Advanced Threat Prevention
Cortex XDR
Managed Threat Hunting
This post is also available in: English (英語)
概要
2020年12月8日に業界をリードするサイバーセキュリティ企業の1つ、FireEye が侵害とデータ漏出について報告しましたが、その内容が前例のないようなものとなっています。何が特異かといえば、標的となったFireEyeが有名サイバーセキュリティ企業であるというだけでなく、窃取されたデータのなかに、顧客へのセキュリティコンサルティングのために同社がさまざまな脅威アクターを模倣する用途で使う内製レッドチーム・侵入テストツールが含まれていた点です。FireEyeは同社ブログで防御側に豊富な情報を提供し、防御側が窃取されたツールに対してセキュリティコントロールや緩和策を実装できるようにしています。弊社も同社提供のデータを使い、攻撃者が悪意のある目的で窃取されたツールを利用しようとした場合でもお客様を確実に保護できるようにしています。
内製ツールの窃取は高度な脅威アクターによるもので、ツールは公開はされておらず、突然広く使用されることもないだろうと見られていることは知っておくべきでしょう。そうした前提はありつつも、FireEyeは検出技術の公開において、同社に求められる以上の(ほかの会社ではこれまでに公開したことがないような)内容の公開にまで踏み切っています。防御側にYaraルール、侵入の痕跡(IoC)、Snortシグニチャその他の脅威データへのアクセスを提供した同社の際立った対応は弊社の防御担当者やリサーチャーはじめ、業界全体でも非常に高く評価されています。
お客様の保護について
パロアルトネットワークスは、FireEyeの公開した保護をタイムリーに実装できるよう全力で取り組んできました。FireEyeはGithubリポジトリで、ルールのリストと16件の脆弱性CVE識別子を共有しています。脆弱性CVE識別子を共有した理由は、これらの脆弱性に対する十分な保護が行われていれば、レッドチームツールの効果を制限できるからのようです。
弊社はすでに、自社製品においてこれら脆弱性やエクスプロイトへの保護がすでに実装されているか、優先的に対応が進んでいることを確認しています。これら脆弱性は幅広い製品に及んでいますので、通常どおり、お客様には最新のアップデートを入手して脆弱なソフトウェアすべてにパッチを適用することを強くお勧めします。
保護を提供しているGithubリポジトリには、製品直接に実装したり、脅威ハンティングに利用できるルールが含まれています。パロアルトネットワークスではすべての安定したルールの有効性を分析したうえで各製品に取り込んでいます。FireEyeから提供されたYaraルールやSnortシグネチャを活用してのギャップ分析・脅威ハンティングにより、パロアルトネットワークスのリサーチャーは、潜在的なマルウェアサンプルを識別し、それらをWildFire内でタグ付けし、分析・追跡し、保護の作成をしているところです。また識別されたマルウェアサンプルの継続的な判定の有効性チェックがパロアルトネットワークス製品で進行中です。パロアルトネットワークスのAutoFocusをご利用中のお客様は、最初に識別されたサンプルとツールをFireye_RedTeam_Tools、Rubeus、AndrewSpecial、KeeFarce、SafetyKatz、 InveighZero、GadgetToJScript、SeatBelt、RuralBishop、Sharpview、SharpZeroLoginの各タグで追跡できます。私たちのCortex XDR Managed Threat Hunting Team (XDRマネージド脅威ハンティングチームMTH) は、すべてのCortex XDR Pro顧客ログを積極的に検索し、影響を受ける可能性のある組織を特定し、リスク評価を提供しています。
脅威防御は、コマンド&コントロールのビーコンに対する保護と、窃取されたツールが使用するネットワーク脆弱性のエクスプロイトに対する保護を提供します。次の表に、パロアルトネットワークスのユニバーサル脅威ID(UTID)と、提供されたFireEye SIDとをマッピングした概要を示します。
| Snort ルール | パロアルトネットワークスのUTID | FireEyeのSID |
| Backdoor.HTTP.BEACON.[CSBundle Original Stager] | 86215 | 25879 |
| Backdoor.HTTP.BEACON.[CSBundle MSOffice POST] | 86216 | 25889 |
| Backdoor.HTTP.BEACON.[CSBundle USAToday GET] | 86217 | 25892 |
| Backdoor.HTTP.BEACON.[CSBundle MSOffice Server] | 86219 | 25888 |
| Backdoor.HTTP.BEACON.[CSBundle Original GET] | 86220 | 25877 |
| Backdoor.HTTP.GORAT.[Build ID] | 86221 | 25850 |
| Backdoor.HTTP.BEACON.[CSBundle Original POST] | 86222 | 25878 |
| Backdoor.HTTP.GORAT.[SID1] | 86223 | 25848 |
| Backdoor.HTTP.BEACON.[CSBundle Original Server] | 86225 | 25874 |
| Backdoor.HTTP.BEACON.[CSBundle Original Server 3] | 86227 | 25876 |
表1 パロアルトネットワークスのUTIDとFyreEyeのSIDとのマッピング
| CVE | パロアルトネットワークスのUTID |
| CVE-2019-0708 | 55815 |
| CVE-2017-11774 | 56002 |
| CVE-2018-15961 | 38319 |
| CVE-2019-19781 | 57570, 57497 および 57625 |
| CVE-2019-3398 | 55567 |
| CVE-2019-11580 | 56036 |
| CVE-2018-13379 | 56365 |
| CVE-2020-0688 | 57947 および 57766 |
| CVE-2019-11510 | 56280 |
| CVE-2019-0604 | 55411, 57462 および 56363 |
| CVE-2020-10189 | 57801 |
| CVE-2019-8394 | 59061 |
| CVE-2020-1472 | 59336 |
| CVE-2018-8581 | 55152 |
| CVE-2016-0167 | 392102205 |
| CVE-2014-1812 | 90128 |
表2: CVE と UTID とのマッピング
結論
弊社製品をご利用中のお客様に対し、同侵害ならびに実際に識別されたすべての脅威に対する製品組み込みの保護は継続的に更新されます。パロアルトネットワークスは、FireEyeからの情報開示に感謝するとともに、本稿公開時点ではツールやツールのハッシュ値、関連サンプルはまだ一般に公開されていない点も強調しておきたいと思います。パロアルトネットワークスセキュリティリサーチャーの観点で、同侵害で最大の脅威は、FireEyeのインフラストラクチャへの侵入したアクターと彼らが侵入のために利用した技術です。現時点では、侵害や脅威アクターの戦術、技術、手順(TTP)に関する情報は公開されていません。お客様には、パロアルトネットワークスのリサーチャーが製品のエコシステム全体を確実に保護するため全力で取り組みを続けていることを知っておいていただければと思います。
更新履歴
| 2020-12-15 | 「お客様の保護について」のセクションに、以下のタグ名を追加しました。 AndrewSpecial、KeeFarce、SafetyKatz、 InveighZero、GadgetToJScript、SeatBelt、RuralBishop |
| 2020-12-15 | 「お客様の保護について」のセクションで、「XDR」を「Cortex XDR」に修正しました。 |
| 2020-12-15 | 表2 「CVEとUTIDとのマッピング」に最終行 CVE-2014-1812 と対応する PANW UTID の 90128 を追記しました。 |
脅威アクター グループ
脅威リサーチ
主なサイバー脅威
Unit 42 からの最新情報を取得