「ピラミッドオブペイン」とは? 脅威情報をもっと有効活用するための考え方 | Codebook|Security News

セキュリティ/サイバーインテリジェンス最新トレンドをご紹介

Codebook|Security News > Articles > NEWS > 「ピラミッドオブペイン」とは? 脅威情報をもっと有効活用するための考え方

「ピラミッドオブペイン」とは? 脅威情報をもっと有効活用するための考え方

サイバー攻撃の対策に役立つ脅威情報を集めようとすると、その膨大な量に圧倒されるでしょう。その中から、自分の組織の対策に本当に役立つ情報を取捨選択するとなると、莫大な労力がかかります。

 

最近日本でも浸透しつつある「サイバー脅威インテリジェンス」とは、まさに、こうした膨大な脅威情報の中から、「自分たちにとって意味のある情報」を選んで意思決定に役立てるプロセスと言えます。

 

では「意味のある情報とは何か」 – この問いに対し、脅威情報を使った対策によって攻撃者に与えられる「痛手」という視点から答えるのが、今回紹介する「ピラミッドオブペイン(Pyramid of Pain、痛みのピラミッド)」です。

 

ピラミッドオブペインとは

図:David J Bianco氏の図を基に筆者作成

 

ピラミッドオブペインは、セキュリティ専門家の「David J Bianco」氏が2013年に提唱した概念モデル[*1]です。

 

このモデルは、「攻撃者の動きの検出に使われる各種インジケーター相互の関係」と「各インジケーターを攻撃者から奪う(=利用不能にする)ことで攻撃者に与えられる痛手」を、ピラミッド状の図で表現したものです。

 

ピラミッドは6つの階層から成り、下から順に、

攻撃者が使う「ハッシュ値」「IPアドレス」「ドメイン名」「ネットワーク/ホスト・アーティファクト」「ツール」「TTP(戦術・技術・手順)」です。

 

ピラミッドの上にあるインジケーターほど、攻撃者に大きな痛手を与えます。

逆に言えば、下にあるものほど攻撃者が受ける痛手が少ないということです。

 

もちろん痛手が少ないからと言って不要な情報とまでは言い切れません。David J Bianco氏もハッシュ値やドメイン名の活用を全否定はしていません。

 

では、痛みがインジケーターごとに異なるのはなぜでしょうか。

 

ツールやTTPを変えるのは難しい

昨今のサイバー攻撃では、攻撃者は自らのIPアドレス、ドメイン名を頻繁に変更し、いわば使い捨てしています。また、ハッシュ値も後述するように、簡単に変更することができます。なので、これらのインジケーターを追跡することは、価値が低い(=攻撃者にとっては痛手が少ない)ばかりか、誤検知の原因にすらなります。

 

これに対して、攻撃者が自ら使用するツールやTTPを変えるには時間や手間がかかるため(後述)、対策側が検出してブロックできれば、攻撃者にとって相当な痛手となります。

 

以下、David J Bianco氏の説明を引用しながら、さらに詳しく見ていきましょう。

 

ピラミッドの各階層

ハッシュ値

SHA1、MD5などのハッシュ関数によって元データから算出されるハッシュ値は、具体的なマルウェアのサンプルや、侵入に使われたファイルの固有の参照値として使われます。固有なので、2つのファイルの中身が1ビットでも異なれば、これら2つのファイルのハッシュ値は全く異なるものになります。なお、異なる2つのファイルが同一のハッシュ値を持つことは、ほぼありません。このためハッシュ値は「最も正確なインジケーター」[*1]です。

 

しかし反面、少しでもデータを変更すれば、得られるハッシュ値は全く異なる無関係なものとなります(例えば「利用されていないリソースで1ビット反転させる」「最後にnullを追加する」といった些細な変更)。

 

つまり攻撃者は、有害なファイルのハッシュ値を意図的に操作することで、簡単にセキュリティシステムをすり抜けることができます。このため、ハッシュ値は「多くの場合、追跡する価値すらない」とDavid J Bianco氏は指摘します。

 

ファジーハッシュ

上記の問題を解決するものとして、類似するデータ同士で似た値が算出されるファジーハッシュがあります。David J Bianco氏によると、ファジーハッシュは値の変更や操作に対する抵抗力がハッシュ値より強いため、ピラミッドの上から2番目の階層(「ツール」)に適しているとのことです。

ファジーハッシュを計算するための主なツールには、ssdeepがあります。

 

IPアドレス

攻撃者はTorやVPN、匿名プロキシを使うことで、IPアドレスを好きな時に労力をかけることなく変更することができます。このため、攻撃者のIPアドレスに制限をかけたところで、攻撃を止められるとは限りません。

 

ドメイン名

ドメイン名を変更するには登録や料金の支払いが必要であるため、ドメイン名を使った対策による痛手は、IPアドレスの場合よりもわずかに大きくなります。

しかし、ダイナミックDNS(DDNS)サービスや、DGA(domain-generated algorithms)を使うことで攻撃者はドメイン名を自動生成することができます。

 

以下は、無料のダイナミックDNSサービス「Duck DNS」で作成したドメインがマルウェアの配信に利用されていた、最近の例です。

 

日本のユーザー狙うマルウェア「MoqHao」

MoqHaoマルウェアは、ダイナミックDNSサービスであるDuck DNSを通じて作成されたドメインを、第一段階の配布インフラとして使用しています。

(マルウェアMoqHaoの)運営担当者は、平均14日ごとにIPアドレスをローテーションしつつ、複数のドメイン(こちらは、より頻繁に更新される)をホストすることで、個々のドメイン名に基づくブロックリストを回避しています。

https://codebook.machinarecord.com/13740/

 

ネットワーク/ホスト・アーティファクト

ネットワーク・アーティファクト

ネットワーク・アーティファクトとは、David J Bianco氏の定義によると以下の通りです。

 

攻撃者による自分のネットワーク上での活動で生じる観察可能なもの(observables)。技術的には、攻撃者の操作によって自分のネットワーク上を流れるデータの1バイト、1バイトは、すべてアーティファクトとなり得るが、実際問題として、アーティファクトの意味するところは、悪意のある活動を正当なユーザーによる活動から区別する傾向にあると思われる活動の痕跡。[*1]

・URIのパターン

・ネットワークプロトコルに埋め込まれたC2(コマンドアンドコントロール)情報

・異常なHTTP User-Agent

・異常なSMTP Mailerの値

 

ホスト・アーティファクト

一方、ホスト・アーティファクトの定義は以下の通りです。

 

自分のホスト上での攻撃者による活動によって生じる観察可能なもの。ネットワーク・アーティファクトと同様、悪意のある活動を正当なユーザーによる活動から区別する傾向にあると思われるものに注目する。[*1]

・特定のマルウェアによって作成されたことが分かっているレジストリキーやレジストリの値

・特定の場所にドロップされたり、特定の名前を使ってドロップされたファイルやディレクトリ

 

ピラミッドの図では、これらのアーティファクトから暖色(黄色、橙、赤)に色付けされており、David J Bianco氏は「ここに来てやっと、敵に何らかの負の影響を与えるようになる」としています。

 

このレベルのインジケーターを検出できて、これに対処できれば、攻撃者をラボに帰らせ、自分のツールの再設定や再コンパイルをさせることになる。例えば、攻撃者のHTTP偵察ツールが独特のUser-Agent文字列を使って、自分(対策側)のWebコンテンツを検索していることに気がついた場合(例えば、スペースやセミコロン1個分のずれ。攻撃者が自分の名前を入れていることもある。笑ってしまうかもしれないが、これは本当にあること)。もし、このUser-Agentが表示されたリクエストを対策側がすべてブロックすれば、敵は退散して(a)自分の偵察ツールが検出された理由を考え(b)偵察ツールを修正するための時間を取らざるを得なくなる。もちろん、その修正が取るに足らないものである場合もあるが、少なくとも、敵は何らかの取り組みを強化して、対策側によって目の前に投げ込まれた障害を特定・克服しなければならない。[*1]

 

ツール

「ツール」は、「攻撃者が目的達成のために使用するソフトウェア」[*1]です。

・スピアフィッシングのための有害ドキュメントを作成するように設計されたユーティリティ

・C2通信のために使われるバックドア、パスワード解読ツール、その他攻撃者がポストコンプロマイズ[*2]で使いたがるホストベースのユーティリティ

 

敵はツールを特定されてしまうと、

調査(同じ性能を持つ既存ツールを発見する)

開発(もし可能なら新たなツールを作る)

・訓練(そのツールの使い方を学び習得する)

のための時間を費やす必要があるため、かなりの痛手を被ります。

 

TTP(戦術・技術・手順)

「TTP」とは、「目的達成のために攻撃者がとる方法」[*1]のことです。

・「スピアフィッシング」は、ネットワーク内に侵入するためによく使われるTTP

 

もっと具体的なレベルに行くと・・・

・「トロイの木馬化したPDFファイルを使ったスピアフィッシング」

・「ZIPファイルを装った有害な.SCRファイルへのリンクを使ったスピアフィッシング」

・「認証情報のキャッシュデータをダンプし、『パス・ザ・ハッシュ』攻撃に再利用する」

 

ここでは、個々のツールの話をしているわけではないので、注意が必要です。例えば、有害なPDFファイルを作ったり「パス・ザ・ハッシュ」攻撃を実行したりする方法は、いくらでも存在します。TTPレベルでの対策とは、例えば、「パス・ザ・ハッシュ攻撃を行うために敵が使うツールを検出する」ことではなく、「Windowsのログを詳しく調べるなどしてパス・ザ・ハッシュ攻撃そのものを検出する」ことです。

 

TTPのレベルで検出と対応を行うなら、敵の振る舞い、挙動(behavior)に直に影響を及ぼしていることになります。

 

純粋な有効性という観点からは、このレベルが私たち(対策側)にとっての理想だ。敵のTTPに十分素早く対応できれば、敵に最も時間のかかること、つまり新たな振る舞いを学ぶことを強いることになる。[*1]

 

まとめ

ここまで、ピラミッドオブペインと、攻撃者に与える痛みの程度がインジケーターごとに異なることについて見てきました。

大量のIoCを読み解く際に、それぞれがピラミッドオブペインのどこに相当するかを見極め、最も効果的なインジケーターを対策に活用すること、そして、有効なインジケーターに対応したツールを選ぶことが大切になってくるでしょう。

 

関連商材のご紹介:CyCraft AIR

オンプレミスとクラウド経由の別を問わず、同時に何千ものエンドポイントを検査し、リアルタイムで脅威を検知し、根本原因を見つけ、即時対応します。Xensorエージェントレス・モードではエンドポイントを日次ベースでスキャンし、エージェント・モードでは、エンドポイントで悪意のある挙動を常時モニタリングします。

Xensorで収集された元レポートはCyCarrier(AI搭載フォレンジック分析センター)へ送られ、マルウェアのサンプルやメモリ内のコマンド、その他シグネチャベースやウイルス対策では分類できない疑わしい振る舞いを調査します。CyCarrierのデータベースを拡充するため、脅威インテリジェンスプラットフォームCybertotalが内部ソースを複数の外部CTIデータソースと統合し、独自のビジネスインテリジェンスを提供します。

 

CyCraft AIR(株式会社マキナレコード)

(外部サイト)https://cybersecurity-jp.com/product-service/other-security/61293

(弊社公式サイト)https://machinarecord.com/cycraft/

 

サイバー脅威インテリジェンス基礎トレーニング

マキナレコードは、「サイバーインテリジェンスをチームとして積極的に取り入れていきたいが、どこからはじめたらいいかわからない」という方に向けて、グローバルに活躍するインテリジェンス専門家監修のもと、2日間のトレーニングを作成しました。

トレーニングの概要について解説する動画を、以下のページで提供しております。

 

放送|サイバー脅威インテリジェンス 基礎トレーニング 解説セミナー

https://codebook.machinarecord.com/16415/

 

参考資料

[*1] DavidJBianco, “The Pyramid of Pain”, 2013年3月2日(2014年1月17日更新)

http://detect-respond.blogspot.com/2013/03/the-pyramid-of-pain.html

 

[*2] ポストコンプロマイズとは…

ロッキードマーティン社の「サイバーキルチェーン」で使用される用語で、攻撃者の取る行動の7段階のうち、標的のネットワークとの遠隔通信ができるようになって以降の2段階を指します。「攻撃後」「侵入後」などと訳されます。