Threat Actor Attributionという単語をきいたことはありますでしょうか?
今回は、Cyber Threat Intelligenceの分野で重要なThreat Actor Attributionについて、以下の講演をもとに勉強してみたいと思います。
Threat Actor Attributionとは?
Threat Actor Attributionは、孫子の引用で説明されます。
彼を知り己を知れば、百戦して危うからず
攻撃者グループも人の集合であるため、グループごとのアイデンティティ・動機・犯罪の手口(modus operandi)などがあるという前提が存在します。攻撃を受けた際、その特徴を特定して、捜査機関の連携や次なる攻撃を防ぐために活用しようという技術です。
攻撃者の動向・攻撃の背景を押させることが次の攻撃を防ぐ重要な手段になりますし、それらをISAC(Information Sharing and Analysis Center)という組織に連携するなど、その活用は様々です。特に、Nation-State Sponsored Hackerが攻撃をしてくるであろう金融・インフラ・軍事産業などでは非常に重要に注目される技術です。
また、攻撃者の分析をすることで攻撃の意図、目的を知り、影響範囲を推定する上でも非常に重要な技術だと考えられます。
Hacker Tells
David Sassemanというポーカー選手の格言を引用して、ハッカーから得られる情報(Hacker Tells)について整理しています。
動画では、いくつか指摘されており、筆者独自にまとめてみました。
- 攻撃パターン:攻撃者の行動パターンからの推測
- 攻撃の時間帯・利用する攻撃の種類(Web攻撃・マルウェアの特徴)
- メタデータ:収集データのメタデータからの推測
- 攻撃に使われた文言・特定の文字列・言語・メタデータ・ファイル命名則。
- マルウェアなどは攻撃者が自身の情報をさらしていることと同値なので多数の情報が得られるため入念に分析することが望ましいとされています。
- 攻撃者リソース:攻撃者の利用するリソースを調査
- 攻撃環境(Exploit Kitの種類、攻撃インフラの特徴、XaaS*1の利用状況・環境の成熟度))
- 攻撃者の保有リソース(ドメイン・IP・メール・フリードメイン)
事例分析
動画の事例では、攻撃に使われたツールを収集して、攻撃者の特徴となるハンドル名・メールアドレスを発見、Maltagoを利用して可視化分析、その後整理されたドメイン情報を元にいくつかの分析ツールを使って情報を洗い出す方法を採用していました。
動画の中で使われていたツールは以下の通り。
- Central Ops:ネットワークコマンドのオンライン版
- Domain Tools:ドメイン・IPに関する情報を一斉に引っ張りだせるツール
- Passive DNS:過去のWHOIS情報を見れるツール(参考)
- CLEAR:Thomson Reutersが提供するバックグラウンドチェックツール
- Accurint:LexisNexisが提供するバックグラウンドチェックツール
- Spokeo:CLEAR・Accurientの廉価版
まとめ
このように見てみると、技術的に新しいことはなく基本的にはOSINT技術・IRで使うマルウェアやログ分析技術が中心です。この方向性を攻撃者の特定に使うのがThreat Actor Attributionだといえます。
別の具体事例を知りたい方は、過去ShmooConで参加したときに面白い講演があったのでそちらを参照されることをお勧めします。
但し、注意も必要だと思われます。以前の記事も書きましたが、Attributionに対応する技術も存在します。また、 民間企業にとってみれば、Attribution技術で対象を探し出しても意味がないという議論もあります。その辺の限界も含まれて利用することが必要だと考えられます。
*1:Ransomware as a Service、Malware as a Service、Phishing as a Serviceなどがある