Adversary Playbook: JSON 形式で攻撃者ごとに整理したプレイブック(戦術書)をスレットインテリジェンスのコミュニティで共有しよう

researchcenter.paloaltonetworks.com

Adversary Playbook を作ったきっかけ

• アメフトなどのスポーツでは、選手が敵の攻撃の特長や分析を記載した「プレイブック」と呼ばれる作戦シナリオ集を覚えて対戦する
• 「攻撃者にも攻撃シナリオ集があるのだから防御側もスレットインテリジェンスコミュニティを跨いで活用できるプレイブックがあれば良いのでは」→ 「作ってみた」

Adversary Playbookで何がしたいか

• 攻撃者グループが利用するツール・手法・手順を構造化された書式でコミュニティ間で共有すること

Adversary Playbook で利用するフレームワーク

• オープンソースのサイバースレットインテリジェンス(CTI) 情報交換用言語 STIX 2.0
  • JSON フォーマットで攻撃者グループの侵入方法や IOC などを記載
• MITRE が提供する攻撃者についてのナレッジベース ATT&CK

Adversary Playbook のサンプル

• 攻撃者グループ OilRig 用に作成したサンプル JSON
• Web ビューアで JSON ファイルを開いたところ
  • GitHub リポジトリに保存した JSON ファイルを読み込んで攻撃者のキャンペーン(オペレーション)ごとに時系列で整理して表示
  • 特定のキャンペーンを開くとそのキャンペーンにでとられた攻撃ライフサイクルのステップごとの攻撃手法などが確認できる

備考

• サンプルの OilRig 攻撃者グループ以外も今後追加予定
• 画面は開発中のものなので今後も更新される予定

セキュリティ設定の甘い MongoDb データベースから 1920 万人分のカリフォルニア州在住有権者の登録情報が削除され、脅迫状が残される

mackeepersecurity.com

• インターネット上に編集権限を適切に設定せずに公開されているセキュリティ設定に問題のある MongoDB データベースがランサムウェアによりこれまで 3 万 2000 個以上削除されている
• そのようにしてランサムウェアに削除されたデータベースの中にカリフォルニア州の 1920 万人分の有権者登録データを保存したデータベースが含まれていたことが Kromtech Security Center のリサーチャーの調べで判明
  • 当該データベースは現在も所有者不明
  • 登録されていたデータはすべてランサムウェアによって削除済みのため調査時点ではどんな種類のデータが登録されていたかというスキーマのみが確認されている
  • 実データがカリフォルニア州在住有権者データと正確に合致したものだったかどうかはわかっていないがレコード数からはカリフォルニア州のおおよその有権者数と合致していることが確認されている
  • 削除したデータのかわりに攻撃者により 0.2 ビットコイン (日本円で現在およそ 40 万円) を要求する脅迫状が残されている
  • このデータベースの所有者は不明、「 選挙期間中、いずれかの陣営が有権者の情報を集めて戦略に使った後放置していたものではないか?」という推測があるのみ
  • 被害を受けたデータベースは現在はオフライン
  • カリフォルニア州州務長官は当該の問題について把握しており「現在調査中」
• 「有権者は自身の義務を果たしただけなのに、どこかの誰かがセキュリティ設定の甘いデータベースをインターネットに公開して放置したせいでダークウェブにデータが販売されてしまい、それが何に悪用されるかわからない状況」

Microsoft 10 のAnniversary Update にデフォルトでインストールされるサードパーティ製パスワード管理ソフト Keeper に保存した全パスワードを窃取される脆弱性

thehackernews.com

• 報告者の Chromium ブログ
  • 「以前同製品の古いバージョンについて報告した不具合と全く同じ脆弱性が再度組み込まれている」「リグレッション テストはしたのか?」
• 当該脆弱性を修正した Keeper の修正版
• Keeper 脆弱性の PoC