Recorded FutureのInsikt Groupは、SIEMソフトウェアと4つの一般的なクレデンシャルハーベスティングツールのインシデント対応ガイドで実行する検出を作成しました。 ソースには、Recorded Future® Platform、Malpedia、PolySwarm、リバース・エンジニアリング、オープンソース・インテリジェンス(OSINT)エンリッチメントが含まれていました。 この調査の対象読者には、クレデンシャルハーベスティングツールから組織を保護することに関心のあるセキュリティ実務家、ネットワーク防御者、脅威インテリジェンスの専門家が含まれます。

Executive Summary

認証情報ハーベスティングツールの使用は、脅威アクターがインフラストラクチャに追加アクセスするための一般的で強力な方法です。 最近の Ryuk Inshidenト の詳細は、被害者の侵害、ハッキングのための15ステップの手順を示しており、そのうちの2つには、認証情報収集ツールMimikatzとLaZagneの使用が含まれています。 これらのツールは、被害者の環境全体を横方向に移動し、ネットワーク上の他のホストを侵害、ハッキングするために使用されました。

この記事では、Mimikatz、LaZagne、T-Rat 2.0、Osno Stealer の Sigma ベースの検出ルールに関する調査について詳しく説明します。 さらに、セキュリティ運用チームがクレデンシャルハーベスティングインシデントに対応できるように、初期インシデントの優先度レベルと高レベルの対応手順を提供します。

オープン情報源 Sigma プロジェクト によって提供される Sigma ルールと、 Recorded Future によって開発されたカスタム ルール (既存のクライアントのみが利用可能) は、既存の SIEM ソリューションを使用して認証情報収集を検出して応答する強力な機能を提供します。 Sysmonなどのツールを使用して、適切に構成されたホストベースのロギングと組み合わせると、Sigmaルールは、脅威を検出して対応する組織の能力を向上させ、精度と効率を高めることができます。

Sigma は標準化されたルール構文であり、SIEM がサポートするさまざまな構文形式に変換できます。 Recorded Future Platformは、Insikt Groupが開発したSigmaルールにアクセスし、ダウンロードして組織で使用することを可能にします。

主な判断

• ほとんどのクレデンシャルハーベスティングツールは、ラテラルムーブメントや特権昇格などの追加の戦術、技術、手順(TTP)を可能にするため、リスクが高くなります。一般的に、クレデンシャルハーベスティングツールは第2段階のツールとして使用され、ホストがすでに侵害されていることを示します。
• クレデンシャル ハーベスティング アクティビティの検出と対応が成功すると、侵入が目的を正常に達成できなくなる可能性があります。
• シグマルールは、複数のプラットフォーム間で検出を共有する効果的な方法です。 Recorded Futureの優先度レベルと対応手順をSigmaルールとともに使用することで、サイバーセキュリティチームは簡単に実装できる検出および対応機能を利用できます。