レッドチームとペネトレーションテスター必読:LOTL から C2フレームワークへ | ScanNetSecurity
2024.02.28(水)

レッドチームとペネトレーションテスター必読:LOTL から C2フレームワークへ

Black Hat USA の Briefings でハッキングツールやフレームワークの詳細オペレーションが解説されたのは珍しい。

研修・セミナー・カンファレンス セミナー・イベント
F-Secureのシニアコンサルタント:James Coote氏、Alfie Champion氏
F-Secureのシニアコンサルタント:James Coote氏、Alfie Champion氏 全 5 枚 拡大写真

 脆弱性診断やペネトレーションテストにおいて、演習や訓練として実施されるレッドチームとブルーチームによる模擬攻防戦がある。近年、レッドチーム(攻撃側)の環境として「 C2 フレームワーク」の利用が増えている。

 C2 フレームワークとはなにか。それを使った模擬攻防戦で見えてくる攻撃チャネルと検知方法とは。本稿では、昨夏「BlackHat USA 2021」で行われたセッション「I'm a Hacker Get Me Out of Here! Breaking Network Segregation Using Esoteric Command & Control Channels(オレはハッカーだ ここから出しやがれ! 密教のコマンド&コントロール・チャンネルを使ったネットワーク分離の打破)」の講演内容をもとに要旨を解説する。

●レッドチーム/ブルーチームによるサイバー演習

 システムの脆弱性診断を行うとき、あるいは自社 CSIRT のスキル向上や演習目的で、攻撃チーム(レッドチーム)と防御チーム(ブルーチーム)に分かれて、攻防を競うことがある。攻防の場となるシステム環境は、実稼働システムを使うわけにはいかないので、ラボ環境や仮想環境において行われることが多い。

 レッドチームは、現実のハッカーさながらシステムの脆弱性や侵入ポイントを探し、既知の攻撃手法を試す。ブルーチームはその活動や痕跡をいち早く検知し、防御または脅威の排除を行う。この過程で、システムに潜む脆弱性や攻撃ポイントを明らかにし、対策に役立てる。また、チームメンバーは攻防にかかわらず、システムの弱点、防御ポイント、検知方法などの知見を得て、インシデント対応スキルを磨くことにもなる。

 攻撃者(レッドチーム)はなるべく検知されるのを避けたいので、あからさまなマルウェアの注入や活動より LOTL( Living off the Land :自給自足型)手法を用いることが多い。LOTL とは、システムにインストールされているツールや OS、アプリの正規機能を悪用することで、検知を回避する手法だ。侵入は脆弱性攻撃やハッキングのような活動が必要かもしれないが、侵入してしまったあと、マルウェアの導入、バックドア設置、RAT のインストール、ネットワーク内の探索、C2 との通信はなるべく隠密行動が望ましい。LOTL なら、ログファイルにも不審な行動が残りにくい。実際の攻撃も侵入後の探索や横展開(ラテラルムーブメント)では LOTL 攻撃が多様される。

●オープンソースや商用版もある C2 フレームワーク

 だが、セキュリティベンダーやソフトウェアベンダーも手をこまねいているわけではない。LOTL 対策のため、ログ解析や検知アルゴリズムを改良し、検知精度を上げたり、そもそも不正な操作ができない仕組みを開発・投入している。

 その結果、ペネトレーションテストやレッドチーム・ブルーチーム演習でもツールや環境も変わってきた。主に攻撃側だが、LOTL が使いにくいシステムでも探索やコマンド実行がしやすいように「C2フレームワーク」が開発された。Cobalt Strike の商用サービスが有名だが、オープンソースで運営される C2 フレームワークも存在する。

 講演のスピーカーである James Coote 氏、Alfie Champion 氏は、ともに F-Secure のシニアコンサルタントだ。同社は「 C3 」という名の C2 フレームワークを持っているので、攻防ポイントの解説は、同社のラボに作られたシステム環境に対して Slack を通じて C3 を接続した環境でデモを交えて行われた。C3フレームワークは、Cobalt Strike や Covenant( OSS の C2 フレームワーク)とも連携して、これらの機能を利用することもできる。


《中尾 真二( Shinji Nakao )》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. ダイヤモンド社にランサムウェア攻撃、約70,000件の個人情報が漏えいしたおそれ

    ダイヤモンド社にランサムウェア攻撃、約70,000件の個人情報が漏えいしたおそれ

  2. エレコム製無線 LAN ルータに複数の脆弱性

    エレコム製無線 LAN ルータに複数の脆弱性

  3. 「UTM 理解していない」半数

    「UTM 理解していない」半数

  4. JC3、捜査員向けのランサムウェア捜査ハンドブックを出版

    JC3、捜査員向けのランサムウェア捜査ハンドブックを出版

  5. ダイキン工業の再々委託先の作業者が仕入先情報を不正にダウンロード

    ダイキン工業の再々委託先の作業者が仕入先情報を不正にダウンロード

  6. ゆめタウン運営イズミにランサムウェア攻撃、発注システムに支障あり一部品薄状態も

    ゆめタウン運営イズミにランサムウェア攻撃、発注システムに支障あり一部品薄状態も

  7. 「セキュリティ技術者の“思考”を覗く」~ SHIFT SECURITY、17種類のサイバー攻撃の解説と対策資料公開

    「セキュリティ技術者の“思考”を覗く」~ SHIFT SECURITY、17種類のサイバー攻撃の解説と対策資料公開PR

  8. Google & 米Yahoo! の迷惑メール対策強化について~ JPAAWG 緊急ウェビナーで喫緊課題への具体的な疑問が続出

    Google & 米Yahoo! の迷惑メール対策強化について~ JPAAWG 緊急ウェビナーで喫緊課題への具体的な疑問が続出

  9. 到来する「脆弱性対策義務化時代」に脆弱性管理サービス「SIDfm」が果たす役割

    到来する「脆弱性対策義務化時代」に脆弱性管理サービス「SIDfm」が果たす役割PR

  10. 個人情報保護ルールを「あまり/まったく守れていない」のは部課長が最多

    個人情報保護ルールを「あまり/まったく守れていない」のは部課長が最多

ランキングをもっと見る