レッドチームとペネトレーションテスター必読:LOTL から C2フレームワークへ | ScanNetSecurity
2024.06.14(金)

レッドチームとペネトレーションテスター必読:LOTL から C2フレームワークへ

Black Hat USA の Briefings でハッキングツールやフレームワークの詳細オペレーションが解説されたのは珍しい。

研修・セミナー・カンファレンス セミナー・イベント
F-Secureのシニアコンサルタント:James Coote氏、Alfie Champion氏
F-Secureのシニアコンサルタント:James Coote氏、Alfie Champion氏 全 5 枚 拡大写真

 脆弱性診断やペネトレーションテストにおいて、演習や訓練として実施されるレッドチームとブルーチームによる模擬攻防戦がある。近年、レッドチーム(攻撃側)の環境として「 C2 フレームワーク」の利用が増えている。

 C2 フレームワークとはなにか。それを使った模擬攻防戦で見えてくる攻撃チャネルと検知方法とは。本稿では、昨夏「BlackHat USA 2021」で行われたセッション「I'm a Hacker Get Me Out of Here! Breaking Network Segregation Using Esoteric Command & Control Channels(オレはハッカーだ ここから出しやがれ! 密教のコマンド&コントロール・チャンネルを使ったネットワーク分離の打破)」の講演内容をもとに要旨を解説する。

●レッドチーム/ブルーチームによるサイバー演習

 システムの脆弱性診断を行うとき、あるいは自社 CSIRT のスキル向上や演習目的で、攻撃チーム(レッドチーム)と防御チーム(ブルーチーム)に分かれて、攻防を競うことがある。攻防の場となるシステム環境は、実稼働システムを使うわけにはいかないので、ラボ環境や仮想環境において行われることが多い。

 レッドチームは、現実のハッカーさながらシステムの脆弱性や侵入ポイントを探し、既知の攻撃手法を試す。ブルーチームはその活動や痕跡をいち早く検知し、防御または脅威の排除を行う。この過程で、システムに潜む脆弱性や攻撃ポイントを明らかにし、対策に役立てる。また、チームメンバーは攻防にかかわらず、システムの弱点、防御ポイント、検知方法などの知見を得て、インシデント対応スキルを磨くことにもなる。

 攻撃者(レッドチーム)はなるべく検知されるのを避けたいので、あからさまなマルウェアの注入や活動より LOTL( Living off the Land :自給自足型)手法を用いることが多い。LOTL とは、システムにインストールされているツールや OS、アプリの正規機能を悪用することで、検知を回避する手法だ。侵入は脆弱性攻撃やハッキングのような活動が必要かもしれないが、侵入してしまったあと、マルウェアの導入、バックドア設置、RAT のインストール、ネットワーク内の探索、C2 との通信はなるべく隠密行動が望ましい。LOTL なら、ログファイルにも不審な行動が残りにくい。実際の攻撃も侵入後の探索や横展開(ラテラルムーブメント)では LOTL 攻撃が多様される。

●オープンソースや商用版もある C2 フレームワーク

 だが、セキュリティベンダーやソフトウェアベンダーも手をこまねいているわけではない。LOTL 対策のため、ログ解析や検知アルゴリズムを改良し、検知精度を上げたり、そもそも不正な操作ができない仕組みを開発・投入している。

 その結果、ペネトレーションテストやレッドチーム・ブルーチーム演習でもツールや環境も変わってきた。主に攻撃側だが、LOTL が使いにくいシステムでも探索やコマンド実行がしやすいように「C2フレームワーク」が開発された。Cobalt Strike の商用サービスが有名だが、オープンソースで運営される C2 フレームワークも存在する。

 講演のスピーカーである James Coote 氏、Alfie Champion 氏は、ともに F-Secure のシニアコンサルタントだ。同社は「 C3 」という名の C2 フレームワークを持っているので、攻防ポイントの解説は、同社のラボに作られたシステム環境に対して Slack を通じて C3 を接続した環境でデモを交えて行われた。C3フレームワークは、Cobalt Strike や Covenant( OSS の C2 フレームワーク)とも連携して、これらの機能を利用することもできる。


《中尾 真二( Shinji Nakao )》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 役に立たないメール訓練 もうやめません? by Googleセキュリティ担当者

    役に立たないメール訓練 もうやめません? by Googleセキュリティ担当者

  2. 不正アクセス 盗まれたのは公式サイトのドメイン

    不正アクセス 盗まれたのは公式サイトのドメイン

  3. KADOKAWA グループ複数サイトで障害、サイバー攻撃の可能性

    KADOKAWA グループ複数サイトで障害、サイバー攻撃の可能性

  4. PR会社が利用するクラウドストレージに不正アクセス、PDFや画像など静的データ削除

    PR会社が利用するクラウドストレージに不正アクセス、PDFや画像など静的データ削除

  5. イセトーにランサムウェア攻撃、複数のサーバと PC が暗号化被害

    イセトーにランサムウェア攻撃、複数のサーバと PC が暗号化被害

  6. 失業後データ盗み大手 IT 企業を恐喝、セキュリティコンサルタント 57 歳起訴

    失業後データ盗み大手 IT 企業を恐喝、セキュリティコンサルタント 57 歳起訴

  7. 海外サイトに顧客情報が掲載 ~「転職支援サイト」 に不正アクセス

    海外サイトに顧客情報が掲載 ~「転職支援サイト」 に不正アクセス

  8. 公開範囲「パブリック」で生徒の個人情報アップロード、都立高校教諭が Microsoft Teams に

    公開範囲「パブリック」で生徒の個人情報アップロード、都立高校教諭が Microsoft Teams に

  9. IPA、中小企業向けの内部不正防止対策の報告書公開

    IPA、中小企業向けの内部不正防止対策の報告書公開

  10. 九州電力グループのキューヘンにランサムウェア攻撃、社内情報の一部が暗号化被害

    九州電力グループのキューヘンにランサムウェア攻撃、社内情報の一部が暗号化被害

ランキングをもっと見る