アクショナブルなCTIの作成

アクショナブルなCTIとは

CTIにおいてアクショナブルである、すなわち「次に何をすべきか」が明確にわかるというのは重要な要素です。
アクショナブルなCTIは、次に取るべき行動を利用者が理解することができます。
また関連するcontext (背景情報) なども適切に提供され、意思決定を行う人間にとって理解可能ということが重要です。

アクショナブルなCTIにするためには、「このCTIを利用するのは誰か?」ということを明確にする必要があります。
CTIの配布ターゲット の項目で記述されているように、CTIの消費者カテゴリは多種多様です。
例えばセキュリティオペレーションにかかわるスタッフに、攻撃に使われているURLを含んだCTIを提供すれば、そのCTIをもとにそのURLにアクセスしたログが存在していないかなどを調査するでしょう。
この場合、このCTIはアクショナブルであると言えます。
しかし同じCTIをセキュリティリーダーシップを担うCISOなどに提供しても、アクションにつなげることは難しいでしょう。
このように、CTIの利用者とその利用方法を念頭におくことが、アクショナブルなインテリジェンスを作成するためには必要となります。

インテリジェンスの作成方法

観測されたイベントをMISPイベントに変換し、アクショナブルなインテリジェンスに変換する方法について記載します。
例として、Ursnifの解析情報 (サンドボックスで解析した結果) を基に、Rawデータをどのようにアクショナブルなインテリジェンスに変換するかの例を紹介します。

Rawデータを抽出する

今回使用するものデータは、Ursnifの検体をサンドボックスで解析した結果となります。
サンドボックスで解析して得られた、マルウェアの以下のような情報を抽出します。
  • マルウェアのハッシュ値

  • MalConfScan で抽出できたUrsnifのconfig情報

  • config情報から抽出できた、Ursnifの通信先情報

これらの情報はサンドボックスの結果をそのまま抽出したRawデータであり、このデータをアクショナブルなインテリジェンスに変換する必要があります。

アクショナブルなインテリジェンスを作成する。

ここまで収集した情報から、アクショナブルなインテリジェンスを生成します。
アクショナブルであるためには、このインテリジェンスの利用者が次に行うべきアクションが何かが明確に分かり、適切な背景情報が含まれているのが望ましいです。

今回はUrsnifの情報のうち、C2の通信先に着目したインテリジェンスを作成します。
またマルウェアの通信先というCTIの性質から、CTIの消費者としてセキュリティオペレータ、もしくはインシデントレスポンスのメンバーと想定します。
想定した消費者にとってアクショナブルなCTIを作成するため、以下のような作業によってMISP Eventを作成します。

受け手のアクションを規定し、それに必要な情報を抽出する

今回はUrsnifの解析情報のうち、UrsnifのC2の通信先情報に着目してインテリジェンスを作成することにしました。
今回作成するインテリジェンスでは、利用者が次に行うアクションを「取得したUrsnifのC2情報をIDSなどの適用し、Ursnifの感染範囲を特定する」と想定します。

上記のようなインテリジェンスを作成するため、UrsnifのMISP Eventから、C2の通信先情報のドメインのみを抽出した。また情報を拡充するために、該当のドメインを実際に名前解決した結果のIPアドレスの情報を追加します。
さらにインテリジェンス利用者が取るべきアクションを明確化するために、利用用途を伝えるためのタグをMISP Eventに付与します。

今回はUrsnifの影響範囲を特定することを想定したインテリジェンスですが、これはSANSのIncident Responseの6 stepのうち、Identification (影響範囲の特定) に関するステップになります。
これを明記するために、 “aom=Identification” (aom = Action fo Metemcyber ) というタグを付加しました。

Context (背景情報) を追記する

作成したMISPイベントに背景情報を追記することで、利用者の意思決定に役立てることができます。
MISPでは、 tagやtaxonomyを活用することで、attributeにcontextを付与することができます。
今回はドメインのうち、すでにsinkhole化されているもの (セキュリティベンダなどによってドメインが取得され、無害なIPアドレスに転送されるもの) については、 taxonomyの 「cccs:domain-category="sinkholed"」を付与しました。