~新米ホワイトハッカーの検証日記~
【第2回】KALI Linuxによる疑似サイバー攻撃編(1)
第1回で準備したKali LinuxとFortiNDRを使用し、第2回となる今回は実際にKali Linuxからの疑似攻撃がFortiNDR側でどのように検知されるのかを見ていきます。
FortiNDRのGUI
ML(機械学習)形成の設定について
ML形成とは、通常のトラフィックパターンから逸脱した異常な動作を特定し検出するためのベースラインを形成することを指します。このプロセスが完了すると、異常検知が可能となります。FortiNDRのGUI上にて、[ML Configuration]を選択するとトラフィックの異常検出に向けたMLベースライン機能とベースライン形成のステータスの表示や編集ができます。ML設定の画面には、次の情報が表示されます。
| タブ | 解説 |
|---|---|
| 送信元IP | IP範囲の送信元IPアドレス |
| 危険度 | IPに割り当てられた重大度レベル |
| 機能数 | デフォルトタブで有効になっている機能数 |
| 最終変更時刻 | ML構成が変更された日時 |
| トレーニング開始時間 | ベースライントレーニングが開始された日時 |
| トレーニング終了時間 | ベースライントレーニングが完了した日時 |
ここでは、次の2つのタブが表示されます。
①デフォルト:トラフィック異常検出の機械学習ベースライン機能を表示および調整し、ベースライントレーニングのステータスを監視します。デフォルトタブの「ベースライン トレーニング ステータス」が緑色の「Baseline Ready」のときトレーニングが完了し異常検出の準備が整ったことを示しており、オレンジ色の「Baselining」の場合はトレーニングが現在も進行中であることを示しています。
![【画像1】 FortiNDR [ML Configuration]>[Default]タブ](img/fortindr_1.png)
【画像1】 FortiNDR [ML Configuration]>[Default]タブ
②ソースIP:IP範囲を分類します。IP範囲の各グループはML構成に基づいて個別にトレーニングすることができ、様々なレベルの重大度を異なるIP範囲に適用してカスタム異常検出を行うことができます。
![【画像2】FortiNDR [ML Configuration]>[Source IP]タブ](img/fortindr_2.png)
【画像2】 FortiNDR [ML Configuration]>[Source IP]タブ
デバイスインベントリについて
FortiNDRにGUIからアクセスし、[Network Insights]>[Device Inventory]を選択すると以下のような画面が表示され、検出されたデバイスやその詳細情報(検出されたデバイスのIPアドレスやOS、ID、ネットワークの他に最新の接続時刻など)が分かります。
![【画像3】 FortiNDR [Network Insights]>[Device Inventory]タブ](img/fortindr_3.png)
【画像3】 FortiNDR [Network Insights]>[Device Inventory]タブ
ネットワーク攻撃の検出
FortiNDRでは、検出された攻撃のリスクレベルを以下のように分類します。攻撃が検出された際に通知されるアラート画面より、どのリスクレベルに当てはまる攻撃が検出されたのかを確認することができます。
| イベントカテゴリ | リスクレベル |
|---|---|
| マルウェア攻撃 | Low/Medium/High/Critical |
| ボットネット攻撃 | Critical |
| 暗号化攻撃 | Critical |
| ネットワーク攻撃 | Low/Medium/High/Critical |
| 侵害の兆候の検出 | Critical |
| 脆弱な暗号や プロトコルの検出 | Low/Medium/High/Critical |
| 機械学習による検出 | Low/Medium/High/Critical |
それではまず初めにネットワーク攻撃の一種であるポートスキャンの疑似攻撃を試します。
(注意)本記事で紹介するKali Linux上のツールは、自身が管理する検証環境など使用が許可されているネットワーク内で検証してください。管理外のネットワークやホスト等で使用すると攻撃行為と判断され、不正アクセス禁止法に抵触する恐れもありますので、十分にご注意ください。
①テスト用に準備したデスクトップのネットワークに対してnmap*でPingスキャンを行い、ローカルネットワーク内のすべてのアドレスに対してPing接続を行い、稼働しているホストIPを調べます。
> nmap -sn 192.168.100.0/24
~
Nmap scan report for 192.168.100.X
Host is up
~
Nmap done: 256 IP addresses (Y(アップしているホスト数) hosts up ) ・・
*・・・nmapとは、ポートスキャンやサービスの稼働状況の調査などを行うためのツール。
②上記から判明した稼働しているIPに対してポートスキャンを実施します。
> sudo nmap -sV -O -p- 192.168.100.X
~
Nmap scan report for 192.168.100.X
~
PORT STATE SERVICE VERSION
135/tcp open msrpc Microsoft Windows
445/tcp open Microsoft-ds
~
〈使用したコマンドオプション〉
-sn:Pingスキャンのみを行う。
-sV:空いているポートを調査し、サービスやバージョン情報を確認する。
攻撃を実行すると、[Network Insights]>[Network Attacks]に次のようなアラートが通知され、Lowという表示から比較的リスクの少ない脅威として検知されたことが分かります。通常時の動作からやや逸脱した通信が検出された場合や既知の脅威と一致はしていないものの注意する必要のある通信が検出された場合などは、このようにLowに分類されます。
![FortiNDR [Neteork Insights]>[Network Attacks]タブ](img/fortindr_4.png)
【画像4】 FortiNDR [Neteork Insights]>[Network Attacks]タブ
ボットネット攻撃の検出
次に、テスト用のPCAPファイルを用いてボットネットの疑似攻撃を試していきます。今回は過去に起きたボットネット攻撃を再現したPCAPファイルを用意し、事前にKali Linux側にダウンロードしておきました。tcpreplayでこのPCAPファイルを再生すると、攻撃イベントを発生させることができます。
①特権ユーザーに入る
> sudo su
[sudo] kali のパスワード: パスワードを入力
②tcpreplayでインターフェースを指定し、実行
>tcpreplay -i eth0 〈PCAPファイル名〉
攻撃を実行すると、[Network Insights]>[Botnet]に次のようなアラートが通知され、Criticalという表示から深刻な脅威として検知されたことが分かります。暗号化された疑わしい通信が検出された場合や既知の攻撃に一致する通信が検出された場合などは、このようにCriticalに分類されます。
![FortiNDR [Network Insights] [Botnet]タブ画面](img/fortindr_5.png)
【画像5】 FortiNDR [Network Insights]>[Botnet]タブ
今回はここまでとなります。次回も疑似サイバー攻撃の検証にトライしていきます!
セキュリティのご相談はSCSKへ
ネットワークセキュリティの強化は、今日のデジタル時代において欠かせない要素です。FortiNDRなど高性能なアプライアンスの導入により、企業の情報資産を効果的に守ることが可能になります。SCSKでは豊富なラボ環境を揃え、お客様環境を想定した検証など技術的なサポートも行っております。
まずはお気軽にお問い合わせください。お客様に合わせた最適なソリューションをご提案し、安心のネットワーク環境を実現いたします。
著者
