サイバーセキュリティ チュートリアル

Unit 42 Wireshark クイズ 2023年3月: 問題編 − Goziを追え

Clock Icon < 1 min read

This post is also available in: English (英語)

概要

パロアルトネットワークスUnit 42のTwitterアカウントは、2023年3月6日(月)、イタリアを標的とするマルウェア、Gozi (ISFB/Ursnif)についてのツイートをしました。ISFBやUrsnifなどの名前でも知られるGoziマルウェアとその亜種は、ここ数年のサイバー脅威情勢にいつも顔を出していて、感染後のアクティビティでは、はっきりそれとわかるトラフィック パターンを残します。

今月のUnit 42 Wiresharkクイズでは、このGoziへの感染がActive Directory (AD)環境で起きた場合に生じる実際のトラフィックを解析していきます。参加者の皆さんには、ネットワーク アクティビティをもとにクイズを出します。解答編は後日、べつのブログで公開します。

感染時のパケットキャプチャ(pcap)を確認し、クイズの質問に答えてください。本クイズは、業務として不審なネットワーク アクティビティの確認をされているセキュリティ専門家を読者として想定していますが、どなたでもご参加いただけます。Wiresharkにある程度なじみがあり、基本的なネットワーク トラフィックの概念を理解している方にもっとも効果的な内容となっています。

パロアルトネットワークスのお客様は、WildFire高度な脅威防御などのクラウド型セキュリティサービスを有効にした次世代ファイアウォールCortex XDRによりGoziをはじめとするマルウェアからの保護を受けています。

関連するUnit 42のトピック Gozi, ISFB, pcap, Ursnif, Wireshark, Wireshark Tutorial

シナリオ

「脅威ハントをしていたところ、Unit 42アカウントからのツイートで確認したものと同じアクティビティが、自組織でも2023年3月7日(火) 02:07 UTC 頃に発生していたことがわかった」というシナリオを考えます。

今月のクイズ問題用のローカル エリア ネットワーク (LAN) の詳細は以下の通りです。

  • LANセグメントの範囲: 172.16.1[.]0/24 (172.16.1[.]1から172.16.1[.]255)
  • ドメイン: pcapworkshop[.]net
  • ドメイン コントローラーのIPアドレス: 172.16.1[.]16
  • ドメイン コントローラーのホスト名: PCAPWORKSHOP-DC
  • LANセグメントのゲートウェイ: 172.16.1[.]1
  • LANセグメントのブロードキャスト アドレス: 172.16.1[.]255

セキュリティ オペレーション センター(SOC)からpcapが提供され、皆さんは、「誰が感染したか」を特定することになりました。さらに、今月のクイズ用pcapからの指標とUnit 42が以前に報告したこのGoziアクティビティの指標との間に何か顕著な違いがあるかどうかも確認する必要があります。

前提条件

本クイズではpcapファイルをレビューするのにWiresharkが必要です。ただし、WireSharkのデフォルト設定はマルウェアが通常生成するようなWebベースのトラフィックには最適化されていないので、私たちはWiresharkインストール後の設定のカスタマイズをお勧めしています。このカスタマイズ方法を含む情報を一連のチュートリアルとビデオで公開していますので、まだご覧になっていない場合は演習前にご確認ください。

また私たちはWiresharkの3.xまたはそれ以降のバージョンのご利用をお勧めします。以前のWiresharkバージョンより機能・性能ともに上がり、不具合も修正されています。

また、悪意のあるトラフィックの分析には、BSD、Linux、macOSなど、Windows以外の環境の利用をお勧めします。マルウェアのトラフィックには、Microsoft Windowsを標的とする悪意のあるコードが含まれることがあります。したがってWindowsコンピュータを使って分析を行うと感染のリスクがあります。

教材

今月のクイズのpcapを入手するにはこちらのGitHubリポジトリにアクセスしてください。ZIPアーカイブをダウンロードして以下の図1と図2のようにpcapファイルを展開してください。展開用パスワードは「infected」です。

画像1はWiresharkソフトウェアのスクリーンショットで、GitHubからzipアーカイブをダウンロードするにあたってクリックすべき場所を示しています。上に表示されているウィンドウはどこにzipファイル名を入力するかを示しています。
図1. GitHubリポジトリからpcapを含むZIPアーカイブをダウンロードしているところ
画像2は、ダウンロードフォルダからパスワードで保護された.zipアーカイブを展開する際に、パスワードを入力し、展開先を指定する方法を示しています。
図2. パスワードで保護されたZIPアーカイブからpcapファイルを展開したところ

問題

今月のWiresharkクイズでは以下の質問に答えてください。

  • 感染したWindowsクライアントのIPアドレス、ホスト名、Windowsユーザーアカウント名
  • 感染したWindowsホストからダウンロードされたZipアーカイブのURLとSHA-256ハッシュ
  • 今回のGozi感染による指標とUnit 42が報告した2023年3月6日のGozi感染による指標との間に何か顕著な違いはあるか

結論

パロアルトネットワークスは、セキュリティ コミュニティがつねにスキルを磨くことで、犯罪者やサイバー脅威から自組織をよりよく保護できるようにすることを推奨しています。今月のWiresharkクイズに答えることで、現在の脅威情勢に登場するさまざまなマルウェア ファミリーの1つ、Goziをうまく検出できるようになります。

今月のUnit 42 Wiresharkクイズの解答編は後日、べつのブログ記事で公開予定です。

パロアルトネットワークスのお客様は、WildFire高度な脅威防御などのクラウド型セキュリティサービスを有効にした次世代ファイアウォールCortex XDRによりGoziをはじめとするマルウェアからの保護を受けています。

侵害の懸念があり弊社にインシデントレスポンスに関するご相談をなさりたい場合は、こちらの問い合わせフォームからご連絡いただくか、infojapan@paloaltonetworks.comまで電子メールにてご連絡いただくか、下記の電話番号までお問い合わせください(ご相談は弊社製品のお客様には限定されません)。

  • 北米フリーダイヤル: 866.486.4842 (866.4.UNIT42)
  • 欧州: +31.20.299.3130
  • アジア太平洋: +65.6983.8730
  • 日本: +81.50.1790.0200

追加リソース

Tags

目次

関連記事

関連項目 サイバーセキュリティ チュートリアル リソース

category iconラーニング ハブ

[2024-03-04 JST 改訂] Wireshark によるパケット解析講座 4: Pcapからのオブジェクトのエクスポート
今すぐ読む Right arrow
A man wearing headphones with a microphone is focused on multiple computer screens displaying graphs and data, indicating involvement in a professional tech or analytics environment.
category iconラーニング ハブ

Wireshark によるパケット解析講座 3: ホストとユーザーを特定する (2023-10-11 更新)
今すぐ読む Right arrow
An abstract illustration of a video that has been paused. It includes a red progress bar and a large white Play button.
category iconラーニング ハブ

Wireshark によるパケット解析講座 2: 脅威インテリジェンス調査に役立つフィルタリング設定 (2023-09-29 日更新)
今すぐ読む Right arrow
A man wearing headphones with a microphone is focused on multiple computer screens displaying graphs and data, indicating involvement in a professional tech or analytics environment.
category iconラーニング ハブ

Wireshark によるパケット解析講座 1: Wiresharkの表示列をカスタマイズする (2023-09-28 更新)
今すぐ読む Right arrow
A person focuses intently on a screen, with many lines of code on the monitor reflected in their glasses.
category iconラーニング ハブ

Unit 42 Wireshark クイズ 2023年8月: 解答編 − RedLine Stealer
今すぐ読む Right arrow
Person wearing glasses and a hoodie, sitting in a dimly lit room, focused on a computer screen displaying complex data visualizations.
category iconラーニング ハブ

Unit 42 Wireshark クイズ 2023年8月: 問題編 − RedLine Stealer
今すぐ読む Right arrow
A man wearing headphones with a microphone is focused on multiple computer screens displaying graphs and data, indicating involvement in a professional tech or analytics environment.
category iconラーニング ハブ

Unit 42 Wireshark クイズ 2023年4月: 解答編 − IcedIDの特定
今すぐ読む Right arrow
A woman is intently working on a computer in a modern office environment, surrounded by screens displaying dynamic digital data and stock market numbers, highlighting a focus on financial analysis.
category iconラーニング ハブ

Unit 42 Wireshark クイズ 2023年4月: 問題編 − IcedIDの特定
今すぐ読む Right arrow
Two people working in a modern office environment with one person concentrating on a computer screen displaying code while another person works in the background.
category icon脅威アクター グループ

すべては名のなかに: Unit 42による脅威攻撃者の定義・追跡手法
今すぐ読む Right arrow
A Black man in business attire using a tablet, with illuminated skyscrapers in the background.
category iconラーニング ハブ

Unit 42 Wireshark クイズ 2023年3月: 解答編 − Goziを追え
今すぐ読む Right arrow
Enlarged Image

Default Heading

Read the article Right Arrow