Dojo 20221130 Searching famous Malware

Transcript

1. QRadar SIEMの紹介 有名なマルウェアを探してみた 1 日本アイ・ビー・エム テクノロジー事業本部 カスタマー・サクセス・マネージャー 市川 泰久 井口

   勇弥 2022/11/30（水曜日） online

2. 自己紹介 2 氏名 市川泰久 IT業界歴 25年目 直近の職歴 映像関連機器商社 テクニカルサポート 外資系IT企業

   テクニカルアカウントマネージャー ソフトウェア開発会社 テクニカルサポート 経験のある製品 Microsoft製品、映像関連機器、ストレージ 趣味 ドライブ(屋根無し)と将棋観戦 Global Markets - Cloud Platform Sales / © 2022 IBM Corporation

3. 自己紹介 3 Property Value 氏名 井口 勇弥 IT業界歴 11年目 直近の職歴

   Oracle 3年, IBM 1年目 経験のある製品 OS：Linux, Solaris NW：Cisco, F5 DB：Oracle Database ERP：Oracle E-Business Suite Monitor：Zabbix LinkedIn https://www.linkedin.com/in/yuyaiguchi 趣味 ラーメン食べ歩き、旅行 Global Markets - Cloud Platform Sales / © 2022 IBM Corporation

4. 4 この資料に含まれる情報は可能な限り正確を期しておりますが、 日本アイ・ビー・エム株式会社の正式なレビューを受けておらず、 当資料に記載された内容に関して日本アイ・ビー・エム株式会社 が何ら保証するものではありません。 従って、この情報の利用は使用者の責任において為されるもので あり、資料の内容によって受けたいかなる被害に関しても一切の 補償をするものではありません。 免責事項 Global

   Markets - Cloud Platform Sales / © 2022 IBM Corporation

5. アンケート Global Markets - Cloud Platform Sales / © 2022

   IBM Corporation

6. 🥅 本セッションのゴール ⚽ 有名なマルウェアについて理解する ⚽ QRadar SIEMの使用方法について理解する Global Markets -

   Cloud Platform Sales / © 2022 IBM Corporation

7. 目次 ①有名なマルウェアとは ②QRadar SIEMとは ③QRadar SIEMでの有名なマルウェアの探し方 ④リンク集 Global Markets -

   Cloud Platform Sales / © 2022 IBM Corporation

8. 有名なマルウェアとは 2021年に確認されたランサムウェアのタイプ 出典：IBM X-Force 脅威インテリジェンス・インデックス2022 https://www.ibm.com/downloads/cas/QA59ZP3P オペレーショナルテクノロジーのタイプ2021年 Global Markets -

   Cloud Platform Sales / © 2022 IBM Corporation

9. 有名なマルウェア・ランサムウェア 名前 概要 特徴 REvil メール等で侵入し、ファイルを暗号化、データをネッ トに公開するとして、仮想通貨で身代金を要求するラ ンサムウェア。 別名Sodinokibi 2020−2021年10月に猛威

   2022年1月ロシアで逮捕 その後軽く復活 Ryuk 主にメールで侵入し、ファイルを暗号化、仮想通貨で 身代金を要求するランサムウェア。 別名Hermesの亜種 法人組織や医療機関を狙う LockBit 脆弱性やRDP等から侵入し、ファイルの先頭4KBのみ 高速暗号化、データをネットに公開するとして、身代 金を要求するランサムウェア。 ドメインコントローラを狙い、ドメイン環境に拡散 ロシア語環境を攻撃しない 壁紙で内通者を募集する 脅迫状をプリンタで印刷 Conti メール等で侵入し、ファイルを暗号化、データをネッ トに公開するとして、身代金を要求するランサムウェ ア。 シャドウコピーを削除して復旧不能にする ネットワーク共有上のファイルも暗号化する 主に北米で流行 Emotet メールに添付のWordやExcelファイルなどから感染し、 メールで拡散。 アクセス情報を犯罪者グループに販売 さまざまなマルウェアをダウンロード 2022年日本で再流行 メールの日本語の精度が高い Global Markets - Cloud Platform Sales / © 2022 IBM Corporation

10. Quiz① 有名なマルウェアはどこにいる？ （１）インターネットのどこかからあなたを狙って来ます （２）全てのパソコンの中に元々います （３）宇宙の他の星に退避しています （４）現実には存在せず、あなたの心の中にいます Global Markets - Cloud

    Platform Sales / © 2022 IBM Corporation

11. Quiz② ランサムウェアはどのように動く？ （１）ファイルを利用不能にして身代金を要求する （２）ファイルを増やしてユーザー混乱させる （３）ファイルを消してザマアミロと言う （４）ファイルを覗き見して改善点を指摘する Global Markets - Cloud

    Platform Sales / © 2022 IBM Corporation

12. デモ① 🕺 有名なマルウェアを実行してみる Global Markets - Cloud Platform Sales /

    © 2022 IBM Corporation

13. IBM QRadar SIEMとは SIEM Security Information and Event Management •

    ログの集約 • 横断的なログの検索 • ルールによる自動検知と通知 Global Markets - Cloud Platform Sales / © 2022 IBM Corporation

14. SIEM...Security Information and Event Management Firewallなどのセキュリティー機器・ネットワーク機器からログを収集し相関分析を行うことで、外部からの 攻撃やマルウェア感染などの検知を行うことを目的とした仕組み 14 「SIEM」ってなに？ アナリスト

    SIEM 集約したログをルールのふるいにかけ、アラートを発報 アラート Cloud VPN ログを集約 一括して分析 認証情報 侵入検知装置 社内サーバー Firewall Global Markets - Cloud Platform Sales / © 2022 IBM Corporation

15. 15 SIEMに集約されたログは、共通する任意のパラメーターでマッチングが可能、ログに検 索をかけることで脅威を検知します。 どうやって脅威を検知するのか？ ファイアウォール 認証情報 SIEM 検索パラメータ：宛先IPアドレス 条件：123.45.xx.xx 侵入検知装置

    条件に一致したログ： FW拒否 認証成功 不審な通信 ＋ ＋ Global Markets - Cloud Platform Sales / © 2022 IBM Corporation

16. 16 また、設定したルールに基づく自動分析で脅威を検出可能です。 どうやって脅威を検知するのか？ ファイアウォール 認証情報 SIEM ルール内容：以下の条件のときにアラート FW拒否 認証失敗 不審な通信

    侵入検知装置 ＋ ＋ かつ かつ の後に 認証成功 の後に FW許可 Global Markets - Cloud Platform Sales / © 2022 IBM Corporation

17. 17 ログだけではわからない脅威はどうやって検知するのか？ A. フローの活用が重要 例えば… • 通信のサイズ（パケット数、バイト数） • 通信の時間（開始時刻、終了時刻） ログだけではわからない情報

    Global Markets - Cloud Platform Sales / © 2022 IBM Corporation

18. 18 フローとログの違いについて（ログ） エンドポイント サーバー エンドポイント ファイア ウォール サーバー 宛先IP：123.45.x.x 日時：2021/11/11

    15:00 ポート：22 内容：許可 ssh ssh ssh ssh ssh ssh ログはパケット単位で情報を取得 Global Markets - Cloud Platform Sales / © 2022 IBM Corporation

19. 19 フローとログの違いについて （フロー） エンドポイント サーバー ssh ssh ssh ssh ssh

    ssh PCAP で取得 フローはセッション単位で情報を取得 開始時刻 2021/11/11 15:00 終了時刻 2021/11/11 15:10 パケット数 17230 バイト数 3150853 byte 宛先IP 123.45.x.x 宛先ポート 22 プロトコル ssh 電話の通話履歴のようにセッション 開始から終了までのデータ量を記録 Global Markets - Cloud Platform Sales / © 2022 IBM Corporation

20. 20 フロー ログ（Firewall） 1 デバイス時刻 2 送信元IP 送信元IP 3 宛先IP

    宛先IP 4 送信元ポート 送信元ポート 5 宛先ポート 宛先ポート 6 プロトコル プロトコル 7 ユーザー名 ユーザー名 8 開始時刻 9 終了時刻 10 パケット数 11 バイト数 フローとログの違いについて ログに比べて、フローにはセッションに関する情報が含まれています。 セッションの時刻やパケット数、バイト数は異常を検知する上で重要 な要素となります。 Global Markets - Cloud Platform Sales / © 2022 IBM Corporation

21. 21 QRadar SIEMではフロー情報を利用し、通信量を元にしたルールで検知が可能です。 フローを活用した検知ルール 認証情報 QRadar SIEM ルール内容：以下の条件のときにアラート 認証失敗 大量データ転送

    フロー情報 ＋ ＋ かつ の後に 認証成功 Global Markets - Cloud Platform Sales / © 2022 IBM Corporation

22. 相互の関連性を調べる「ルール」 22 イベント 同一の送信元から、宛先に対して、 5分以内に400回以上のアクセスを試み、 FWで遮断 カテゴリ イベント 時間 送信元IP

    宛先IP Firewall拒否(1) deny 2022/04/11 13:03:45 xxx.yyy.zzz. aaa.bbb.ccc Firewall拒否(2) deny 2022/04/11 13:03:45 xxx.yyy.zzz. aaa.bbb.ccc Firewall拒否(3) deny 2022/04/11 13:03:46 xxx.yyy.zzz. aaa.bbb.ccc : : : : : Firewall拒否 (510) deny 2022/04/11 13:08:11 xxx.yyy.zzz. aaa.bbb.ccc 同一のイベントが起きた？ イベントが起きた時間は？ 各イベントにおける送信元IPは 同一なのか？ 各イベントにおける宛先IPは 同一なのか？ 正規化されたイベントの中身の関連性を調べる基準が設定され た「ルール」です。 Global Markets - Cloud Platform Sales / © 2022 IBM Corporation

23. Quiz③ この中でQRadar SIEMでは実現できないことは？ （１）多様な機器からログを集める （２）集めたログから脅威のパターンと照合する （３）脅威が確認されたら自動でメール通知する （４）通知された問題をフローに従い自動処理する Global Markets -

    Cloud Platform Sales / © 2022 IBM Corporation

24. デモ② ♨ フローを活用した異常の検知（基本編） Global Markets - Cloud Platform Sales /

    © 2022 IBM Corporation

25. 25 QRadar SIEMでの有名なマルウェアの探し方 民間最大級のセキュリティー研究機関であるIBM X-Forceでは、日々アップデートされていく脅威情報を収 集、発信しています。QRadarは最新の脅威情報を無償で自動受信し、ログやフローの分析に活用できます。 さらに、お客様ご自身で必要な外部脅威情報(ex.ブロックリスト)もQRadar SIEMに取り込めます。 ü ボットネット

    C&C ü 匿名プロキシー ü 動的IP ü スパム ü マルウェア ü スキャンIP 脅威インテリジェンス QRadar イベント情報と脅威情報の突合 複数の脅威情報による分析 X-Force提供の脅威情報 外部脅威情報 / 独自ソース X-Force アラート URL IP IBM X-Force × 外部脅威情報 で脅威検知をより効率的に STIX,TAXIIを使用 さまざまなログソース からのイベント IP URL URL URL IP IP IP Global Markets - Cloud Platform Sales / © 2022 IBM Corporation

26. Quiz④ X-Forceが教えてくれる情報って何？ （１）アクセスしてもいいURL （２）アクセスしてはいけないURL （３）アクセスできないURL （４）アクセスしてほしいURL Global Markets - Cloud

    Platform Sales / © 2022 IBM Corporation

27. デモ③ 🍲 Threat Intelligenceを活用した脅威のスキャン Global Markets - Cloud Platform Sales

    / © 2022 IBM Corporation

28. QRadar Advisor with Watsonによる分析 28 QRadar Advisor with WatsonがQRadarから出たアラート(オフェンス)を分析することで初期の調査・ 分析に関わる作業とエスカレーションの要否判断を効率化します。

    SIEM FW IPS EDR Proxy Analyst リアルタイムアラート 調査・分析 分析結果 QRadar Advisor with Watson ü 脅威情報(IOC)の抽出・突合 ü 関連レポートの提示 ü 優先順位付け ü MITRE ATT&CKとの関連付け ü 自動分析 ・ ・ ・ Global Markets - Cloud Platform Sales / © 2022 IBM Corporation

29. Quiz⑤ Watsonは何がすごいの？ （１）例外発生時にデバッグしてくれる （２）脅威の分析時間を短縮する （３）サイバー攻撃を受けると自動的に反撃する （４）身代金の値引き交渉をしてくれる Global Markets - Cloud

    Platform Sales / © 2022 IBM Corporation

30. デモ④ 🕵 QRadar Advisor with Watsonを活用した有名なマルウェアの発見 Global Markets - Cloud

    Platform Sales / © 2022 IBM Corporation

31. 31 IBM Security QRadar SIEM https://www.ibm.com/jp-ja/products/qradar-siem (4) リンク集 一元化された可視性とインテリジェントなセキュリティー分析によって、重大な サイバーセキュリティー脅威を検知して調査し、対処します。

    Global Markets - Cloud Platform Sales / © 2022 IBM Corporation

32. 32 IBM X-Force Exchange https://exchange.xforce.ibmcloud.com/ IBM X-Force Exchangeは、脅威インテリ ジェンスの取り込み、共有、対応を可能に するクラウド・ベースの脅威インテリジェ

    ンス・プラットフォームです。最新のグ ローバルなセキュリティー脅威を素早く調 査し、対処可能なインテリジェンスを収集 して、専門家と相談し、他の担当者と連携 して作業できます。 IBM X-Force Exchangeは人間のインテリ ジェンスと各種のソフトによって生成され るインテリジェンスの両方を取り入れてお り、IBM X-Forceの規模を活用してユー ザーが新たな脅威に先行して対処すること を支援します。 Global Markets - Cloud Platform Sales / © 2022 IBM Corporation

33. Japan QRadar User Group 日本のQRadarユーザーのためのオンライン・コミュニティです。 日々QRadarを活用して得られた気づきや意見交換の場としてご活用ください。 https://ibm.biz/japanqradarusergroup • ディスカッション・フォーラムは、ベスト・プラクティス、回避すべき落とし穴、そしてお互いから学ぶために、コミュニティーのメンバーに質 問する場です。

    投稿する前にCommunity Netiquetteを必ず読んでください。 • 製品に関してサポート関連の質問がある場合は、IBM Security Supportおよび「サポート・コミュニティ」のご案内にアクセスしてください。 • セキュリティー製品の機能強化や新機能に関するアイデア(いわゆる製品改善要望)を入力するには、RFEにリクエストを送信してください。 Global Markets - Cloud Platform Sales / © 2022 IBM Corporation

34. QRadar 101シリーズ QRadarを使いこなす上で活用いただける、技術情報のポータルです。 APARs 101 バージョンごとの障害情報 Deploy Changes 101 「変更のデプロイ」に関する問題判別方法

    Disk Space 101 ディスク容量に関する情報 Support Assistance 101 IBMへのサポート依頼方法やツールのご案内 https://www.ibm.com/community/qradar/ Technical Notes 101 詳細な技術情報(technote) WinCollect 101 Windowsログ収集エージェント(WinCollect)の情報 Support Tools 101 QRadar自体の情報収集等に使用するコマンドの情報 101ページの一部には日本語でご利用いただけるものがあります。ページ最下部から少し戻ったところにある 「Japanese/日本語」のリンクからアクセス可能です。 34 Global Markets - Cloud Platform Sales / © 2022 IBM Corporation

35. IBM Security Learning Academy QRadarはもちろん、その他のIBM Security製品についてスキルアップに活用いただけるe-learningコン テンツが多数掲載されています。 https://www.securitylearningacademy.com/ 35 Global

    Markets - Cloud Platform Sales / © 2022 IBM Corporation

36. Q＆A,フィードバック 36 Global Markets - Cloud Platform Sales / ©

    2022 IBM Corporation

37. 37 Global Markets - Cloud Platform Sales / © 2022

    IBM Corporation