C&Cビーコンおよびその検知と阻止
Risk Factors
Likelihood
Complexity
Business Impact
C&Cビーコンとは?コマンド・アンド・コントロール(C&CまたはC2)ビーコンは、C&Cサーバと感染したホスト上のマルウェアとの間で交わされる悪意のある通信の一種です。C&Cサーバは、サービス拒否攻撃(DoS)からランサムウェア、データの流出まで、多様な不正行為を制御できます。ほとんどの場合、感染したホストはC&Cサーバと定期的に通信することから、この通信はビーコンと呼ばれています。間隔の規則性から、この通信のパターンを通常のトラフィックと区別できます。ただし、広く使用されているポートやプロトコル(HTTP:80やHTTPS:443)上でのビーコンでは、悪意のあるトラフィックと通常のトラフィックとの区別が困難であることが多いので、攻撃者はファイアウォールを回避できます。SUNBURSTなどで使用されている別の回避方法では、無作為に選択された長時間の待機を経て通信が実行されます。### ボットネットとは?ボットネットとは、マルウェアに感染し、C&Cサーバによって制御されているホストのグループです(C&Cサーバはボットネット以外も制御できます)。このようなホストは、コンピュータ、IoTデバイス、スマートフォンをはじめとする、インターネットに接続されたテクノロジです。ビーコンは、ボットネットとそれを制御する不正なアクターとの間で交わされる通信の一種です。
C&Cビーコンからの保護 まず、マルウェアから防御することにより、ビーコンをその実行開始前に阻止できます。ただし、脅威が内部に侵入することは不可避なので、第二の防御手段が必要になります。これらのビーコンは定期的にC&Cサーバに信号を送信します。セキュリティ・ツールでは、通信(GET要求やPOST要求など)のタイミングに見られるパターンを探すことにより、このようなビーコンを検知できます。マルウェアはジッタと呼ばれる一種の無作為化を使用して自身を隠匿しようとしますが、それでも認識可能なパターンが生成されます。このようなパターンは、特に機械学習検知で効果的に検知できます。デバイス上でビーコンが検知された場合に、C&Cのアクティビティを軽減するために実行できる措置:* デバイス上の重要ではないアプリケーション、サービス、デーモンを削除するか無効化する。* マルウェアの存在をはじめとする侵害の痕跡を確認中のデバイスを隔離する。* ネットワーク境界で、疑義のあるエンドポイントからのインバウンド・トラフィックとアウトバウンド・トラフィックをブロックする。* 侵害されたデバイスに起因する損害を最小限に食い止めるために、ネットワーク・セグメンテーションおよびアカウントの最小権限の原則を適用する。
C&Cビーコンの歴史
ビーコンをリッスンし、ボットネットを制御するために、かつての不正なアクターはC&Cサーバとして機能する物理デバイスを使用していました。しかし、現在では正当なサービスに隠した一時的なサーバを使用するようになっています。正当なクラウド・サービスの内部にサーバを作成するという手口があります。これにより、アウトバウンド・トラフィックの宛先は疑義がないサービスになります。
注目すべきボットネット
2016年に初めて報告されたTrickbotは、マルウェアの一種であると同時に、サービスとしてのマルウェア(MaaS)として広く販売されているボットネットです。電子メール・スパムを使用してコンピュータを制御し、高額な金融被害を引き起こすボットネットの1つと考えられています。2007年に最初に発見されたZeuSは、1,300万以上のホストに感染したことで、最大規模のボットネットと考えられます。バンキング型トロイの木馬として始まり、一時は世界中で発生した銀行詐欺全件の90%を占めていました。2014年に初めて報告されたEmotetは、バンキング型トロイの木馬として始まり、その後ボットネットとなり、さらに他のマルウェアが防御を突破するための手段へと進化しました。