RATを捕まえるには、何が必要なのか？

エンドポイントのセキュリティ対策をすり抜けることにこだわった悪質な侵入方法は、長い間存在しています。最近リリースされた Bootholeとして知られている脆弱性（CVE-2020-10713）もこのタイプになります。そこでなぜ多くのセキュリティ担当者はいまだにこの問題の対応策として、同じ古いソリューションの上に改善を重ね続けるのでしょうか？  検出と応答について再考し、攻撃者が検出したり回避したりすることができない唯一のソース、つまりネットワークからのデータを使用する時期に来ていると言えるのではないでしょうか？

持続的標的型攻撃（APT）グループが、永続化とデータ抽出ポイントとして環境内のLinuxサーバを狙うことは珍しくありません。OSを再インストールした後でさえも、サーバ上で永続性を維持するというだけでも厄介ですが、これは能力のほんの一部にしかすぎません。このような脆弱性の一つであるコードネーム「Boothole」は、最近Eclypsium社の研究者によって発見されました。この脆弱性は、ほとんどのLinuxシステムで利用されているGRUB2ブートローダにあり、セキュアブートが有効になっている場合でも、ブートプロセス中に任意のコードを実行されてしまう可能性があります。この脆弱性を悪用した攻撃者は、OSの再インストールも耐え抜き、被害者のデバイスをほぼ完全に制御できる、永続的かつステルスなブートキットや悪意のあるブートローダを導入することができます。

エンドポイント検出ツールはこの層の上で動作するため、攻撃者のアクティビティを見ることができません。このような技術を悪用した攻撃者を検出して排除する唯一の方法は、デバイスを遠隔操作する際に残したネットワークの痕跡を調べることだけです。BlackBerry社の調査で、ここ10年を「リモートアクセス型トロイの木馬（RAT）の10年」と呼んでいるのも納得できるかと思います。

では、ネットワークデータを使ってどうやってRATを探し出すことができるのでしょうか？その秘密は、脅威モデルの振る舞いにあります。Vectra AIの脅威検知チームは、RATの多数のサンプルを分析することで、通常のものと比較して、RATの通信パターンの違いを特定しました。

上記の例は、2 つのTCPセッションで転送されたデータの時系列プロットです。最初のTCP セッションはRATのトラフィックを表し、2 番目のTCPセッションは通常のインターネットトラフィックを表しています。RATの時系列では、受信バイトのスパイクと送信バイトのスパイクが見られます。これらのスパイクが交互に発生しているのは、外部の攻撃者からコマンドが発行され、感染したホストが応答していることを示しています。これを通常のTCPセッション・トラフィックと比較すると、明らかな違いがあります。ライブ・ネットワークでは、データ量の多さ、通信の違いの微妙さ、通信が暗号化されている可能性のある単一のTCPセッション内で行われているという事実を考えると、このような違いを人間が見分けることはほぼ不可能です。

人間にとって実際のトラフィックを見て違いを判断するのは難しいことですが、何千ものサンプルを見てきたAIモデルは、この違いを見分けることに長けています。具体的には、長・短期記憶（LTSM）として知られるディープラーニングアーキテクチャは再帰型ニューラルネットワークが時間をかけて「記憶」を保持することで、この特定タイプのデータで動作するように特別に設計されています。LSTMベースのAIモデルを適用してネットワークデータ中のRATの通信パターンを探すことで、観察された振る舞いに基づいてリアルタイムかつ高忠実度で検出することができます。このアプローチの優れた点は、その有効性にあります。特定のツールやインプラントに関係なく動作し、暗号化されないためトラフィックの暗号解読を必要としません。

Vectra AIの脅威検知アプローチは、人による専門知識、幅広いデータサイエンス、さらに高度な機械学習技術を融合しています。このモデルでは、最先端の研究、グローバルおよびローカル学習モデル、ディープラーニング、ニューラルネットワークに基づいた脅威検知の連続的なサイクルを実現します。データサイエンスへのアプローチの詳細については、ホワイトペーパーを確認いただくか、Vectra Cognitoのデモ体験を通して、ぜひご自身の目でお確かめください。

‍