YetiHunter: Open-source threat hunting tool for Snowflake environments
2024/06/14 HelpNetSecurity — Snowflake 環境における侵害の証拠を照会するために、ユーザー企業が利用できる脅威検出/ハンティング・ツール YetiHunter を、クラウド ID 保護企業の Permiso が作成した。クラウド・ベースのデータ・ストレージと分析の企業である Snowflake が、先日に発表したのは、攻撃者に侵害された認証情報が悪用され、同社の一部顧客のアカウントへの不正アクセスが発生していることだ。
Mandiant のアナリストたちが結論付けているのは、それらの認証情報の大半が情報窃取マルウェアにより侵害されたものであり、また、一部はダークウェブで購入されたものであるという点だ。なお、一連の攻撃で被害を受けた Snowflake の顧客数は、約 165社であると特定している。
Snowflake と Mandiant の両社は、侵害の指標を提供している。また、潜在的な被害者が、Snowflake のアカウントやデータ資産について、不審な動きの有無を確認する際の方法についてもアドバイスを提供している。
YetiHunter について
Permiso 脅威リサーチ部門 P0 Labs の SVP である Ian Ahl は、「Snowflake ユーザーを標的とする最近の攻撃において、アナリストたちが TTP と詳細な指標をレビューする際に役立つ、無料のオープンソース・ツールを提供したかった。私たちは、CloudGrappler/Cloud Console Cartographer/LogLicker などのオープンソース・ツールを用いて、Snowflake ユーザーのためのツールを構築した」と、Help Net Security に語っている。
Snowflake/Mandiant/Datadog から公開された指標と、Permiso が作成した一連の検出結果をブレンドし、簡単に実行するためのスクリプトが、YetiHunter である。
さらに、YetiHunter が実行するクエリは、拡張/更新/削除が可能であり、新たなクエリの追加も可能だ。また、既知の悪意の IP リストを更新することにも対応しているという。
現時点で実装されているクエリが検索するのは、攻撃者による偵察や、レコードの流出、不審な変更などの証拠である。
Ian Ahl は、「YetiHunter は、より広範なインジケータの網を張り、それらを単一のスクリプトに集中させる。したがって、Snowflake 環境の脅威をトリアージするための、包括的な方法を提供できる。私たちは、このツールを継続してアップデートする予定である。それにより、漏洩した認証情報を悪用して、ユーザー組織の Snowflake インスタンスに侵入する、脅威グループの TTP に対応していく」と述べている。
文中にもあるように、一連の攻撃で被害を受けた Snowflake の顧客数は約 165社であると、Mandiant は特定しています。この調査自体が Snowflake と共同で行われているので、染めされている数字の信憑性は高いと思われます。なお、調べてみたら、Mandiant から Threat Hunting Guide:Snowflake というドキュメントが、6月17日付で提供されていました。今日の記事で、Snowflake 関連のトピックは4回目となります。よろしければ、以下のリンクを、ご参照ください。
06/13:Truist のデータが $1 M で販売:Snowflake との関連性は?
06/01:Log4J2 脆弱性:Sisense/Snowflake 侵害と金融セクター
05/31:Snowflake:Santander/Ticketmaster 侵害との関連は?
IoT OT Security News 
You must be logged in to post a comment.