もちもちしている

おらんなの気まぐれブログ

Lockheed Martin - Cyber Kill Chain

この記事は情報セキュリティ系論文紹介 Advent Calendar 2015の記事です.

Lockheed Martinの"Cyber Kill Chain"についての紹介です.

http://www.lockheedmartin.com/content/dam/lockheed/data/corporate/documents/LM-White-Paper-Intel-Driven-Defense.pdf

はじめに

この"Cyber Kill Chain"が提唱されたのは2009年とやや古いですが,標的型攻撃対策で注目されている手法なのでご紹介致します.

また,ロッキード・マーティンはアメリカの軍需産業で有名な会社だけあって,着想が軍事的です.

この論文は,標的型攻撃の流れを定義することで「攻撃者の行動を予測し,どこかで流れを断ち切ることができれば目的の達成は困難になるはずだ」というインシデント・レスポンスの考え方です.

標的型攻撃について

標的型攻撃とは,企業や政府機関など特定の攻撃対象に絞り,対象の内部情報を入念に調査し,その調査に基づいて対象に最適な攻撃方法を組み合わせて行われるサイバー攻撃です*1.

標的型攻撃の代表的な手法として,攻撃対象の職員に対して,マルウェアを添付,あるいはDrive by Download攻撃*2が行われるサイトのリンクを貼付けたメールを送りつけます.標的型攻撃で使われるメールは,攻撃者の事前調査によって,業務と見分けがつかないように偽装されています.

メールの受信者がこの偽装に気づかず,添付されたファイルを開いたり,リンクを踏んだりすることによって,受信者の端末はマルウェアに感染します.日本年金機構も偽装メールでマルウェア(Emdiviの亜種)に感染しましたが,標的型攻撃に使われるマルウェアアンチウイルスソフトで検知できないことが多いです.

端末に感染したマルウェアはその後,バックドアの開設,C&C(Command & Control)サーバ*3と通信して攻撃ツールのインストール,ネットワーク環境に関する情報収集などを行い,攻撃に必要な基盤構築をします.十分な環境が整ったところで,他の端末にも感染活動を行い攻撃を拡大させていくことで,情報の窃盗や改ざん・破壊することで目的を達成します.

Cyber Kill Chain

上記に標的型攻撃の概要を書きました.もう既に気づいているかもしれませんが,標的型攻撃を行うにあたり,一連の流れが見えてきたはずです.

Cyber Kill Chainの基本的な考えは,この標的型攻撃における攻撃者の行動を,軍事行動の一連の流れと見立てたものです.

その図を以下に示します. f:id:olanleed:20151220011403p:plain

このフェーズが進んでいくにつれて,攻撃は深化していきます.

フェーズ1:Reconnaissance(偵察)

攻撃対象の内部情報(システム,組織図,取引先,非公開のメールアドレスなど)を収集

フェーズ2:Weaponization(武器化)

攻撃対象に合わせて攻撃コード(エクスプロイト)とマルウェア,デリバリーシステムを作成

フェーズ3:Delivery(調達)

取引相手・業務メールに見立てて偽装し,マルウェアを添付したメールを送付 あるいは対象をマルウェアを仕込んだ攻撃サイトに誘導
メールにマルウェアを添付する場合,マルウェアはWordやpdfなどのファイルのアイコンに偽装されていることがほとんどである(ドロッパーという)

フェーズ4:Exploitation(エクスプロイト

受信者にメールの添付ファイルを開かせる
あるいはWord,Adobe ReaderAdobe FlashJavaなどの脆弱性を利用して攻撃コードを実行

フェーズ5:Installation(インストール)

フェーズ4によりメールに添付したマルウェアの実行
またはエクスプロイトによってマルウェアがインストールされる

フェーズ6:Command and Control(C2)

マルウェアがCommand and Controlと接続
追加でマルウェアや必要なツールを落としてくることがある

フェーズ7:Actions on Objectives(目的の達成)

攻撃と感染活動を拡大させ,目的データの窃盗・改ざん・破壊
開設したバックドアを用いて再度攻撃を仕掛けてくることがある

Courses of Action

被害の深化を防ぐためには上記のキルチェーンを断ち切ることです.防御側は攻撃を予測して対応を準備しておきます.

ある段階で防御に失敗しても,次の段階で食い止められるように多層的な防御を意識してツールを導入することが重要です.

f:id:olanleed:20151220004550p:plain

おわりに

現在はC2とActions on Objectivesの間に"Lateral Movement/Pivoting(感染活動)"が追加され,情報セキュリティにおける標的型攻撃向けに改良した"Cyber Kill Chain 3.0"が提唱されています.

標的型攻撃には,こうした攻撃の流れを意識した多層防御も有効です.

*1:コンピュータシステムやネットワークに侵入し,情報やデータの窃盗・改ざん・破壊やサービスの提供を阻害する攻撃のこと

*2:サイトを閲覧しただけで秘密裏にマルウェアがダウンロード・実行される仕組みのこと

*3:マルウェアを感染させて踏み台にしたコンピュータを制御したり命令を出したりするサーバのこと