2016年08月13日

ランサムウエア対策とSIEM(補足)

先日、ランサムウエアに感染していたPCを検知した記事の補足版です。
(アンチマルウエアソフトウエアがインストールされておらず、開発目的のために持込されていたWindowsとLinuxのPCでした。)

Alienvaultの以下の機能と統合処理されたログからランサムウエアに感染していたPCを検知して被害が拡散する前に対処することができました。

1. IDS
2. OTS (Open Threat Exchange)
3. Reputation IP
4. DHCP log
5. Syslog (Radius)
6. Eventlog (AD認証)
7. アラート機能


それぞれの補足です。
1. IDS
インターネットDMZとインターネットルータが繋がっているVLANをすべてミラーポートに複製し、そのポートをAlienvaultに接続します。
AlienvaultのIDS機能を有効化すると複製されたパケットの送信元・あて先IPアドレス、ポート、ヘッダを検査し、シグネチャーとマッチしてくれます。
今回ランサムウエアを検知したときは、ある内部IPアドレスが外部の複数のレピュテーションIPのフラグがたっている外部のIPアドレスとTOR SSLで通信しているアラートが検知のきっかけです。
また、以下の情報を利用しながらイベントの検証を行い、PCとそのユーザを特定しました。

2. OTE (Open Threat Exchange)
AlienVault - Open Threat Exchange (https://otx.alienvault.com/)はフリーアカウントを作成し脅威情報を交換することができるコミュニティです。
IPアドレス、URL、ファイルのハッシュ値などの情報をパルスという形で投稿することができます。
利用者は、アカウントをサブスクライブする形で、パルスを自ら運用するAlienvaultに取り込むことができます。
オープンコミュニティなので情報が掲載されるスピードは速いですが、誤情報も混じっています。
最初はAlienvaultの公式アカウントをサブスクライブし、感覚がつかめてきたら他のユーザをサブスクライブするのが良いと思います。
TOR SSLのイベントに関してもOTE上のランサムウエアのC&C通信に関するパルスとヒットしていました。

3. Reputation IP
OTEで交換される情報の一部ですが、レピュテーションIP情報はアラートをモニタリングする上で重要な情報です。

4. DHCP log
Alienvaultはアセット管理機能があります。
DHCPでオファーされたIPアドレスとホスト名、MACアドレス、推測されるOSの情報をアセット管理機能に更新します。
今回も、TOR SSLで通信していたIPアドレスをアセット管理機能で検索し、OS、MACアドレスを調べました。
今回はすべて有線LANのIPアドレスだったので当該MACアドレスがどのネットワーク機器のインターフェースに接続されているかを調べてPCの所在地を特定しました。

5. Syslog (Radius)
6. Eventlog (AD認証)
それぞれ、ユーザ認証のログをAlienvaultに取り込んでいるので、TOR SSLので通信していたIPアドレスからの認証ログを検索し利用しているユーザを特定しました。
AlienvaultのSIEM機能から検索することもできますが、IPアドレスが特定されている場合、アセット管理機能で該当資産を検索すると、その試算に係わる詳細情報をそのメニューの中で検索することができます。
具体的には、関連するアラート、イベント、脆弱性、稼動しているサービスなどが一元的に参照できます。

7. アラート機能
Alienvault USM5.3からアラートのプライオリティが3段階(Low, Medium, High)に集約されました。
アラート機能ではとにかくAlienvaultが検知したリスクイベントがプライオリティ付けされ列挙されます。
アラートの種類やプライオリティの計算方法は別途まとめたいと思います。
今回はTOR SSLとランサムウエアのC&CコミュニケーションのアラートがプライオリティMediumとしてあがっていました。

なお、予断ですが、アラーと機能を運用するには断捨離の精神が必要です。
とにかく古いJavaの使用、GoogleIM/SkypeIMなどチャット、BittorentなどP2P、VNC,Teamviewerなど画面共有アプリケーションなどが使用されたというアラートなどが大量に出ます。
許可しているもの、リスクが高くないと判断するものなどはフィルターする必要があります。
フィルターの仕方も別途まとめたいと思います。


とにかく、SIEMは入れて終わりではなく運用が重要です。
今回はランサムウエアの検知の実務経験をご参考までにまとめました。

【関連する記事】
posted by 目指せ! at 22:22| Comment(0) | TrackBack(0) | Ramsomeare | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント:


この記事へのトラックバック