Upgrade to Pro — share decks privately, control downloads, hide ads and more …

入門 PEAK Threat Hunting @SECCON

入門 PEAK Threat Hunting @SECCON

昨今の脅威状況 として、Volt Typhoonによる環境寄生型攻撃のLoTL(Living Off the Land Techniques)の特徴をおさらいしつつ、痛みのピラミッド(pyramid of pain)で有名なDavid Biancoの最新Threat Huntingフレームワーク「PEAK」について紹介します。また付録として、Splunkが提供するセキュリティエンジニア向けSplunk無償コンテンツのご紹介も行います。

odorusatoshi

March 01, 2025
Tweet

More Decks by odorusatoshi

Other Decks in Technology

Transcript

  1. © 2024 SPLUNK INC. SECCON 24 入門 PEAK Threat Hunting

    Splunk Services Japan G.K Partner & Solutions Manager 横田 聡 CISSP GMON 2025年3月1日
  2. Forward- looking statements © 2024 SPLUNK LLC This presentation may

    contain forward-looking statements that are subject to the safe harbors created under the Securities Act of 1933, as amended, and the Securities Exchange Act of 1934, as amended. All statements other than statements of historical facts are statements that could be deemed forward-looking statements. These statements are based on current expectations, estimates, forecasts, and projections about the industries in which we operate and the beliefs and assumptions of our management based on the information currently available to us. Words such as “expects,” “anticipates,” “targets,” “goals,” “projects,” “intends,” “plans,” “believes,” “momentum,” “seeks,” “estimates,” “continues,” “endeavors,” “strives,” “may,” variations of such words, and similar expressions are intended to identify such forward-looking statements. In addition, any statements that refer to (1) our goals, commitments, and programs; (2) our business plans, initiatives, and objectives; and (3) our assumptions and expectations, including our expectations regarding our financial performance, products, technology, strategy, customers, markets, acquisitions and investments are forward-looking statements. These forward-looking statements are not guarantees of future performance and involve significant risks, uncertainties and other factors that may cause our actual results, performance or achievements to be materially different from results, performance or achievements expressed or implied by the forward-looking statements contained in this presentation. Readers are cautioned that these forward-looking statements are only predictions and are subject to risks, uncertainties, and assumptions that are difficult to predict, including those identified in the “Risk Factors” section of Cisco’s most recent report on Form 10-Q filed on February 20, 2024 and its most recent report on Form 10-K filed on September 7, 2023, as well as the “Risk Factors” section of Splunk’s most recent report on Form 10-Q filed with the SEC on November 28, 2023. The forward-looking statements made in this presentation are made as of the time and date of this presentation. If reviewed after the initial presentation, even if made available by Cisco or Splunk, on Cisco or Splunk’s website or otherwise, it may not contain current or accurate information. Cisco and Splunk undertake no obligation to revise or update any forward-looking statements for any reason, except as required by law. In addition, any information about new products, features, functionality or our roadmap outlines our general product direction and is subject to change at any time without notice. It is for informational purposes only and shall not be incorporated into any contract or other commitment or be relied upon in making a purchasing decision. We undertake no commitment, promise or obligation either to develop the features or functionalities described, in beta or in preview (used interchangeably), or to include any such feature or functionality in a future release. The development, release, and timing of any features or functionality described for our products remains at our sole discretion. Splunk, Splunk> and Turn Data Into Doing are trademarks and registered trademarks of Splunk LLC in the United States and other countries. All other brand names, product names or trademarks belong to their respective owners. © 2024 Splunk LLC. All rights reserved.
  3. © 2024 SPLUNK LLC Satoshi Yokota - Splunk SE歴は7年ちょっと -

    好きなログは sysmon, Lanscope Cat - 好きなSPLは | eval - odorusatoshi - Qiita
  4. © 2024 SPLUNK LLC Splunk Oct, 2003 Splunk Inc.設立 Apr,

    2012 NASDAQ 上場 Mar, 2024 CiscoによるSplunk の買収完了 Feb, 2012 日本法人設立 Dec, 2024 Splunk Cloud Platform ISMAPに登録完了 Splunk Enterprise Security とTalosの統合 Splunk SIEMとCisco XDRと の相互補完 Apr, 2022 Gary Steele Splunk, CEO Splunkオブザーバビリティに AppDynamicsを統合 Ciscoと共に イノベーションを加速 May, 2024 Gary Steele      Cisco, President Go-to-Market Nov, 2024 Splunk Cloud Platform on Microsoft Azure (Japan) 日本市場への継続投資 • 日本語テクニカルサポートの拡充 • Edge Hub 国内販売開始 (2024/6) • AI Assistant 日本語対応 • Splunk on Azure サービス開始 (2024/11) • ISMAP登録完了 (2024/12) © 2025 SPLUNK LLC 2024年 Spelunking: 洞窟探検 Splunking: マシンデータの探索
  5. © 2024 SPLUNK LLC © 2024 SPLUNK LLC アジェンダ •

    Threat Landscape ◦ LoTL (Living off the land: 環境寄生型攻撃) • PEAK Threat Hunting • Appendix: セキュリティエンジニア向け無償コンテンツの紹介
  6. © 2024 SPLUNK INC. 7 2024年はLoTL対策に関するお問合せが増えた年 2024/6/26 JPCERT/CC Volt Typhoonの攻撃キャンペーンにどう備

    えていくべきなのか ~将来の攻撃に備えるThreat Huntingの アプローチについて考える~ 2024/8/21 CISA Best Practices for Event Logging and Threat Detection NISC 豪州主導の国際文書「イベントログと脅威検知のためのベストプラ クティス」への共同署名について 2024/2/7 CISA Identifying and Mitigating Living Off the Land Techniques 以降、お客様から LoTL対応に関するお 問合せが増えています。 リファレンス SOCアナリスト向け Threat Huntingの方法論の詳細 SIEM管理者向け イベントログ管理のベストプラク ティス
  7. © 2022 SPLUNK INC. © 2024 SPLUNK INC. 日本における Threat

    Huntingの重要性の高まり Living Off The Land(環境寄生型、現地調達型)攻撃を捉えるチャレンジ インディケータ情報依存からの脱却 の必要性 (前略) 一般的なAPTでは攻撃キャンペーン期間内においてC2サーバーやマルウェアを使いまわすため、これらの情報を共有するこ とで、未認知の被害をあぶり出すことや被害拡大防止を行うことができます。このような対抗策は「IoC情報ベースのアプロー チ」と言えるかと思います。 Volt Typhoonは、グループ固有のマルウェアをほとんど使わないなどの LoTL戦術の徹底により、被害現場には IoCとなる 情報をほとんど残しません。 そして、Volt Typhoonが単なるLoTL戦術を取る他のアクターと違う点として、1回あたりの侵害期 間が短く[2]、侵害範囲が限定的であることから、被害現場に残るアーティファクトの量がそもそも圧倒的に少ないことが挙げら れます。アーティファクトが少なければ、IoC情報を作出できる機会/量も大きく減ります。 (中略)Threat Huntingの定義もさまざまで、この用語は理論の紹介から特定製品のPRまで、幅広い文脈で使われています。 基本的にはアノマリ( Anomalies)を探しだすことだと考えられ、不審なプロセスの存在といった技術的アノマリや、不審な 時間帯でのアカウントの挙動といった文脈的アノマリがあります。こうした、ベースラインから逸脱したアノマリを探しだすこ とがThreat Huntingの基本的な考え方です。 そのためには、自組織のシステム/ネットワーク運用における「ベースライン」の把握が必要になります。JPCERT/CCでも過 去にActiveDirectoryのログ分析を紹介するコンテンツを公開[5]してきましたが、Active Directoryのログが一定期間保存され ていなかったり、正規のアカウントが整理されていなかったりすれば、ベースラインを把握できず、アノマリを検出しようがあり ません。 Volt Typhoonの攻撃キャンペーンにどう備えてい くべきなのか ~将来の攻撃に備えるThreat Huntingのアプローチについて考える~ - JPCERT/CC Eyes
  8. © 2022 SPLUNK INC. EDRだけでは検出が困難な理由 参照ガイドライン :https://www.cisa.gov/sites/default/files/2024-02/Joint-Guidance-Identifying-and-Mitigating-LOTL_V3508c.pdf LoLBins (LoTLに利用される正規ツールの総称 )

    → システム担当者が使う正規ツールのためロギングのみでアラート発報しない※ ※適切にチューニングをしない場合大量のアラートノイズになるため、一般的にロギングのみで監視 に活用されていない EDR マルウェア →IOC(既知のマルウェアのHash値, C2情報, 不審なCommandLineなど)で一致した場合、ア ラート発報 ⋯ ストレージコストの課題もあり、 ログ保持期間が限定的 で必要 な時には削除されている 以下、Unix系システムで使われる LOLBinsの例
  9. © 2022 SPLUNK INC. ランサムウェア攻撃にも LoTLは利用されている VPNに対する不正アクセスを初期侵入の起点とする(事例:コスタリカ政府を狙ったConti Ransomware) 内部サーバ FireWall

    Active Directory / DNS 攻撃者 PC DLP EDR 内部PCセグメント DHCP サー バ 内部向けDMZ Web Proxy SASE SDP FWaaS SWG IDaaS DNS VPN 社外/在宅 syson powershell PC DLP EDR syson powershell 重要サーバ syson 攻撃インフラ メール アンチ ウイルス アンチ ウイルス アンチ ウイルス NetFlow ⑦Rcloneを経由したデータ流出 Windows Security ②VPN情報を使い不正 ログイン ①BotNetのログからターゲット のVPNのクレデンシャルを取得 ③CobaltSrikeBeaconをダウ ロード&設置 ④PsExecを用いた横展開 ⑤mimikatzとDCSyncを使ってク レデンシャルのダンプ In−memory型Beaconを使用しEDRをBypass ⑥AteraRemote Management Tool (RMM)を設置(永続的なア クセスが可能に) ポイント OS標準ツール(PsExec)だけではなく、リモート管理ソフト (AlteraRemote Management Tool)やオープンソースのファ イル転送ツール(Rclone)などの一見、正常な業務にも使わ れそうなソフトウェアも合わせて利用されるためEDRだけで はkill chain全体の検知が難しい
  10. © 2022 SPLUNK INC. © 2024 SPLUNK INC. CISAが中心となり発行した 「Living

    Off The Land(LOTL)」対策ガイドライン 参照ガイドライン:https://www.cisa.gov/sites/default/files/2024-02/Joint-Guidance-Identifying-and-Mitigating-LOTL_V3508c.pdf 「Summary」の「Detection Best Practices」の章では、LOTL攻 撃に対する効果的な監視策を提言されています。 1. 詳細ログの集中管理 2. 振る舞いベースラインを確立 3. 定期的チェックの実践 4. アラートノイズを減らす 5. UEBAの活用
  11. © 2024 SPLUNK INC. Threat Hunting is any manual or

    machine-assisted process for finding security incidents that your automated detection systems missed. 脅威ハンティングとは、自動検知システムが見逃したセキュリティ・インシデントを発見す るための、手動または機械支援によるプロセスです。 The PEAK Threat Hunting Framework Page 4 重要なのは、目的のイべントを検出、選別するためにコンピュー ター、自動化技術、機械学習技法を利用することが多いものの、 ハンティングは基本的に人間主導で行う点です。 なぜなら、人 間の好奇心、想像力、そして、悪質なアクティビティのパターン、 特に、過去に見たことのないパターンを推測する能力は、今日 のテクノロジーの能力をはるかに凌ぐからです。
  12. © 2024 SPLUNK INC. © 2024 SPLUNK INC. 古くて新しい? Threat

    Hunting 2015年頃からSqrrl脅威ハンティングとTaHiTIの脅威ハンティング手法がお手本に
  13. © 2024 SPLUNK INC. © 2024 SPLUNK INC. 仮説に基づいた脅威ハンティング 仮説はより具体的かつ検証可能なものをセットするのがポイント

    攻撃者はPowershellを使う際にBase64 Encodeしたコマンドラ インを使って隠蔽活動をするはずだ Powershell引数に特定の文字列が使われるものをHuntingしてみる
  14. © 2024 SPLUNK INC. © 2024 SPLUNK INC. ベースライン脅威ハンティング 正常な挙動のベースラインを設定して、逸脱する挙動を見張る

    SMBトラフィックは社内で常に利用されているが、通常時のトラ フィックをはるかに逸脱するボリューム/業務時間外の利用を統 計的外れ値で見てみる 新しいデータソースが監視対象になったとき 既存取得データソースも定期的にベースラインの異常が無いか確認
  15. © 2024 SPLUNK INC. © 2024 SPLUNK INC. モデル支援 (M-ATH)脅威ハンティング

    明確なトピック(「辞書ベースのDGAドメインを特定したい」)はあるが、具体的にどうすればいいのかわから ない(暗黙の複雑性)。M-ATHの主な利点は、違いを見分ける方法を見つけ出すという大変な作業をコン ピュータに任せることができるということ です。 OOTBのソリューションとしてはSplunk UBA
  16. © 2024 SPLUNK LLC 脅威ハンティングの主要メトリクス 例 5 Techniques H unted

    M ap hunted behaviors to ATT& CK and/or K ill Chain. W here are you hunting? W here should you hunt next? 4 Vulnerabilities & M isconfi gurations D irect corrections to system s and services as a result of hunt fi ndings 3 G aps Identifi ed / G aps Closed V isibility, tools, access, etc. that you didn’t have, and ones that you later acquired Incidents O pened Count of incidents created during hunts, but also as a result of detections created from hunting 2 1 D etections Created / U pdated N um ber of new or im proved detections, by type, as a result of hunting 作成または更新した検出数 例:3月は10件のTHロジックを作成 既存THロジックを2/30件修正 ハンティング中またはハンティングの結果として見つかっ たインシデントの数 例:3月はTH業務中に、EDRバイパスしたLateral Movementを1件確認 特定された不備の件数と解消された件数 例:Windows Securityイベントの監査ポリシー設定不 備によりEentID:4688が記録されていない 特定された脆弱性/設定ミスの件数と解消された件数 例:クラウドサービスのアクセス権限不備を2件報告 その後1件は修正済みの連絡あり ATT&CK、キルチェーンなどのフレームワークに照会 例:Lateral Movementフェーズの9つのテクニックのTHを 3件実施
  17. © 2024 SPLUNK INC. 参考: Security ContentsにおけるLoTL対応 | tstats `security_content_summariesonly`

    count min(_time) as firstTime max(_time) as lastTime from datamodel=Endpoint.Processes where `process_rundll32` Processes.process=*comsvcs.dll* Processes.process=*MiniDump* by Processes.user Processes.parent_process_name Processes.process_name Processes.original_file_name Processes.process Processes.dest | `drop_dm_object_name(Processes)` | `security_content_ctime(firstTime)` | `security_content_ctime(lastTime)` | `dump_lsass_via_comsvcs_dll_filter` https://www.microsoft.com/en-us/security/blog/2023/05/24/volt-typhoo n-targets-us-critical-infrastructure-with-living-off-the-land-techniques/ 検知ルールの詳細例「Dump LSASS via comsvcs DLL」の場合 LSASSをDumpして認証につかわれる情報を抽出する動き https://research.splunk.com/endpoint/8943b567-f14d-4ee8-a0bb-2121d4ce3184/
  18. © 2022 SPLUNK INC. SURGeについて Splunk Enterprise 次世代セキュリティ分析基盤 Splunk Enterprise

    Security ES相関ルール MITERATT&CK対応 緊急脅威速報 SURGeアラート SURGeは、緊急セキュリティ脅威情報を発信するSplunkの新しいサービス(無料) メール登録をしておくと、SplunkのSPLでどうやってThreat huntingを行うか指針をサンプルSPLつきで紹介 NEW 例:Supply Chain AttackのSPLホワイトペーパー
  19. © 2022 SPLUNK INC. © 2024 SPLUNK INC. Threat Huntingのガイドラインを発行

    PAEK Hunting ガイドのダウンロードリンク: PEAK脅威ハンティングフレームワーク | Splunk Join the Community Slack #peak-threat-hunting
  20. © 2022 SPLUNK INC. Attack Rangeの利用イメージ MITRE techniqueの攻撃シミュレーションを行うプライベートサンドボックス環境 2. Splunk

    Security Contentsページにて試したいtechnique IDと相関ルール名、サーチ文を確認 # python attack_range.py simulate -st T1003.001 -t ar-win-dc-default-username-33048 1. 指定のMITRE Technique IDの疑似攻撃をシミュレーション環境のサーバに対して実行
  21. © 2022 SPLUNK INC. Boss of the SOC (BOTS)とは 


    現場の方々のスキル習得・熟練度の確認のために、現実に 近い環境で、セキュリティハンティングを体験いただけます。 当ワークショップはキャプチャ・ザ・フラッグ(CTF)形式を採 用しており、複数チームで対抗するコンペティションとなりま す。顕著な成績をあげられたチームには、Splunkより豪華 景品を用意しております。 SOCのセキュリティアナリストの方々を対象に、Splunkがご提供するワークショップです。 Activity Duration 開会挨拶、参加者紹介 30 minutes BOTS Kickoff、ワークショップ内容のご説明 30 minutes BOTSワークショップ 4.5 hours クロージング、表彰、Q&A 1 hour Total 6.5 hours
  22. © 2022 SPLUNK INC. 問題のシナリオはテクノロジーの変化と共に毎年進化しています 
 Powershell Sysmon Ver1.0-2.0 Ver3.0

    Ver4.0-4.1 Ver5.0 36 Ver6.0 Scenario
 1.Insider Threat(内部犯行) 2.Webサイト攻撃 3.ランサムウェア感染(Mac) 4.標的型攻撃 5.Fraud(不正取引) Scenario 1.ES, UBA, phantomを使った調 査 2.AWSインフラへの不正アクセ ス 3.標的型メール起点の侵害
 Scenario 1.ES, UBA, phantomを使った調 査 2.Red TeamのPenテスト調査 3.標的型攻撃 4.ICSシステムの侵害調査
 Scenario 1.Kubernetesセキュリティ 2.標的型攻撃 3.AWSセキュリティ 4.RWIセキュリティ 5.GCPセキュリティ Scenario 1.不正行為とインサイダー脅威
 2.高度な持続的脅威 (APT)
 3.マルチクラウド
 4.Enterprise Security 5.SOAR Scenario 1.インフラ統合 2.高度な持続的脅威 (APT)
 3.Enterprise Security 4.SOAR 5.Eggs Ver7.0
  23. © 2022 SPLUNK INC. 日本国内での開催実績 BOTSv1 in 2017 8月と11月の2回開催し、合計で50名以上の方にご参加いただきました。 BOTSv2

    in 2018 Enterprise Securityを利用したVer2を開催し、総勢35名にご参加いただきました。 BOTSv3 in 2019 TUNNEL TOKYO にて、MEGA BOTS TOKYOを開催し総勢100名以上のお客様にご参加いただきました。 BOTSv4 & BOTSv2 in 2020 2020年は初のVirtualイベントを2回開催し、v2はSplunk初心者を対象とし103名が参加しました。またv4はSplunk Guruを対象としたもので参加者は106名でした。 BOTSv4.1 in 2021 コロナ禍2年目もVirtualイベントを開催し、100名近くのお客様にご参加いただきました。 BOTSv6 in 2022 コロナ禍3年目もVirtualイベントを開催し、100名以上のお客様にご参加いただきました。 BOTSv6 Revenge/Entry in 2023 初のリモート&会場参加のハイブリットイベントを開催し、100名以上のお客様にご参加いただきました。 BOTSv7 in 2023 コロナ5類移行に伴い、YahooJapan様の会場を利用し、150名以上のお客様にご参加いただきました。 BOTSv8 in 2024 YahooJapan様の会場を利用し、170名以上のお客様にご参加いただきました。