threat intelligence の重要な部分は,脅威情報と侵害の指標(IOC)を共有できることである.これを効果的に行うには,STIXのような共通の構造化フォーマットを持つことが重要である.バージョン2から,STIXフォーマットはキルチェーンを定義し参照するための標準を実装している.
このブログでは,MITRE ATT&CKフレームワーク(実際の悪意のある活動に基づく戦術とテクニックの知識ベース)を使用して,この機能を使用する方法の 1 つを取り上げます.また,Nozomi Networks Labsが作成したSTIXベースのインジケータの使用例を紹介し,標準化されたフォーマットがthreat intelligence 共有にどのように役立つかを示します.
ATT&CKフレームワークは実世界を提供するThreat Intelligence
MITRE ATT&CK は,悪意のある行為者がどのように偵察,初期アクセス,永続性,横方向への移動,流出,その他多くの戦術を行うかを記述し,分類するために一般的に使用されています.現在,ATT&CK の戦術とテクニックは,エンタープライズ,モバイル,産業制御システムに分類されています(MITRE ATT&CK の使用方法については,このブログで詳しく説明しています).すべてのテクニックは戦術ごとにグループ化されており,ID によって識別することができます.
MITRE ATT&CK の戦術とテクニックは,ブルーチームとレッドチームの両方に役立つ標準となりつつあります.攻撃の観点からは,このフレームワークは特定の攻撃者の行動とそれを模倣する可能性の正確なモデルを作成します.防御の観点からは,アナリストはMITRE ATT&CKを使用して脅威情報を構造化し,共有することができます.また,悪意のある行為者の攻撃手法の傾向を確立するための分析を作成することも可能です.
リリースされたばかりのATT&CKバージョン10には,センサーやログによって収集される様々な情報を表す新しいデータソースオブジェクトが含まれています.各データ・コンポーネントは,データ・ソースの特定のプロパティを記述し,特定のテクニックの検出を可能にします.このリリースでは,通常通り,エンタープライズ,モバイル,ICSマトリックスのテクニック,グループ,ソフトウェアに対する追加や改善も行われています.
標準フォーマットの重要性
情報の共有は,すべての人のサイバーthreat intelligence の拡大に役立つ.より多くの情報を共有すればするほど,より多くの洞察を集約することができ,より迅速かつ効果的に攻撃を予測し対応することができる.threat intelligence を共有するための1つの重要な条件は,データの提供や取り込みを容易にするために,標準的なフォーマットに依存することである.
Structured Threat Information eXpression (STIX™)は,サイバー脅威情報を表現し,一貫性を持って効率的に交換するために使用される言語およびシリアライゼーション・フォーマットです.このホワイトペーパーにあるように,STIXはまた,以下のような幅広い情報を共有する方法を提供します:
- サイバー観測データ(レジストリキーの作成,特定IPアドレスへのネットワークトラフィックの発生,特定アドレスからの電子メールの観測など)
- 指標
- 事件
- 敵の戦術,技術,手順(TTP)(攻撃パターン,マルウェア,エクスプロイト,キルチェーン,ツール,インフラ,被害者ターゲティングなどを含む)
- ターゲット(脆弱性や弱点など)を突く
- 行動方針(インシデントレスポンスや脆弱性・弱点対策など)
- サイバー攻撃キャンペーン
- サイバー脅威の担い手
MITRE ATT&CK Tactics and Techniques は,敵の行動をさまざまな抽象度で表現します.先に述べたように,STIX インジケータはまさにこの種の情報を構造化された方法で表現するために一般的に使用されており,そのような ATT&CK は STIX 内で簡単に表現することができます.
STIX1とSTIX2の違い
STIXの最初のバージョンでは,指標はXML構文を使って表現されていました.バージョン1からバージョン2への大きな変更点の1つは,XMLからJSONフォーマットへの移行です.このフォーマットでは,より軽量な構文が可能になり,解析が容易になったため,開発に好まれるようになりました.
バージョン2には2つのバリデータツールが付属している:STIXバリデータは JSONコンテンツが仕様に準拠しているかどうかを検証し,パターンバリデータツールはパターンの構文が正しいかどうかをチェックします.
大きなJSONは読みにくいため,STIXドメイン・オブジェクトとSTIXリレーションシップ・オブジェクトをそれぞれ表すノードとエッジを持つグラフとしてJSONファイルを視覚的に表示する視覚化ツールが提供されています.
下の画像(このツールを使用して作成)は,STIX v2.1に基づくAPT1のグラフです.これは,中国政府がスポンサーである可能性のある洗練された脅威行為者であるAPT1に関する指標,ツール,攻撃パターンおよびその他の貴重な情報を示しています(詳細については,MandiantのAPT1レポートをご覧ください).

マサチューセッツ工科大学 ATT&CKNozomi Networks Threat Intelligence
ランサムウェア攻撃に対応する際にSTIXインジケータを使用する方法の例を示す前に,STIXインジケータがNozomi Networks でどのようにサポートされているかを簡単に見てみましょう.
STIXインジケータは,パケットルール,YARAルール,脆弱性データベースとともに,Threat Intelligence . Threat Intelligenceは,継続的なOT (Operational Technology)とIoT ,脅威と脆弱性のインテリジェンスを提供します.これらのインテリジェンスは,より広範な環境行動と相関し,膨大なセキュリティと運用に関する洞察を提供します.
Nozomi Networks Guardian 現在,STIX 1 と STIX 2 の両方の形式のインポートをサポートしています.さらに,STIX 2 インジケータは,エンタープライズおよびICSマトリックスの両方から適用可能な MITRE ATT&CK Tactics and Techniques で装飾することができます.

次のスクリーンショットは,Nozomi Networks Vantage 内の MITRE ATT&CK テクニック検知ビューを示しています.この例は,産業用制御システムを標的にした実世界の攻撃をラボで作成したシミュレーションを示しています.ICS 向け MITRE ATT&CK テクニックのセクションで示したように,このマルウェアは,リムーバブルメディア を介して複製することで初期アクセスを獲得し,リモートサービスを悪用して横方向の移動を実行し,エンジニアリング ワークステーション(EWS)に到達することを目標とします.EWS に到達すると,最終的な目標は PLC のロジックを変更し,管理対象の機器に損害を与えることです.

IOCからSTIXを作成する
インジケータからSTIXを作成する方法に関する詳細な使用手順は,Nozomi Networks Labsによって,一般公開されているstix-toolsリポジトリで提供されています.このツールの使用例を,最近の悪意のある脅威のコンテキストで簡単に説明します.
2021年9月,アイオワ州を拠点とするNEW Cooperative Inc.がランサムウェア集団BlackMatterの被害に遭った(詳細は このブログで).Nozomi Networks にとっては,このインシデントを直ちに調査し,顧客がこの脅威から保護されていることを確認することが重要だった.
技術的な分析中,Nozomi Networks Labsチームは,攻撃中にCommand and Controlとして使用された悪意のあるドメインを抽出することができました.これらのインジケータと悪意のあるサンプル自体のSHA256ハッシュは,新しいSTIXファイルのコンテンツでした.
すべてのインジケータは,同じファイルに別々の行で記述する.

STIX バージョン 2 ファイルを生成するには,stix_create_v2.pyスクリプトを使用する.以下のコマンドに示すように,フラグ-m を使用することで,脅威に関連する MITRE Techniques を指定することができます:
$ python3 stix_create_v2.py -i iocs -o blackmatter_iocs.json -t BlackMatter -d "BlackMatter ランサムウェアは文書ファイルを暗号化し,復号化ツールと引き換えに身代金を要求する."-m T1486 -s "Nozomi Networks " -u https://www.nozominetworks.com/blog/blackmatter-ransomware-technical-analysis-and-tools-from-nozomi-networks-labs/
スクリプトは次のような出力を生成する.

指標のグラフ表示を次の画像に示します.STIXグラフは,BlackMatterに接続され,MITRE Technique T1486 - Data Encrypted for Impactを使用した3つの指標(2つの悪意のあるドメインと悪意のあるバイナリのSHA256ハッシュ)を示しています.この画像には,Nozomi Network Labs がインジケータの作成者であることも示されています.凡例セクションには,外部参照と脅威の説明に関する詳細情報が記載されています.

要点MITRE ATT&CKが共有化を促進Threat Intelligence
このブログ記事の重要なポイントの一つは,threat intelligence を共有することの重要性である.そのためには,効率的で一貫性があり,互換性のある方法で情報を共有するために,標準化されたフォーマットを使用することが不可欠である.STIXは,これらの目的を達成するために,threat intelligence コミュニティによって広く使用されている.
MITRE ATT&CK フレームワークは,脅威のコンテクストを迅速かつ効率的に理解するための基本であり,セキュリティコミュニティの標準となっています.ATT&CKは,STIXと共有する情報を充実させ,脅威の検知と対応を強化するためにも使用できます.