標的型攻撃で侵入されたネットワークでは、侵入後に他のホストやサーバーに感染が広がる事例が多い。インシデント調査では、この侵入拡大フェーズの調査が重要である。侵入拡大フェーズの調査手法として、感染ホストのログ調査や、ディスクイメージのフォレンジック調査などが挙げられる。しかし、調査に有効なログが感染ホスト上に残らず、攻撃者の行動を十分に追跡できないことも多い。そのため、攻撃者がネットワーク内でどのように感染拡大を行うか把握できないことが多い。
そこで、攻撃者の行動を把握するために、実際の攻撃に使用された攻撃者のサーバー(C2サーバー)やマルウェアを調査した。C2サーバー内のログやマルウェアが行った通信をデコードすることで、ネットワーク侵入後の攻撃者の行動を把握することが可能となった。その結果、侵入拡大の手口にはよく見られる共通のパターンが存在することを確認した。また、異なるマルウェアや攻撃キャンペーンの場合でも、使用されるツールは多くの場合において同様であることがわかった。
同様のツールが多く使用されることから、それらツールの利用を追跡することが横断的侵害を把握する上で有効な手法のひとつとなる。攻撃の主な対象となるWindowsでは、一定の監査機能がインストール時点から動作している。しかし、攻撃者が典型的に使用するツールを分析・検証したところ、Windowsの初期設定では多くのツール実行を記録するには不十分であり、有用な情報を記録するには追加の設定が必要であることが確認された。
本講演では、初めに調査結果から分かった横断的侵害(Lateral Movement)でよく見られる攻撃パターンと利用されることが多いツールについて説明する。そして、このようなツールが利用されたインシデントを調査または検知する方法について解説する。