在は提供していますが、これについては今回の評価時にはリリースされていなかったので対象外です)、ESET Inspectは90サブステップのうちの15サブステップを識別できませんでした。

これらの「検出ミス」のほぼすべてが、ESET Inspectが特定のAPIコールを監視していないことに起因します。APIの監視が難しいのは、誤検知率が高くなることです。システムには膨大な数のAPIコールが存在しており、すべてのコールを監視すると、リソースを大量に消費することになり、現実的に望ましいことではありません。

一例を挙げると、検出できなかったサブステップの1つ(10.A.3)は、正規のアプリケーションでプロセス列挙に使用されることが多いCreateToolhelp32Snapshot APIコールの検出に関するものです。このサブステップは、悪意のあるコードのプロセスへのインジェクションを試行する前に実行されます。ESET Inspectは、このプロセスインジェクションの検出に効率性を重視する戦略を採用しており、頻度が少なく、攻撃である可能性がより高いアクションを重点的に検出しています。

当然、ESETはAPI監視が防御側にとって重要ではないと考えているわけではありません。警戒すべきシナリオを継続的に評価して検出機能を追加していますが、コストが非常に高くなるケースがあるにもかかわらず、ほとんどメリットが享受されないこともあります。

効果的なXDR(eXtended Detection and Response)ソリューションの設計で重要な原則は、エンドポイントセキュリティソフトウェアでもそうですが、「バランス」です。すべてを検出するようにすれば、理論的には検出率100%のソリューションを簡単に開発できますが、当然ながら、そのようなソリューションにほとんど実用性はありません。このような理由から、従来のエンドポイント保護テストには誤検知の指標が必ず含まれており、誤検知をテストしなければ真の比較テストとは言えません。これは、誤検知率の高さと必要とされるリソースの多さが、セキュリティ分析プラットフォームで多く見られる問題となっている理由でもあります。今後、これらのセキュリティ分析プラットフォームは、その有効性についてXDRソリューションと競うことになるでしょう。

もちろん、XDRとエンドポイント保護では(アラートを出さずに監視や検出が可能であるため)状況に若干の違いはありますが、検出が多すぎればノイズが多くなり、アラート疲れにつながるという原則が変わるわけではありません。結果として、SOC分析者のワークロードが増大し、検出された大量のアラートの選別が必要となり、本当に重要度が高いアラートを見逃してしまうという、望ましい効果が得られない状況に陥ることになります。人間のワークロードの増大だけでなく、重要度が低い検出が多すぎると、パフォーマンスやデータストレージの要件が上昇して、コストも増加します。

優れたXDRソリューションの本質的な役割は、必ずしも攻撃の進行中に実行されたすべての手順(またはATT&CK評価におけるサブステップ)のアラートを分析者に通知することではなく、攻撃が実行された(または進行中である)というアラートを通知することです。そして、その後の環境におけるイベントとその時期の詳細かつ論理的に構成された証拠を示す機能を提供することで、分析者による調査が容易になるようにサポートすることです。ESET Inspectの開発では、常にこの機能を重視しています。

図6 に、サブステップ19.A.6(感染したマシンでのWMIによるNotPetyaの拡散の試行)の検出を示します。図7に、反対側、すなわち標的のマシンで検出された試行を示します。

SOC分析者に悪意のある活動のアラートに加えて、攻撃者が実行した詳細なコマンドラインパラメータ、実行チェーンやプロセスツリーなどの追加のコンテキスト情報が提供され、不審または明らかに悪意のあるイベントが強調表示されています。

観察された振る舞いの説明とMITRE ATT&CKナレッジベースへのリンク、さらには、このタイプの一般的な原因、有害および無害となる両方の振る舞いについての情報が提示されます。潜在的に危険であるイベントが組織特有の内部プロセスによって正規の目的で使用されている場合、SOC分析者がそれを調査し、有害か無害かを判断するような場合に、これらの情報が特に役立ちます。

推奨されるアクションに加えて、プロセスの強制終了やホストの隔離などの対策を実行し、脅威による影響を軽減するツールも提供されます。ESET Inspectではこれらのアクションを実行できます。

Wizard SpiderとSandworm

ESETはこれまでに、今回の評価で採用された両方のグループについての詳細な調査を実施してきました。

Wizard Spiderは金銭目的で活動するグループであり、TrickBotや悪名高いEmotetマルウェアを仕掛け、多くの場合にRyukなどのランサムウェアを送り込むことで知られています。これらは最も活発なボットネットのひとつであり、以前から、ESETの自動ボットネット追跡サービスで検出されています。ESETのシステムは、これらの脅威の進化を監視し続けており、新しい亜種、構成、コマンド&コントロールのドメインを、攻撃に使用される前に発見してブロックし、被害を未然に防いでいます。

ESETによる防御がEmotetに対して大きな効果を上げたことは、Wizard Spiderにとって大きな誤算であったようです。このグループについてESETが提供している詳細な脅威インテリジェンスは、ESETのセキュリティソリューションのユーザーを保護しただけでなく、数か月にわたり共同で行われたTrickBotの解体にも貢献し、その活動を停止させることになりました。

Sandwormは、ウクライナを始めとする複数の国に大打撃を与えた攻撃で知られているAPT(高度標的型攻撃)グループです。米国司法省と英国国家サイバーセキュリティセンターは、このグループとロシア連邦軍参謀本部情報総局の関係性を指摘しています。ESETの調査は、このグループの活動の解明で極めて重要な役割を果たしました。

ESETはVirus Bulletin 2014の講演でSandwormの攻撃を初めて特定し、名前の由来となったDuneがBlackEnergyサブグループも使用するコードで参照されていることを指摘しました。ESETはこのグループの活動を初期段階(2014年にドンバス戦争クリミア占領が開始した時期)から追跡し、後のウクライナの送電網に対するこのグループによる攻撃(2015年のBlackEnergyによる攻撃と2016年のIndustroyer攻撃の両方)を明らかにしました。

ESETは2017年にNotPetyaに関するさまざまな発見を発表しましたが、特筆すべきは、今回の評価ラウンドの2つ目の検出シナリオでNotPetyaがエミュレートされていることです。ESETの研究者は、NotPetyaとSandwormのサブグループであるTeleBotsの関連性を指摘し、最終的に過去最高の被害額を記録したサイバー攻撃となったソフトウェア会社M.E.Docのサプライチェーン侵害の最初の被害者を特定しています。

ウクライナおよび世界各地におけるSandwormの攻撃の詳細と時系列、および2022年のロシア軍のウクライナ侵攻に関連してESETが検出した最近のサイバー攻撃については、ESETのブログ記事ポッドキャストウェビナーを参照してください。

結論

厳格なMITRE ATT&CK評価により、ESETのXDRテクノロジーの品質が実証され、ESET Inspectの今後のビジョンとロードマップが検証されました。

優れたXDRソリューションの開発は、一過性のものではないことを常に認識しておかなければなりません。攻撃者が悪用する手法が変化および向上しているのと同様に、XDRとエンドポイントプロテクションプラットフォームも、実環境の脅威から組織を継続的に保護するために進化しなければなりません。

ESET Inspectは、実環境における脅威の調査や研究と密に連携させながら開発されたソリューションです。世界で最も危険なAPTグループやサイバー犯罪者を追跡しているESETの専門家が、ESET Inspectのルールの有効性を検証し、標的となるシステムにおける悪意のある活動を検出できるようにしています。

調査の成果である脅威インテリジェンスは、ESETのセキュリティソリューションの改善に使用されるだけでなく、プレミアム脅威インテリジェンスの一部として、プライベートAPTインテリジェンスレポートやデータフィードという形でお客様に提供されます。ESETは、ウクライナ危機に関連する攻撃など、一般公開している調査に加えて、このような独自のインテリジェンスを提供しています。

ESET Inspectは、サイバー攻撃から確実に組織を保護するように設計されているESETの包括的なサイバーセキュリティポートフォリオのコンポーネントの1つに過ぎません。ESET Inspectは、ESETの多層防御のセキュリティエコシステムの重要な一翼を担っています。このエコシステムには、強固なエンドポイントセキュリティクラウドベースの保護、機械学習ベースの検出テクノロジー、数百万台のエンドポイントのユーザーベースから収集されるESET LiveGrid®テレメトリ(特に、これを利用することで、ESET Inspectはバイナリやプロセスのレピュテーションを判断できます)が含まれます。

ESETは、セキュリティソリューションを包括的に提供するアプローチが最も重要と考えています。これは、ネットワークで実行された攻撃を可視化することも重要ですが、それ以上に、無数のイベントの中から攻撃を発見および特定し、さらに攻撃を未然に防ぐことがさらに重要であるからです。