効果的なC2ビーコン検出ホワイトペーパー

ソース(環境内のマルウェア)と宛先(C2サーバー)の両方で使用されるSSL/TLS証明書、ドメイン/IP/URL、ユーザーエージェント/プロセス特性などのソース特性、トラフィックサイズ/バースト性/パターン、HTTPヘッダー/ペイロード/URIなどのソース特性など、包括的なシグナルセットが必要であり、ソース、宛先、およびトラフィック特性を含める必要があります。

時間、量、ネットワーク層、および全体的なトラフィックプロファイリングにわたってさまざまな信号を調べると、振る舞い検出は、疑わしい悪意のあるC2ビーコンアクティビティを介して最新のマルウェアを検出するための一般的で効果的なメカニズムを提供できます。

図6:包括的な信号

信号タイプにはいくつかの次元があります。

• ネットワーク フロー: 送信元と宛先の属性、およびトラフィック パターン
• ネットワークレイヤー:レイヤー3からレイヤー7までの異なるシグナル(TCP/IPヘッダー、SSL/TLSフィンガープリント、HTTPヘッダー/ペイロード、アプリケーションレベルのコンテンツ全体の異常)
• 時間:頻度、頻度の低いアクティビティや遅いアクティビティを検出するための異常なタイミングパターン
• データ:コンテンツとボリューム(異常なパケットサイズ、バースト、累積統計)

さらに、いくつかの信号タイプがあります。

• トラフィックパターンベース(ボリューム、タイミング、コンテンツ)には、異常なユーザーエージェントまたはドメインと連動したビーコンの繰り返しが含まれます。
• ヒューリスティック(疑わしいレジストラーや既知の悪意のあるSSLフィンガープリントなど)
• 異常(異常なドメイン、ユーザーエージェント、またはSSLフィンガープリント)

重要な点の 1 つは、上記のシグナルの一部が現在のアプローチと既存のソリューションの一部であることです。 これは、トラフィックスパイク(大量)などの特定の信号は、それ自体で良くも悪くもなく、効果的でも効果でもないという点を強調しています。 むしろ、信号のコンテキストと処理が決定要因です。 ネットワーク境界でトラフィックをブロック/許可するために使用すると、誤検出が発生しやすい信号は、重大な運用上の問題を引き起こす可能性があります。 しかし、そのシグナルを詳細なリスクメトリクス(以下で説明)と十分に訓練されたモデルに組み込む異常検出システムに供給すると、誤検知が少なく、堅牢な方法で新しい脅威を検出するのに非常に効果的です。

C2フレームワークツールキットからC2ビーコンを効果的に検出するには、より包括的なシグナル範囲に基づくマシンラーニングモデルを使用して、今日のC2フレームワークツールキットと、C2アクティビティを示す可能性のある将来の疑わしいネットワーク動作を特定する必要があります。

図7:異常検出

異常検出は、ユーザー/デバイス、ロール、および組織レベルのモデルに基づいている必要があります。 つまり、異常は、比較対象の活動または行動の有効な「正常な」ベースラインがあると推定します。 疑わしいアクティビティの検出は、さまざまな状況で発生する可能性があります。 ユーザーのアクションと過去の「正常」ベースライン、組織の「正常」ベースライン、または同様のロールを持つ個人に対する異常があります。 すべてに、他のユースケースを排除した有効なユースケースがあり、優れたアプローチには、異なるスコープを持つ複数のモデルを組み込む必要があります。

トレーニング データ セットには、悪意のあるトラフィックと無害なトラフィックの両方を含める必要があります。

• 悪意のあるトラフィックは、一般的なC2テストツール、公開されているC2フレームワークツールの設定に基づく特定のC2敵対的ビーコンテスト、レッドチームの観点からカスタマイズされた設定、公式のレッドチーム演習を使用してシミュレートできます。
• 無害なトラフィックまたは有効なトラフィックは、ユーザーや組織のバイアスに対して正規化するのに十分な時間にわたって、実際の組織の多数の実際のユーザーから収集するのが最適です。

トレーニングデータセットはテストデータセットの裏返しであり、優れたトレーニングデータとテストデータの分析と検証に多くの時間を費やす必要があります。 優れたテストデータセットを作成するためのいくつかの要因については、次のセクションで説明します。

異常検出の出力は重要です。 最善のアプローチは、生のシグナルに基づいて単純なブロック/許可またはアラート/サイレントの判断を実行するのではなく、ユーザー、ロール、および組織レベルできめ細かなリスクメトリックを追跡および調整し、アラート、コーチング、ブロックなどの修復アクションに使用できるようにします。

リスクを追跡し、それに基づいて行動するこのアプローチは、今日一般的に使用されているものとは根本的に異なります。 予防的であり、通常はトラフィックをブロック/アラート/許可するほとんどの境界防御は、一般的に静的であり、誤検出率が高くなる傾向があります。 その結果、これらのソリューションは、特定の既知のリスクをブロックする保守的なポリシーによって可能になり、その結果、多数の偽陰性が生じます。 ファイアウォールでは、IP脅威インテリジェンスに基づく過度に積極的なブロックアクションによる誤検知の問題が見られます。 IPSソリューションでは、高度に設定可能で動的なC2トラフィックを検出しようとする静的シグネチャの誤検出の課題について議論してきました。

しかし、境界層での誤検出は、よりインテリジェントな層への信号として非常に役立ちます。 このシナリオでは、バイナリ評価 (許可/ブロック、アラート/無視) ではなく、時間の経過とともに調整されたきめ細かなリスク メトリック (例: ユーザーリスクスコア)を、アクションを実行する前に調整されたしきい値で設定します。 たとえば、ユーザーやデバイス、さらにはIPアドレスのリスクスコアを1000(リスクなし)から0(極度のリスク)にするなど、詳細なリスク指標を使用すると、100%悪意のある評価や100%良性の評価が明確に行われることはほとんどありませんが、実際の脅威に関連する灰色のスペクトルをモデル化できます。

概念的には、これは次の図でキャプチャされており、3 つの異なる信号が検出される可能性があり、それ自体が誤検出になりやすくなります。 ただし、増分リスクと関連付けられ、調整されたマシンラーニングモデルによって評価されると、同じシグナルが時間の経過に伴う累積リスクを評価し、最終的に信頼性の高い異常検出を提供します。

図 8: 詳細なリスク メトリック

この例の信号は、静的信号ほど単純ではない可能性があることに注意してください。 たとえば、「通常とは異なるドメインで認識されないユーザーエージェントとSSL/TLS証明書」は、その特定のユーザーの過去の「通常の」トラフィックベースラインと比較したり、ユーザーや組織全体の同様のジョブロールと比較したりすると、異常になる可能性があります。 「疑わしいレジストラ」は、時間の経過とともに相関するドメインレピュテーションの融合である可能性があります。 また、「定期的なビーコン」は、固定のレートや期間を単純に一致させるものではなく、有効なアプリケーションデーモンのコールアウトとは対照的に、ボット関連のアクティビティに似た、異常ではあるが定期的かつ繰り返されるアクティビティを時間枠内で検出することができます。

実際には、これにより、低忠実度のシグナルに基づいてリスクスコアを段階的かつ適切に調整することができます。 累積リスクスコアが調整された高いしきい値を超えるまで、ブロッキングアクションやアラートアクションは発生しません。 これにより、忠実度が低く、わずかにリスクの高い指標が多数存在し、特定のユーザーまたはデバイスの忠実度が高くリスクの高い指標と組み合わせると、誤検知の可能性が大幅に低下する重大なリスクアラートとアクションが累積的に生成されるケースをキャプチャできます。

新しいアプローチは理論的には健全であっても、実際には惨めに失敗する可能性があり、その証明はしばしばデータやテストに帰着します。 ソリューションを提供するベンダーやソリューションを探している組織は、新しい脅威をテストし、ソリューションを評価するための堅牢なアプローチを必要としています。 正確な結果を得るには、悪意のあるトラフィックと無害なトラフィックの両方を含む多様なデータセットを使用してテストすることが不可欠です。

無害なトラフィック
無害なトラフィックは、現実的で包括的であり、ユーザー数とアクティビティ数の点で本番環境と類似している必要があります。良好なトラフィックは、多くの場合、ユーザーに依存しますが、大規模なユーザーのサンプルと妥当な期間にわたって調査する必要があります。 このテストデータセットは、偽陽性(FP)率を測定します。 データセットの主な変動は、使用されているアプリケーション、ユーザーエージェント、クライアントSSL/TLS証明書などのクライアントシグナル、宛先ドメイン/IPアドレスで見られる宛先シグナル、ヘッダー、ペイロード、サイズ、タイミングのトラフィックパターンシグナルです。

良いニュースは、良好な良性のトラフィックは組織のユーザーの日常業務から簡単に収集できるということですが、悪いニュースは、それが無害であると検証する必要があるということです。 実用的なアプローチは、良性のトラフィックを統計的にサンプリングして特定の合理的な信頼度に導き、その後、テスト対象のC2検出ソリューションからのアラートに大部分の時間を費やし、アラートを真陽性または偽陽性として検証することです。 言い換えれば、事前にサンプルと検証を行ってベースラインを形成し、良性のデータセットがクリーンであると仮定してから、テストに基づいて誤検知の特定に進みます。

図 9: 良性のトラフィック テスト

悪意のあるトラフィック
一般的なC2フレームワークツールの公開プロファイルを使用すると、不良トラフィックをテストするための強固な基盤が提供されます。 これらのプロファイルは、防御を回避し、偽陰性 (FN) 率の測定に役立つ、実用的で頻繁に使用される構成を表しています。 ただし、次の図に示すように、カバレッジとデータセットがテストする内容には複数のレベルが存在する可能性があるため、代表的な "不良トラフィック" データセットを作成するには、多くの考慮を払う必要があります。

図 10: 悪意のあるトラフィックのテスト

1. SafeBreachのような侵害や攻撃のシミュレーションツールは、カバレッジテストや繰り返しのテストに最適です。通常、C2テストケースには、C2フレームワークのアクティビティのシミュレーションが少なくとも一部含まれています。 その利点は、一般的なマルウェア攻撃、適切に設計されたGUIとアーキテクチャ、反復可能なテスト手順とレポートなど、幅広い機能を利用できることです。 これらのツールを使用すると、低速アクティビティからIaaS/CSPインフラストラクチャ、HTTPおよび非HTTPトラフィックからSSL/HTTPSトラフィック、さまざまなユーザーエージェントのスプーフィングなど、幅広いシナリオを提供できます。
2. C2フレームワークツール(公開プロファイル)。 C2フレームワークの詳細なテストには、集中的な作業が必要です。 1つのアプローチは、C2フレームワークツール(Cobalt Strikeなど)の特定の公開プロファイルに基づいてテストデータセットを作成することです。 これらの公開可鍛性プロファイルは、Gmail などの無害なアプリケーションの便利なエミュレーションが含まれているため、広く共有され、多くのユーザーや悪意のあるアクターによって使用される傾向があります。 このアプローチでは、通常、特定のC2フレームワークに関するより包括的なテストが提供されます。
3. C2フレームワークツール(カスタムプロファイル)。 C2 Malleable Profilesの内部カスタマイズにより、C2フレームワークのより現実的なテストを提供できます。 これらのカスタム設定は、内部のレッドチームの運用中に実行できます。 これには、レッドチームのオペレーターがC2フレームワークツールに精通している必要があるため、より多くの作業と投資が必要です。
4. リアルな攻撃。 最も現実的なテストには、外部の侵入テストまたはバグ報奨金プログラムを使用したブラックボックステストが含まれます。 これらのシナリオでは、演習の要件は、特定のC2フレームワークツールまたは任意のC2ビーコン動作を使用する実際のPOCエクスプロイトを要求または奨励するように慎重に構築されており、一定期間にわたって検出を回避するという注意点があります。 この演習の目標は、一般的な初期アクセスベクトルをテストするだけでなく、C2アクティビティが実証されたバックドアペイロードをインストールする能力を示すことで、侵害後のアクティビティに焦点を当てることです。 これにより、C2フレームワークを超えてテストデータセットが充実し、カスタムC2通信でバックドアPOCコードをテストできるだけでなく、異なるTTPまたはカスタムTTPを利用する熟練した「攻撃者」に対する検出ツールのレジリエンスを測る優れたテストにもなります。

テストには一部または複数のアプローチが含まれる場合がありますが、テスト データセットを作成、収集、検証する方法と、期待される結果を測定する方法について、明示的な選択を行う必要があります。 テストデータセットを作成して収集することは、テストを自動化して簡単に繰り返すことができるようにするために非常に重要です。

また、テスト中に完全な指標(真陽性と偽陽性、真陰性と偽陰性)を測定することも重要です。 すべての指標を収集することは当たり前のように聞こえますが、定義が正確で、測定方法が明確で再現性があることは困難であり、誤解を招く結果を招くことになります。

誤検知と偽陰性のターゲット
C2フレームワークによって生み出される新しい回避型の脅威により、新しい検出ソリューションでは、広く受け入れられているFPおよびFN率が不足することになります。 ただし、FPターゲットとFNターゲットを作成することが重要です。 既知の品質テストデータセットを使用すると、現在の環境とユーザー/デバイスに対してベースラインを作成できるため、それらのベースラインに対して妥当なターゲットを作成できます。

たとえば、IPS のみを持つ組織が新しい C2 検出ソリューションの評価を開始し、許容できる FP/FN レートが不明であるとします。 組織は、次のようなテスト方法に従うことで、合理的な目標を立てることができます。

• 本番環境のデータに基づいて良性トラフィックの高品質なテストデータを作成し、Cobalt Strikeの公開C2可鍛性プロファイルなどに基づいて悪意のあるトラフィックの品質テストデータを作成し、それらのデータセットのサンプルを手動で検証します。
• テストツールと測定ツールを定義することにより、明確で再現性のあるテスト方法を作成します。
• テスト中にすべてのメトリック(TP/TN/FP/FN)を測定
• 新しいソリューションをテストし、メトリックを比較します。 たとえば、IPSは、悪意のあるトラフィックのTPレートを向上させるために特別に調整できますが、FP/TN/FNレートも測定および検証されるようにします。 次に、さまざまなソリューションの有効性を適切に評価できます。特に、以下の「影響」セクションで説明されているように、組織への全体的な影響について。
• 新しいデータセットをテストして比較します。 攻撃者による合理的な調整を反映するようにデータセットをカスタマイズしてください。 これを行うにはいくつかの方法があります。
  • たとえば、Cobalt Strikeをテストする場合、そのC2 Malleable Profilesは、少し異なる方法で無害なアプリをエミュレートしたり、特定の組織内で使用されるまったく新しい無害なアプリをエミュレートしたりするために簡単に変更できます。 これは、プロキシ経由でHTTP/Sアウトバウンドトラフィックをスニッフィングすることで実現できます。
  • 1つだけでなく、複数のC2フレームワークツールをテストしますが、それらは機能と手法が異なるためです。 別のC2フレームワークツールを使用することも、C2トラフィックシェーピングが異なるため、良い変更です。
  • 独自のハンドコードされたC2通信を使用してカスタムテストペイロードを作成することも、テストデータセットを変更する方法ですが、最も多くの時間と投資が必要です。

レジリエンステスト
さまざまなソリューションで新しいデータセットを使用してテストすることで、さまざまなソリューションの硬直性と回復力に関する貴重な洞察も得られます。 このホワイトペーパーでは、ハードコードされたシグネチャベースのアプローチは、C2フレームワークの検出にあまり効果的ではないだけでなく、硬直性が高いため、FP/FN率が高く、順応性プロファイルの変更などの単純な攻撃変更で簡単にバイパスできるという問題を提起しました。

ソリューションのレジリエンスは、データセットが合理的な範囲内で変更されている(つまり、同じTTPカテゴリ内にとどまる)ことを確認することでテストできます。 つまり、C2 Mallleable Profilesを使用して悪意のあるトラフィックデータセット内のC2通信を変更し、TP/TN/FP/FNレートを監視することで、現実的なレジリエンステストを実行できます。 カバレッジがどのように変化するかを確認し、特定のTP/TN/FP/FNターゲットのカバレッジを維持するために検出ソリューションにどのような変更を加える必要があるかも理解しています。

この方法で変更されたデータセットで再テストすることは、攻撃者がTTPを変更するのと似ています。 新しい検出ソリューションの耐障害性と有効性を評価し、同じ脅威手法カテゴリ(HTTP/S経由のC2通信)内の変更を引き続き検出できるかどうかを確認できます。

偽陽性と偽陰性の影響
FP/FNレートの測定は良好で、相対的な改善を可能にしますが、FPSとFNの影響を測定するか、少なくとも推定する必要もあります。 言い換えれば、1% の FP 率や 5% の FP 率の改善は、その 1% や +5% の影響を、セキュリティ予算の意思決定者にとって意味のある方法で測定できなければ、何の文脈も持たないということです。

ここでは、TP/TN/FP/FNレートをより定量化可能な影響に変換するのに役立つ2つのアプローチを紹介します。

1. ユーザーへの影響 の経時的な推移: FP 率と同等の誤検知の絶対数を確認し、時間の経過に伴うユーザーあたりの正味として正規化します。 これは定性的な尺度ですが、多くの場合、% 率や絶対数よりも理にかなっています。 例えば、FPが1%、偽陽性が2,437件あるよりも、1ユーザーあたり1日あたり0.1件の誤検知による影響を評価する方が簡単な場合があります。 これが安全なウェブゲートウェイであれば、組織内の誰かが、時間の経過に伴うユーザーの影響に基づいて、特定のFPターゲットが許容されるかどうかを判断できます。 このケースでは、C2フレームワーク対応マルウェアが侵害につながり、ユーザーへの影響は、一定期間のユーザーごとのダウンタイムまたはデータ損失として特徴付けられます。 毎年、ユーザーあたり$Xの損失はN%の確率で発生しています。 これらは多くの場合、大まかな見積もりですが、定期的な反復で改訂および改善できるため、どの開始も便利です。 影響が時間の経過に伴うユーザーの観点から評価される場合、検出または保護ソリューションの評価が容易になります。多くの場合、年間ユーザー数に基づいて価格設定されます。
2. セキュリティ運用は 、時間、コスト、および侵害の可能性の観点から影響します。 エンド ユーザーへの影響に加えて、管理上の影響、特に検出アラートの処理に時間を費やすことが多い運用担当者を評価する必要があります。 ノイズの多いアラートへの対応に費やされた時間は、FTEの給与コストに直接変換できます。 アラート疲れの追加の要因は、有効性(対応時間)の観点から推定できる実際の影響であり、さらに重要なことに、失われたり調査されなかったりする真に影響の大きい脅威に対する時間と注意の損失として推定できます。 この後者の影響は、セキュリティ運用の調査と削除が誤検知が多すぎる場合に侵害が発生する可能性が高くなるため、侵害の影響の要因となります。

多くの場合、影響評価は、検出の有効性による真のコストなど、重要な洞察を理解する唯一の方法です。 たとえば、低 FN と高 FP の構成を持つ過度に積極的な検出ソリューションは、セキュリティ運用が高レバレッジのアクティビティに従事する代わりに、忠実度の低いアラートへの対応に過度の時間を浪費するため、役に立たず、有害です。 同様に、FPは低いがFNは高い過度に保守的な検出ソリューションは、組織を潜在的な侵害に対する高いリスクにさらすことになり、全体的なリスク評価の観点からは許容できない可能性があります。

影響は、コアTP/FP/TN/FNメトリックと同時に推定および評価する必要があります。

現実的なテスト

人間とレッドチームを組むのは、自動化された侵害ツールや侵入テストツールだけではありません。 C2ビーコンソリューションのテストには、本番環境のユーザーと環境だけでなく、侵入テストやバグ報奨金などの現実的な敵対的なシナリオも使用することを強くお勧めします。 報奨金の額と要件を調整して、一般的なC2フレームワークツールキットの明示的な埋め込みと成功したエクスプロイト後のアクションを示すことで、「悪意のあるトラフィック」を現実のものと測定可能にすることができます。 これは、検出ソリューションのレジリエンスをテストするためのカスタムコードを含む任意のC2ビーコンアクティビティに拡大でき、テスト要件には、検出されずに1週間にわたって成功した毎日のビーコンアクティビティとコマンド実行のデモンストレーションを含める必要があります。

外部の侵入テストまたはバグ報奨金プログラムが繰り返されると、検出率の違いは測定可能であり、有効性とROIの評価に役立ちます。

厳格なテストアプローチにより、テストの有効性を包括的に測定するだけでなく、現在/過去のベースラインに対して継続的な目標と目標を作成できます。 また、複数のソリューションに対して同じテストと測定が行われた場合、パフォーマンスを比較し、購入/実装の決定を下すのは簡単です。

これらの概念と全体的なアプローチを含む研究と設計については、セキュリティシステムと可鍛性コマンドアンドコントロールを検出する方法(Mulugeta)で詳しく説明しています。