C2 Tracker はコミュニティ主導の IOC Feed ツール:Shodan と Censys を活用して何ができる?

C2 Tracker: A Community-Driven IOC Feed for Cybersecurity

2024/08/06 SecurityOnline — 日々進化するサイバー・セキュリティ脅威の状況において、最新かつ信頼できる脅威インテリジェンスへのアクセスは、最も重要なことである。この C2 Tracker は、Shodan と Censys の検索を活用して、既知のマルウェア/ボットネット Command and Control (C2) インフラに関連する IP アドレスを収集する、無料のオープンソース IOC (Indicator of Compromise) フィードである。

C2 Tracker とは?

C2 Tracker はコミュニティ主導のイニシアチブであり、サイバーセキュリティの専門家/研究者/愛好家たちに対して、インターネット上の悪意のある活動を特定/追跡するための、貴重なリソースを提供することを目的としている。インターネットに接続されたデバイス検索する、強力エンジンである Shodan と Censys を利用することで、幅広いサイバー脅威に関連する IP アドレスを、C2 Tracker は集約していく。

C2 Tracker は何を追跡するのか?

C2 Tracker の追跡範囲は広大であり、サイバー脅威の各種カテゴリーを網羅している:

  1. C2フレームワーク:C2 Tracker が重点を置くのは、Cobalt Strike/Metasploit Framework/Covenant/Mythic/Brute Ratel C4 などの、一般的な C2 フレームワークに関連する IP アドレスの特定である。これらのフレームワークは、脅威アクターが侵害したシステムを、脅威アクターがリモートで制御するために使用されている。
  2. マルウェア:情報ステーラー (AcidRain Stealer/Misha Stealer など) や、RAT (Quasar RAT/AsyncRAT など) などの、各種のマルウェア・ファミリーにリンクされた IP アドレスを追跡する。
  3. ツール:C2 Tracker は、C2 フレームワークやマルウェアに範囲を限定していない。たとえば、XMRig Monero Cryptominer/GoPhish/BurpSuite/Hashcat などの、セキュリティ専門家と脅威アクターの双方が、頻繁に使用するツールに関連する IP アドレスも追跡する。
  4. ボットネット:7777/BlackNET/Doxerina などの、ボットネットに関連する IP アドレスを監視する。ボットネットとは、さまざまな悪意の目的に使用される、侵害されたデバイスで構成されるネットワークである。

C2 Tracker の仕組み

C2 Tracker は、既知の C2 インフラ/マルウェア/ツールに関連する、特定のパターン/シグネチャ/特徴などをインターネット上でスキャンするために、Shodan と Censys の機能を利用して動作する。一致するものが見つかると、それに対応する IP アドレスが、C2 Tracker のフィードに追加されていく。このフィードはコミュニティに提供されため、ユーザー自身のセキュリティ・ツールやワークフローへの統合が可能になる。

コミュニティ主導の側面

C2 Tracker のユニークな側面として、コミュニティ主導の性質がある。そのため、このプロジェクトは、サイバー・セキュリティの研究者/愛好家たちからの、コントリビューションを積極的に奨励している。脅威を特定するために C2 Tracker が使用するクエリの多くは、他の CTI 研究者から提供されたものであり、脅威インテリジェンスを共有するための協力的な環境が育まれている。

C2 Tracker が重要な理由

いくつかの理由から、サイバー脅威との戦いにおいて、C2 Tracker は重要な役割を果たしている:

  • 早期警告: C2 Tracker は、C2 インフラとマルウェアを早期に特定することで、潜在的な攻撃に対する早期警告システムを提供し、防御側における事前対策の構築を可能にする。
  • 脅威ハンティング:C2 Tracker により生成された IOC フィードは、セキュリティ・チームがネットワークやログを検索して侵害の兆候を見つけるための、脅威ハンティングに使用できる。
  • リサーチ: C2 Tracker は、サイバー・セキュリティ研究者にとって貴重なリソースであり、マルウェアと C2 インフラの最新動向を理解するうえでも有用である。

C2 Tracker を始める

C2 Tracker はフリーでオープンソースであるため、誰もがアクセスできまる。このプロジェクトは GitHub にホストされており、ソースコード/ドキュメント/IOC フィードの使用方法を見つけられる。

結論として、C2 Tracker は、コミュニティ主導によるサイバー・セキュリティの取り組みのパワーを示す強力なツールである。Shodan と Censys の機能を活用し、研究者間のコラボレーションを促進することで、C2 Tracker はサイバー脅威を特定し緩和するための、貴重なリソースを提供する。あなたがセキュリティの専門家であれ、研究者であれ、あるいは、単にサイバー・セキュリティに興味のある個人であれ、C2 Tracker には探求する価値がある。

つい先日の 2024/08/05 には、「MISP とは? 脅威インテリジェンスを共有するための OSS プラットフォーム」という記事をポストしています。こちらの C2 Tracker は、Shodan および Censys との連携という点に、違いがあるのでしょうか? いずれにしても、脅威インテリジェンスを収集して共有するためのプラットフォームが増えるのは、とても良いことだと思います。どちらにも、頑張ってほしいです。