脆弱性診断やペネトレーションテストにおいて、演習や訓練として実施されるレッドチームとブルーチームによる模擬攻防戦がある。近年、レッドチーム(攻撃側)の環境として「 C2 フレームワーク」の利用が増えている。
C2 フレームワークとはなにか。それを使った模擬攻防戦で見えてくる攻撃チャネルと検知方法とは。本稿では、昨夏「BlackHat USA 2021」で行われたセッション「I'm a Hacker Get Me Out of Here! Breaking Network Segregation Using Esoteric Command & Control Channels(オレはハッカーだ ここから出しやがれ! 密教のコマンド&コントロール・チャンネルを使ったネットワーク分離の打破)」の講演内容をもとに要旨を解説する。
●レッドチーム/ブルーチームによるサイバー演習
システムの脆弱性診断を行うとき、あるいは自社 CSIRT のスキル向上や演習目的で、攻撃チーム(レッドチーム)と防御チーム(ブルーチーム)に分かれて、攻防を競うことがある。攻防の場となるシステム環境は、実稼働システムを使うわけにはいかないので、ラボ環境や仮想環境において行われることが多い。
レッドチームは、現実のハッカーさながらシステムの脆弱性や侵入ポイントを探し、既知の攻撃手法を試す。ブルーチームはその活動や痕跡をいち早く検知し、防御または脅威の排除を行う。この過程で、システムに潜む脆弱性や攻撃ポイントを明らかにし、対策に役立てる。また、チームメンバーは攻防にかかわらず、システムの弱点、防御ポイント、検知方法などの知見を得て、インシデント対応スキルを磨くことにもなる。
攻撃者(レッドチーム)はなるべく検知されるのを避けたいので、あからさまなマルウェアの注入や活動より LOTL( Living off the Land :自給自足型)手法を用いることが多い。LOTL とは、システムにインストールされているツールや OS、アプリの正規機能を悪用することで、検知を回避する手法だ。侵入は脆弱性攻撃やハッキングのような活動が必要かもしれないが、侵入してしまったあと、マルウェアの導入、バックドア設置、RAT のインストール、ネットワーク内の探索、C2 との通信はなるべく隠密行動が望ましい。LOTL なら、ログファイルにも不審な行動が残りにくい。実際の攻撃も侵入後の探索や横展開(ラテラルムーブメント)では LOTL 攻撃が多様される。
●オープンソースや商用版もある C2 フレームワーク
だが、セキュリティベンダーやソフトウェアベンダーも手をこまねいているわけではない。LOTL 対策のため、ログ解析や検知アルゴリズムを改良し、検知精度を上げたり、そもそも不正な操作ができない仕組みを開発・投入している。
その結果、ペネトレーションテストやレッドチーム・ブルーチーム演習でもツールや環境も変わってきた。主に攻撃側だが、LOTL が使いにくいシステムでも探索やコマンド実行がしやすいように「C2フレームワーク」が開発された。Cobalt Strike の商用サービスが有名だが、オープンソースで運営される C2 フレームワークも存在する。
講演のスピーカーである James Coote 氏、Alfie Champion 氏は、ともに F-Secure のシニアコンサルタントだ。同社は「 C3 」という名の C2 フレームワークを持っているので、攻防ポイントの解説は、同社のラボに作られたシステム環境に対して Slack を通じて C3 を接続した環境でデモを交えて行われた。C3フレームワークは、Cobalt Strike や Covenant( OSS の C2 フレームワーク)とも連携して、これらの機能を利用することもできる。
