コンテンツパックを使用してネットワーク内のLog2Shellアクティビティを検出することを説明したブログから間もなく,Industroyer2がその醜い頭をもたげました.Nozomi Networks ラボは,このエクスプロイトの技術的な詳細を共有するさまざまなブログや,Industroyer2の進化とその拡散の背後にあるキャンペーンに関する洞察を提供する詳細なホワイトペーパーを通じて,Industroyer2のトピックを深く掘り下げました.Industroyer2 の研究活動の一環として,Nozomi Networks ' セキュリティ研究および製品開発チームは,お客様がネットワーク内で Industroyer2 に関連する活動を探すのに役立つコンテンツパックをまとめました.Industroyer2が野放しになっているという報告はありませんが,このエクスプロイトの亜種が近いうちに流通することは想像に難くありません.
コンテンツパックとは,クエリとレポートの組み合わせを1つのJSONファイルにエクスポートする方法です.コンテンツ・パックの核心は,クエリとレポートの実行命令であるため,独自の情報は含まれておらず,共有しても安全です.これにより,Nozomi Networks のお客様は,カスタム・レポートやクエリを社内またはNozomi Networks のユーザー・コミュニティで迅速に共有することができます.コンテンツ・パックは,類似した業界の組織間でのベスト・プラクティスの共有や,この例では新たな脅威に対する検知戦略の共有などに使用できます.
Industroyer2コンテンツパック入門
Nozomi Networks からコンテンツパックをダウンロード(および .json ファイルを解凍)した後,Guardian の "Administration" ページに移動し,"Import" を選択します.

そして,.jsonファイルをページ下部の適切なボックスにドラッグ&ドロップするだけです.
図2.コンテンツパックのインポート

コンテンツパックがインポートされると,新しくインポートされたコンテンツを含むレポートフォルダとクエリグループが表示されます.分析 > クエリ > 保存されたクエリページに移動すると,"Content Pack Industroyer2 "クエリグループが表示されます.

ドロップダウンから "Content Pack Industroyer2 "グループを選択すると,すべての新しいクエリが表示されるページに移動します.

グループを開いたときにクエリーが自動的に実行されるはずです. そうでない場合は,"Edit "をクリックし,"Automatically execute queries on load "を選択して有効にしてください.

クエリーの裏側
うまくいけば,クエリのいくつかが結果なしで返され,ネットワーク上でIndustroyer2が蔓延していないことがわかるだろう.しかし,Industroyer2マルウェアは,産業環境に対する大規模な攻撃の一部であることを忘れてはならない.
Industroyer2特有のアラートに一致するシグネチャを探すだけでなく,Industroyer2模倣犯や侵入の前兆である可能性のあるトラフィックパターンをカバーするために検索を拡大する必要があります.このコンテンツパックの各クエリについて説明しよう:
- Content Pack - Industroyer2 alert threat - このクエリは,Industroyer2のシグネチャ検出のインスタンスを検索する.
- All IEC104- このクエリは,Industroyer2 によってハイジャックされたプロトコルが IEC 104 である場合にトリガーされるすべてのアラートをハイライトする.脅威ハンティングの観点からは,主要な脅威と「隣接」している可能性のあるアラートを探すことは,侵害の指標(IOC)であったり,悪用を防ぐために対処が必要な問題を強調している可能性があるため,良いことである.
- Industroyer2 IEC104 + anomaly- IEC104トラフィックの中から,潜在的なイベントを示す可能性のある異常なトラフィック動作を探す.
- Industroyer2の異常とIEC104のアラート- 前のクエリと同様に,IEC104の異常アラートをハイライトし,送信元IPアドレスでソートしている.
- Industroyer2 IEC104 anomalies- 前の2つのクエリーと似ているが,時間枠が強調されている.異なる基準でソートされた3つの個別クエリを提供することで,より迅速な俯瞰が可能になり,脅威ハンターに必要なすべての情報をすぐにアクセスできる形で提供することができる.
- IEC104 を使用している Windows マシン- このクエリは,IEC104 を使用してトラフィックを送信している Windows システムを分離するのに役立つ.このクエリに表示されるすべてのマシンが IEC 104 を使用しているはずであり,感染してマルウェアを拡散しようとしているシステムではないことを確認することが重要である.
- IEC104を使用したパブリック・リンク- このクエリは,内部ネットワーク外のアドレスと通信するためにIEC104を使用しているシステムをハイライトします.このクエリは,侵害の可能性があるか,少なくともこの通信が行われている理由を特定するためにさらに調査する必要があることを示す指標です.
- CaddyWiperの検出- CaddyWiperは,危殆化したシステムからデータを消去するためにIndustroyer2と共に使用されてきたツールです.CaddyWiper の存在は,脅威者がネットワーク内で活動していることを示す可能性が高い.
CaddyWiper は,Industroyer2 と組み合わせて使用され,侵害されたシステムからデータを消去します. - Rapid Command sequences 1 & 2- 典型的な環境では,IEC 104 のトラフィックの 99%は READ 操作であり,WRITE コマンドはほとんど送信されない.これらの2つのクエリは,30秒以内に同じRTUに5つ以上のコマンドが送信されているかをチェックします.このクエリは誤検出しやすいので,コマンドの量または時間枠のいずれかを調整することで,ご使用の環境 に合わせて微調整する必要があります.
- Industroyer2 スキャン- ネットワークの偵察は,侵入の初期段階としてよく見られる.
自分の環境にネットワークスキャンがないか注意すること. - SCADA インジェクション- 必ずしも Industoyer2 と関連しているわけではないが,SCADA プロトコルの改ざんは,Sandworm APT グループや他の脅威行為者が使用する他のツールの発見につながる可能性があるため,調査する必要がある.
すべてを結びつける
コンテンツパックには,クエリと並んで,スケジュールまたはオンデマンドで実行できるエグゼクティブレポートがあります.このレポートは,Guardian インターフェースに直接アクセスできない人に電子メールやその他の手段で配布できる形式で,お客様の環境を読み取ることができます.レポートでは,各検出について詳細に説明し,読者が情報をより理解できるように背景情報を提供します.
コンテンツパックは,Nozomi Networks ,お客様に新しい脅威に対する情報を提供し,保護するためのツールに比較的新しく追加されたものです.さらに良いことに,このコンテンツパックは共有することを念頭に置いて作成されており,顧客やパートナーのグローバルコミュニティが,それぞれのビジネスにとって重要なものを守るために,より良いコラボレーションを行えるようになっています.