CISA releases open-source ‘RedEye’ C2 log visualization tool
2022/10/14 BleepingComputer — 米国の Cybersecurity and Infrastructure Security (CISA) は、Command and Control (C2) アクティビティ可視化し報告するオペレーター向けに、オープンソースの分析ツール RedEye を発表した。この RedEye は、レッドチームとブルーチームの双方に対応し、実用的な意思決定につながるデータを、簡単に測定する方法を提供する。
攻撃作戦の評価
CISA と DOE Pacific Northwest National Laboratory の共同プロジェクトである RedEye は、攻撃フレームワーク (Cobalt Strike など) のログを解析し、複雑なデータを解析しやすい形式で表示するものだ。このツールを使用するユーザーは、キャンペーン・データをアップロードし、ビーコンやコマンドなどの関連情報を表示できる。
RedEye に読み込まれたログを、各キャンペーンの用いられたサーバやホストと関連付けた、グラフで表示することが可能となる。
アナリストたちは、選択したキャンペーンにおける主要イベントを調査し、ペイロードを発見/追跡し、横移動のアクティビティや、マシン上で特権昇格に用いられる認証情報などを分析して、攻撃者の侵入経路などの追跡も可能にする。
RedEye で利用可能な機能により、攻撃者のアクティビティにアナリストがコメントを加えることで、より良いコラボレーションと攻撃経路への理解が得られる。
アナリストからのコメントや、キャンペーンで使用されたテクノロジーの解析により、関係者やクライアントと共有できるプレゼンテーションを、RedEye により作成することもできる。キャンペーンで収集した全データと、アナリストのコメントをエクスポートし、クライアントがレビューしやすくすることも可能だ。
RedEye を使用するブルーチームは、評価から受け取った生データを簡単に理解し、攻撃経路や侵害されたホストを表示することで、適切な対策を講じることが可能となる。
現時点において、すでに RedEye は、Cobalt Strike フレームワークのログ解析が可能となっている。また、Linux (Ubuntu 18 以上/Kali Linux 2020.1 以上) および、macOS (El Capitan 以上) 、Windows 7 以上での動作が確認されている。
このツールは、CISA のリポジトリである GitHub で公開されている。また、CISA は、RedEye の主な機能を紹介するビデオも公開している。
これまでの数年にわたり、CISA が OSS プロジェクトとしてリリースしてきた一連のツールの、最新版が RedEye である。
その中には、ネットワーク・トラフィック分析ツール Malcom や、産業制御システム・ネットワーク・プロトコルを解析するツール ICS NPP、Azure/Microsoft 365 環境において侵害された可能性のあるアカウントやアプリケーションを検出する PowerShell スクリプト Sparrow などが含まれている。
これは期待できそうな展開ですね。10月12日の「Polonium カスタム・バックドア:OneDrive 上の C2 Server を Microsoft が検出」という記事で、7種類のカスタム・バックドアがリストアップされていましたが、C2 ログを解析することで、その攻撃フレームワークで何が行われているのかを、視覚的に捉えることが可能になるのでしょう。まずは、Cobalt Strike からということですが、今後の RedEye の進化に期待してしまいます。
IoT OT Security News 
You must be logged in to post a comment.