脅威リサーチやマルウェア解析を行うSOCアナリストの業務紹介

以前のブログで、弊社のSOCアナリストがどのような業務を行っているのか、全体像やそれぞれの業務の概要などを紹介しました。本ブログでは、その中でも脅威リサーチ、マルウェア解析、カスタムシグネチャ作成をメインとしているSOCアナリスト業務について紹介します。

脅威リサーチ

SOCでは、現在流行している、あるいはこれから流行する可能性があるサイバー攻撃の情報を収集したり、リアルタイム分析している中で見つけた未知の攻撃を深堀調査したりすることで、どういった脅威主体によるどのようなマルウェアを使った攻撃だったかなどの詳細を明らかにしていく脅威リサーチを行っています。IoC検索やマルウェア収集を目的としたVirusTotal、検体の動的解析を目的としたANY.RUN、サーバの検索を目的としたCensysなど、様々なリサーチに必要なサービス購入に多くの予算を使っており、ストレスなくリサーチ活動を行うことができます。リサーチ手法を常に考えながら確立したものについては、独自にシステムを構築し、現在も様々なツールが稼働しています。最近では、Golang Malwareの解析を補助するツールを開発しており、その成果はカンファレンスなどで発表しています。

マルウェア解析

SOCではレポート作成や脅威リサーチなど様々な場面でマルウェア解析を行います。解析ツールとしては、静的解析にIDA Proを、動的解析にANY.RUNに代表されるオンラインサンドボックス、仮想マシンでは動作しない検体の解析に物理サンドボックスなどを利用します。解析対象のマルウェアは、上記で紹介した脅威リサーチで見つけた検体やリアルタイム分析で見つけた検体、あるいはお客様から頂いたオンラインサービスでは手に入らない検体などが対象になります。解析は対象などによりますが、IOCを抽出する目的だけの動的解析で終わる場合もあれば、マルウェアのファミリ名の特定や機能などを明らかにする目的で静的解析までじっくり行う場合もあります。マルウェアの特徴を見つけてYaraシグネチャを作成してハンティングといった作業も積極的にやっています。

カスタムシグネチャ作成

SOCがアラート分析している製品について、ベンダ提供のシグネチャでは検知できない最新の脅威を検知するために、SOCでは独自にシグネチャを作成しています (カスタムシグネチャ)。IPS/IDS製品やEDR製品が主な対象になります。上記で紹介しました脅威リサーチやマルウェア解析業務を行う中で見つけたマルウェア感染やサイバー攻撃を検知するためのロジックを作成します。検知したい脅威タイプや対象製品に合わせてSnort形式 (IDS/IPS製品向け)、OpenIOC形式 (EDR製品向け) 、製品独自形式など、さまざまな書式で作成しています。EDR向けのカスタムシグネチャやSIEMルールについては、過去のブログに詳細を紹介していますので、ご参照ください。自身の作成したシグネチャによって検知の難しい標的型攻撃を見つけたときは、とてもやりがいを感じることができる業務です。

レポート作成

ここで言うレポートとは、SOCの監視対象としてアラート分析で見つけた事象をお客様へ報告するインシデントレポートとは別のものです。主にSOCがお客様に月次レポートとして月に1回提供するレポートや、お客様から個別に頂いた依頼に基づく詳細調査結果のレポート作成を行います。前者はその月で注目されたサイバー攻撃で使われる攻撃テクニックや脆弱性情報などを扱います。後者は依頼内容によりますが、お客様から提供していただいたマルウェアの検体やインシデント関連ログを解析してレポート作成を行います。どのように書けばよりお客様に理解いただけるか、常に試行錯誤しながら取り組んでいます。

社内勉強会

月に数回ほど、オンライン・オフライン問わず、社内で勉強会が実施されています。前述した脅威リサーチやマルウェア解析の業務を行う上で、アナリストは各々が手順や結果をレポートやWikiにまとめるなどのアウトプットを行っており、それをお互いに共有したり議論したりするために、勉強会が行われています。この取り組みによって、アナリストのスキル向上やコミュニケーション能力、プレゼン力の向上などを図っています。また、事前に決められた勉強会だけでなく、新しいサイバー攻撃手法などが見つかった場合には、その場で検知手法や分析手法の検討や共有などが突発的に行われています。その場の議論が白熱し、あっという間に数時間経過してしまうと言ったことも多々あります。

外部発表

外部活動の一環として、上記で紹介した脅威リサーチ結果やマルウェア解析結果をブログやホワイトペーパーで公開しています。JSACやCODE BLUEといった国内で行われるセキュリティカンファレンスだけでなく、Virus Bulletinなど世界的に著名なセキュリティカンファレンスでの発表も積極的に行っています。アナリストチームはこれまでに、JPCERT主催のJSACで第1回から現在まで毎年継続して発表しており、また年に2，3回海外でのセキュリティカンファレンスでも発表しており、同じ業界の方からも高い評価をいただいています。これらの発表に向けては2，3名のチームを組んで、メンバー同士で積極的にコミュニケーションを取りながら楽しく取り組んでいます。外部のリサーチャーとの顔を合わせての意見交換はとても勉強になります。カンファレンス発表の詳細については、下記に記載の2023年以降のアナリストメンバーが発表した主な内容にあるリンクをご覧ください。

本ブログでは、脅威リサーチやマルウェア解析を担当しているSOCアナリストの業務内容について紹介しました。これらは、SOCではなくてはならない重要なポジションとなっています。例えば、リアルタイム分析をしている中で見つけた未知のサイバー攻撃について、脅威リサーチの中で詳細を明らかにし、関連するマルウェア検体を収集します。その後、収集した検体を解析し、詳細な挙動を理解し、さらにIOCなどを取得します。続いて、カスタムシグネチャ作成において解析情報を参考にしながら、検知ロジックを作成します。これらの取り組みによって、リアルタイム分析での検知力が向上し、結果的にSOCサービス自体の品質向上につながります。現在、SOCではこのような業務を一緒にやりたいと思っていただける仲間を募集中です。興味のある方はぜひ、弊社採用チームへご連絡ください。

2023年以降のSOCアナリストメンバーが発表した主な内容

• JSAC 2023
  • The Rule for Wild Mal Gopher Families
  • Detection Engineering with SIGMA (Defend against APT targeting Japan)
• White Paper
  • Golangマルウェアに対する新たなアプローチgimpfuzzyの実装と評価
• HITCON 2023
  • Why Panda Loves USB?: Observing Targeted Attacks by Chinese APTs
  • GroundPeony: Crawling with Malice
• SANS APAC DFIR Summit 2023
  • 悪意のあるMSIXファイルの台頭
• VB2023
  • FirePeony: a ghost wandering around the Royal Road
• HACK.LU 2023
  • The rise of malicious MSIX file
• AVAR2023
  • Rebrand to X?: SteelClover Cornucopia