統合ログ管理ソリューションでマルウェアを発見し 情報漏洩を防ぐためには? McAfee SIEM と CAPLogger SFChecker
マルウェアの発見概要 従来型アンチマルウェアによる発見 新型アンチマルウェアによる発見 振る舞い検知 レピュテーション サンドボックス SIEM による不審動作発見 マルウェア感染が疑われる PC の特定 発見後の課題 Copyright 2014 dit Co., Ltd. All rights reserved. 2
発見後の対応概要 マルウェアファイルの特定 感染経路の特定 影響範囲の調査 マルウェアにより作成されたファイルの洗い出し マルウェアによる情報流出有無の確認 マルウェア関連ファイルの他 PCへの拡散状況調査 関連するファイルの除去 マルウェア本体 関連ファイル Copyright 2014 dit Co., Ltd. All rights reserved. 3
従来型アンチマルウェアによる対応 クライアント型 クライアント常駐 SaaS 連携 ゲートウェイ型 Web プロキシ メールゲートウェイ 広義のアンチマルウェア アンチスパム URL フィルタ IPS 既知の脅威に 対応 Copyright 2014 dit Co., Ltd. All rights reserved. 4
新型アンチマルウェアによる発見 発見手法実施内容課題 振る舞い検知 レピュテーション サンドボックス ファイル内容の解析 ファイルの挙動を世界的な傾向から判断 仮想環境内で実行し不審動作検知 過剰検知と見逃しのバランス 登場直後のマルウェアへの対応は難しい 解析に時間がかかるためリアルタイムブロック不可 Copyright 2014 dit Co., Ltd. All rights reserved. 5
SIEM による発見 上記アプローチは ファイル内容の検査 SIEM では ネットワーク機器のログに現れるマルウェアの兆候 を検知 ファイアウォール Web プロキシ スイッチ ルータの sflow/netflow データ IDS/IPS 主に以下の手法 正常外抽出 しきい値超過検知 Copyright 2014 dit Co., Ltd. All rights reserved. 6
正常外抽出の例 社外サーバへの接続一般的な構成ではクライアントからの直接インターネット接続はブロックされる 社内感染拡大存在しないプライベート IP アドレスへの接続の試み 異常動作を定義 リアルタイム検知 Copyright 2014 dit Co., Ltd. All rights reserved. 7
しきい値超過検知の例 Web 経由アップロード量の増大 Proxy DB から大量のデータ取得 DB PC 間での大量データ送受信 PC 平常時よりも大きなデータ量の通信をリアルタイム検知 Copyright 2014 dit Co., Ltd. All rights reserved. 8
SIEMによる解析の前提 ログ取得がすべての基本 McAfee SIEM Webサーバ DBサーバ ルータ スイッチ ファイルサーバ Webプロキシ 認証サーバ ファイアウォール 十分なログがあれば 不審動作発見後のPC特定まで可能 Copyright 2014 dit Co., Ltd. All rights reserved. 9
不十分なログ取得 ログを取っていない 保存期間が短い ログは取られているが要素不足 ファイアウォール ドロップログしか取得してない 送受信バイト数が記録されていない 入出力インターフェイスが記録されていない Web プロキシ アップロードバイト数が記録されていない アクセス先サイトの IP アドレスが記録されていない 不十分なログ取得は 解析の効率低下や調査可能範囲が狭くなる原因に Copyright 2014 dit Co., Ltd. All rights reserved. 10
ログ解析の目的は? 安心安全なシステムの実現 マルウェア発見はゴールではない 安心安全 のためには 除去だけではなくマルウェア活動の調査が必要 Copyright 2014 dit Co., Ltd. All rights reserved. 11
マルウェア活動の調査 確認事項 不審動作の発生源特定 過去動作の有無 感染経路 PC 内の拡散状況 他 PC への感染有無 情報流出の有無 マルウェアの除去 対応には クライアント PC 上の詳細ログ取得と 指定ファイル検索 削除機能が必要 CAPLogger SFChecker により対応可能 Copyright 2014 dit Co., Ltd. All rights reserved. 12
実際の事例 Copyright 2014 dit Co., Ltd. All rights reserved. 13
確認事項ごと調査方針 確認事項調査方針必要なログ 機能 マルウェアファイルはどれか 通信発生元プログラムの確認 特定したプログラムの動過去動作の有無作履歴確認どこから感染したのかプログラムファイルの受 マルウェアが作成したファイルはないのか 他 PC の感染はないのか 信方法確認マルウェアが作成したファイル等の確認特定したマルウェア関連ファイルの検索 情報流出はあったのかマルウェアが読み書きしたファイル等の確認 通信内容とプログラムの対応ログ プログラム動作ログ ファイル入出力ログ ファイル入出力ログ 組織内全 PC 対象のファイル検索機能ファイル入出力 通信内容とプログラムの対応ログ マルウェア関連ファイルマルウェア関連ファイル指定ファイルの削除機能はすべて削除されたのかの削除 Copyright 2014 dit Co., Ltd. All rights reserved. 14
マルウェアファイルはどれか 通信元 先の IP アドレスとポート番号は判明済 PC 上のどのプログラムが通信を行ったのか? iexplore.exe malware.exe 通信内容とプログラムの対応を確認できるログが必要 Copyright 2014 dit Co., Ltd. All rights reserved. 15
感染 DL 拡散収集送信消去 過去動作の有無 初期感染 マルウェア本体をダウンロード ネットワーク内での拡散 機密データ収集 蓄積 蓄積したデータを攻撃者に送信 蓄積データ及び自分自身を消去 発見時点でどの段階だったのか? PC 上のプログラム動作詳細履歴ログが必要 Copyright 2014 dit Co., Ltd. All rights reserved. 16
どこから感染したのか メール添付 不正 Web 閲覧 USB メモリ PC 上のファイル入出力履歴ログが必要 Copyright 2014 dit Co., Ltd. All rights reserved. 17
マルウェアが作成したファイルはないのか マルウェア用収集した機密情報ダウンローダーデータファイルマルウェア本体 活動時の 消去済 作業用ファイル ファイル PC 上のファイル入出力履歴ログが必要 Copyright 2014 dit Co., Ltd. All rights reserved. 18
他 PC の感染はないのか マルウェア発見 マルウェア本体作業用ファイル等々の有無を確認 社内 PC に対する指定ファイル検索機能が必要 Copyright 2014 dit Co., Ltd. All rights reserved. 19
情報流出はあったのか マルウェアから外部へ の通信は成功したのか マルウェアはどの ファイルへアクセス していたのか 通信内容とプログラムの対応を確認できるログが必要 PC上のファイル入出力履歴ログが必要 Copyright 2014 dit Co., Ltd. All rights reserved. 20
マルウェア関連ファイルはすべて削除されたのか マルウェア本体 作業用ファイル マルウェア本体と作業用ファイル マルウェア本体 社内 PC に対する指定ファイルの削除機能が必要 Copyright 2014 dit Co., Ltd. All rights reserved. 21
具体的には 機能 通信内容とプログラムの対応ログ プログラム動作ログ ファイル入出力ログ 組織内全 PC 対象のファイル検索機能 指定ファイルの削除機能 対応製品 CAPLogger SFChecker Copyright 2014 dit Co., Ltd. All rights reserved. 22
CAPLogger (Communication And Process Logger) malware.exe malware.exe がファイルの読み込みと通信実施したことを確認 2014/11/12 10:00 iexplore.exe が malware.exe を保存 2014/11/12 11:00 malware.exe が起動 2014/11/12 12:00 malware.exe が file.txt を読み込み 2014/11/12 13:00 malware.exe が Web サーバ宛に通信実施 Copyright 2014 dit Co., Ltd. All rights reserved. 23
SFChecker(Suspicious File Checker) 指定ファイルの検索と処理 ( 削除 隔離 ) 設定取得 結果レポートの送付 検索対象ファイルと処理方法の設定 管理者 ファイルサーバ 結果レポートの閲覧 Copyright 2014 dit Co., Ltd. All rights reserved. 24
内部犯罪の可能性 正常外動作や大量の通信の原因がマルウェアで はなかった場合 IE発の大量通信 意図的な操作? iexplore.exe ユーザ操作履歴の確認が必要 プログラム動作ログからは ユーザ操作履歴はわからない Copyright 2014 dit Co., Ltd. All rights reserved. 25
LAT(Log Audit Tracker) Microsoft SCCM/SCOMと連携しユーザ操作履歴を記録 Copyright 2014 dit Co., Ltd. All rights reserved. 26
まとめ SIEM の活用には十分なログが取得されていることが前提 SIEM による範囲は不審動作の発見まで 発見はゴールではない 発見後の調査には 原因がマルウェアによるものでも ユーザによる意図的なものであっても PC 上のイベント記録製品が必要 Copyright 2014 dit Co., Ltd. All rights reserved. 27