Stuxnetとこの最先端のインターネットワームのリストに含まれる他のワームには、収集した情報を漏らすという特定の機能非常に密かにがありました。したがって、それはなんとかレーダーの下に行き、通常IDS /ファイアウォールによって気づかれずに行きました。 Stuxnetには、感染したマシンがP2P方式でRPC経由で他の感染したマシンに接続して更新する機能もありました。
ここでの私の質問:隠密になりがちで、レーダーの下に置かれる傾向があるマルウェアを検出できるインテリジェントUTM/IDSを使用するには、どのような追加または変更が必要になる可能性がありますか?
ここでは憶測を招きませんが、知識ベースの意見といくつかの素晴らしいアイデア...
私はいくつかの方法を考えることができます:
マルウェアはC&Cサーバーに接続します。トラフィックを監視する場合(敏感なシステムを監視する必要があるため)-兆候となる可能性のある異常なトラフィックを発見した場合(調査する必要がある場合)
マルウェアがUSBフラッシュドライブを使用して感染を拡大し、環境内に異なるコンピュータープラットフォーム(例:Windows、Mac、Linux、BSDシステム)がある場合、フラッシュドライブ上で実行可能な他のプラットフォームが表示されます。このようにして、マルウェアの実際の「サンプル」を分析できます。 (ほとんどのマルウェアはプラットフォーム固有です)。したがって、フラッシュドライブを非Windowsマシンに接続すると、感染のリスクなしにマルウェアファイルを確認できます)
ハニーポット-あなたはstuxnetがハニーポットに陥るにはスマートすぎると言っていましたが、ハニーポットとマルウェアのどちらが賢いかがすべてだと思います。一般的なハニーポットを使用している場合-マルウェアはそれを確実に無視しますが、ハニーポットが新しい手法を使用している場合-マルウェアによって検出されません。 DuquやFlameなどの高度に洗練された一部のマルウェアは、C&Cサーバーから指示された場合にのみ拡散するため、ハニーポットによる検出の脆弱性が大幅に低下することに注意してください。
これを書いた後、Stuxnetがどのように見つけられたかを見に行きました-感染したコンピューターで BSOD(死のブルースクリーン) を作成したバグのためにStuxnet自体が検出されました( ソース )。 研究者が別のマルウェアを探している間に炎が見つかりました。 Duquがどのように見つかったかはわかりませんでした。
だから私たちは皆とても賢いかもしれませんが、そのような洗練されたウイルスを見つけるために本当に必要なのは運です...
あなたの質問はより広い文脈で見ることができます:APT(高度な持続的脅威)スタイルの攻撃(別名標的型攻撃)を防ぐ方法)。
攻撃ベクトル
これまでに見てきたように、そのような攻撃のほとんどは、3つの攻撃ベクトルのいずれかを使用します(いくつかの例を示します)。
実際には、この3つの主な攻撃ベクトルはすべて、十分な規模のネットワークと多数の従業員を抱える大企業では100%防止できません。したがって、予防は最終的に失敗するため、検出機能に対する防御を構築する必要があります。しかし、誰もが知っているように、標的型攻撃の検出は困難であり、そのような攻撃は何年も気付かれずに実行される可能性があります APT1 Mandinat Report 。これらの攻撃で使用されるマルウェアのステルス性を主な理由として困難です。
ステルスネス
標的型攻撃のステルス性は、この種の攻撃の実行に使用されるマルウェアがカスタムマルウェアであるという事実に基づいています。これは、AVソフトウェアではこれまで実際には見られなかった、IDSシステムにはシグネチャがないなどです。
このような攻撃に対する防御の概念はまだ出現しており、いくつかの注目すべき例があります。
脅威インテリジェンスとキルチェーンに基づくロッキードマーティンのアプローチ( link1link2 )
OR
RSAとCenter for Internet Securityのサイバーリスクインテリジェンスアプローチ( link1link2 )
Stuxnetは主要なエンティティ(政府など)によって作成されたと考えられています。これは、Stuxnetが何をしているかを十分に理解し、検出を非常に困難にした専門家によって作成されたことを意味します。実際、彼らは、特に攻撃している知識、製品、または技術を所有するさまざまな企業と協力することができたでしょう。そうは言っても、この種のマルウェアを検出する最善の方法は、事後対応よりも積極的なポリシーベースのセキュリティ(つまり、シマンテッククリティカルシステム保護)を使用することだと思います。この種のポリシーベースのテクノロジーを使用すると、システムが実行することを制限できますonlyシステムから期待される特定のアクティビティ。たとえば、セキュリティポリシーはすべてのRPC通信をブロックするとなるように設定できます。 RPC通信が発生している場合、警告メッセージログがトリガーされます。これらの警告メッセージは、ツールの中央のレポートコンソールを使用して相互に関連付けることができ、システムの動作と、システムが通常の動作からどのように離れているかについての差異を検出します。
他の人が私を訂正するかもしれませんが、Stuxnet攻撃のユニークな点は、StuxnetがSiemensソフトウェアとしてデジタル署名されていることです。シーメンスの制御システムを対象としていたため、シーメンスによって署名されたアプリケーションはすでに信頼されていた可能性が高いため、1つの防御層が役に立たなくなりました。もちろん、それを行うには、誰かがシーメンスのアプリケーション署名証明書をリバースエンジニアリングするか、シーメンスをハッキングして秘密キーのコピーを入手するか、シーメンスに協力するように強制する必要がありました...
私はインテリジェント IDSについては知りませんが、署名されているという理由だけでバイナリを無視しない、ダムベースのIDS(ファイル整合性チェッカー)は、MS-WindowsとSCADAの両方で問題を検出します。
より洗練された対策については... DNSトラフィックのアクティブな監視(および環境の適切な分離)により、C&Cへの接触の試みが検出されます。異常なネットワークトラフィックの監視/検出mayがスキャンとRPCアクティビティを検出しました。
3つすべての手法は現在でも有効であり、他のマルウェアにも適用できますが、特定の国の状態から保護するための非常に現実的な要件がある場合は、これ以上のことを行う必要があります。