概要
GreyNoiseは、ファイアウォールやルーター、VPNシステムなどの侵害されたエッジデバイスを特定するための新しい機能「C2 Detection」を導入しました。これらのデバイスは、従来のセキュリティツールでは見えづらいことが多く、攻撃者がコマンドアンドコントロール(C2)サーバーと通信している場合でも、通常は警告が発生しません。
C2 Detectionの機能
GreyNoiseの新しい機能は、エッジデバイスからのアウトバウンドトラフィックを分析することで、侵害された可能性のあるデバイスを特定します。具体的には、グローバルセンサーネットワークで観測された攻撃ペイロードからコールバック先のIPアドレスを抽出し、そのIPアドレスが悪意のあるものであるかどうかを調査します。
セキュリティチームへの影響
この機能により、セキュリティチームは以下の方法で侵害されたデバイスを検出できます:
- アウトバウンドトラフィックのログとGreyNoiseのコールバックデータセットを照合する。
- C2インフラストラクチャとのマッチングにより、即座に対応アクションを実行する。
また、この機能はSIEMやSOARツールと統合され、自動化されたワークフローを可能にします。例えば、ファイルダウンロードサーバーとのマッチングが検出された場合、調査がトリガーされます。
C2 Detectionの特徴
GreyNoiseはコールバックIPアドレスを3つの段階に分類し、明確な深刻度レベルを提供します:
- 未確認:ペイロードで観測されたが、悪意のあるファイルの配布が確認されていない。
- ステージ1(ファイルダウンロード):悪意のあるペイロードをホストしていることが確認されている。
- ステージ2(C2疑い):アクティブなコマンドアンドコントロール活動の強い証拠がある。
これらの分類は、攻撃者のキルチェーンにおける位置を検出と対応に反映させます。