« NIST SP 800-82 第3版 OTセキュリティガイド(ドラフト) | Main | MITRE ATT&CKのVer 11.0がリリースされましたね。。。 (2022.04.25) »

2022.04.29

米国 MITRE 産業用制御システムにおける検出工学-ウクライナ2016年攻撃:SandwormチームとIndustroyerのケーススタディ

こんにちは、丸山満彦です。

MITREが、産業用制御システムにおける検出工学-ウクライナ2016年攻撃:SandwormチームとIndustroyerのケーススタディについての技術文書を公表していました。。。

● MITRE

・2022.04 DETECTION ENGINEERING IN INDUSTRIAL CONTROL SYSTEMS—UKRAINE 2016 ATTACK: SANDWORM TEAM AND INDUSTROYER CASE STUDY

 

論文自体は、2021年12月に発表されたもののようですね。。。

・2021.12 [PDF] Detection Engineering in Industrial Control Systems - Ukraine 2016 Attack: Sandworm Team and Industroyer Case Study

20220429-60258

Abstract  概要 
We extend MITRE's TCHAMP threat hunting methodology to Industrial Control Systems (ICS),  identifying and addressing challenges unique to ICS environments. We execute the defensive  analytic development process leveraging the Ukraine 2016 cyber-attack as a use case from which  we source requirements. We describe the use of purple teaming activities and research into  technique execution to determine an appropriate level of technical depth to support the detection  engineering process. Understanding how to map attacks to a target ICS environment and  understanding the breadth of options available to an adversary are both critical to developing  sufficiently specific detections. The output of this process is a set of usable analytics ranging in  maturity from proof-of-concept to ready-for-production deployment. We build upon work where  possible from commercial and open-source tooling, using the exemplar use case to establish  technical requirements for custom-built or commercially acquired detection capabilities. We  cover the analytics we developed and discuss lessons learned for future ICS detection  engineering efforts. MITREのTCHAMP脅威ハンティング手法を産業用制御システム(ICS)に拡張し、ICS環境に特有の課題を特定し、対処します。本書では、2016年のウクライナのサイバー攻撃をユースケースとして活用し、防御分析開発プロセスを実行し、そこから要件を抽出します。また、検出エンジニアリングプロセスを支援するための適切な技術的深度レベルを決定するための、パープルチーミング活動の使用と技術実行の研究についての説明もします。攻撃をターゲットのICS環境にマッピングする方法を理解し、敵対者が利用できるオプションの幅を理解することは、どちらも十分に具体的な検出を開発するために重要です。このプロセスの結果は、概念実証から本番配備まで、幅広い成熟度で使用可能な一連の分析となります。私たちは、可能な限り商用およびオープンソースのツールを使用し、カスタムメイドまたは商用で取得した検出機能の技術要件を確立するために、模範となるユースケースを使用します。私たちが開発した解析について説明し、今後のICS検知エンジニアリングの取り組みのために学んだ教訓について議論します。

 

 

 

1 Overview 1 概要
1.1 TCHAMP Enterprise DCO Analytic Development 1.1 TCHAMPエンタープライズDCO分析開発
2 Ukraine 2016 Attack and Threat Intelligence Analysis 2 ウクライナ2016年攻撃と脅威のインテリジェンス分析
2.1 Overview 2.1 概要
2.2 Mapping the Ukraine incident to ATT&CK for ICS Tactics 2.2 ウクライナの事件をICS戦術のATT&CKにマッピングする
2.2.1 Pivoting to ICS / Initial Access 2.2.1 ICSへのピボッティング/初期アクセス
2.2.2 Evasion 2.2.2 回避
2.2.3 Discovery 2.2.3 ディスカバリー
2.2.4 Collection 2.2.4 収集
2.2.5 Inhibit Response Function 2.2.5 応答機能の阻害
2.2.6 Impair Process Control 2.2.6 プロセス制御の阻害
2.2.7 Impact 2.2.7 インパクト
2.3 Activity on the ICS Enterprise Network 2.3 ICS企業ネットワークにおける活動
2.3.1 Shift in Adversary Behavior 2.3.1 敵対者の行動の変化
2.3.2 Remote Execution Attack Pattern 2.3.2 リモート実行の攻撃パターン
2.4 ICS Payload Modules 2.4 ICSペイロードモジュール
2.4.1 Launcher Module 2.4.1 ランチャーモジュール
2.4.2 IEC 101 Module 2.4.2 IEC 101 モジュール
2.4.2.1 Profile 2.4.2.1 プロファイル
2.4.2.2 Act 2.4.2.2 Act
2.4.3 IEC 104 Module 2.4.3 IEC 104 モジュール
2.4.3.1 Profile 2.4.3.1 プロファイル
2.4.3.2 Act 2.4.3.2 アクト
2.4.4 61850 Module 2.4.4 61850モジュール
2.4.4.1 Profile 2.4.4.1 プロファイル
2.4.4.2 Act 2.4.4.2 アクト
2.4.5 OPC DA Module 2.4.5 OPC DAモジュール
2.4.5.1 Profile 2.4.5.1 プロファイル
2.4.5.2 Act 2.4.5.2 アクト
2.4.6 Data Wiper Module 2.4.6 データワイパーモジュール
2.5 Attack Timeline 2.5 攻撃のタイムライン
3 ICS Analytic Development Process 3 ICS分析開発プロセス
3.1 Gather Data and Develop Malicious Activity Model 3.1 データ収集と悪意ある活動モデルの開発
3.1.1 Threat Intelligence Reports - Use and Limitations 3.1.1 スレットインテリジェンスレポート - 使用と限界
3.1.2 Understanding Key Behaviors 3.1.2 主要な動作の理解
3.2 Map Malicious Activity to Target Environments 3.2 悪意ある行動とターゲット環境のマッピング
3.3 Develop Hypotheses and Abstract Analytics 3.3 仮説の作成と抽象的分析
3.3.1 Capability Abstractions and Detection In Depth 3.3.1 機能の抽象化と深層心理の検出
3.3.2 Open-Source Research 3.3.2 オープンソースの研究
3.4 Determine Data Requirements 3.4 データ要件の決定
3.5 Remaining TCHAMP Steps 3.5 TCHAMPの残りのステップ
4 Analytics and Detection Engineering 4 解析と検出エンジニアリング
4.1 DNP3-based Analytics 4.1 DNP3ベースの解析技術
4.1.1 Read Average Comparison 4.1.1 読み取り平均値の比較
4.1.1.1 DNP3 Read Command 4.1.1.1 DNP3リードコマンド
4.1.1.2 How the Analytic Works 4.1.1.2 アナリティクスの動作方法
4.1.1.3 Analytic Testing 4.1.1.3 解析テスト
4.1.1.4 Lessons Learned 4.1.1.4 学んだこと
4.1.2 Two-way Read Average Comparison 4.1.2 2ウェイ・リード・アベレージの比較
4.1.2.1 How the Analytic Works 4.1.2.1 解析の仕組み
4.1.2.2 Lessons Learned 4.1.2.2 学んだこと
4.1.3 IP Pair Connections 4.1.3 IPペア接続
4.1.3.1 Allow List 4.1.3.1 許可リスト
4.1.3.2 How the Analytic Works 4.1.3.2 解析の仕組み
4.1.3.3 Lessons Learned 4.1.3.3 習得した教訓
4.1.4 Additional Abstract Analytics 4.1.4 その他の抽象的な分析
4.1.5 Summary 4.1.5 まとめ
4.2 Windows-based Analytics 4.2 Windowsベースのアナリティクス
4.2.1 Service Creation Capability Abstraction 4.2.1 サービスクリエーション能力の抽象化
4.2.2 Service Creation Analytics 4.2.2 サービスクリエーションアナリティクス
4.2.2.1 System Shells via Services 4.2.2.1 サービス経由のシステムシェル
4.2.2.2 Service Command Lateral Movement 4.2.2.2 サービスコマンドの横移動
4.2.2.3 Service Control Spawned via Script Interpreter 4.2.2.3 スクリプトインタプリタを介して生成されたサービス制御
4.2.2.4 Additional Service Creation Abstract Analytics 4.2.2.4 追加サービスの作成 抽象的な分析
4.2.3 Windows Management Instrumentation (WMI) Capability Abstraction 4.2.3 Windows Management Instrumentation (WMI) 機能の抽象化
4.2.3.1 Windows Management Instrumentation Overview 4.2.3.1 Windows Management Instrumentationの概要
4.2.3.2 Scope 4.2.3.2 スコープ
4.2.4 WMI Remote Execution Analytics 4.2.4 WMIリモート実行アナリティクス
4.2.4.1 Source Host 4.2.4.1 ソース ホスト
4.2.4.2 Destination Host 4.2.4.2 デスティネーション ホスト
4.2.4.3 Network 4.2.4.3 ネットワーク
4.2.4.4 Analytic Implementations 4.2.4.4 分析の実装
4.2.4.4.1 WMI Usage Plus Suspicious Behavior 4.2.4.4.1 WMI使用状況プラス不審な動作
4.2.4.4.2 WMI Plus Suspicious Process Creation on Destination 4.2.4.4.2 WMI+送信先での不審なプロセス作成
4.2.4.4.3 WMI Plus Profiling Process Created on Destination 4.2.4.4.3 デスティネーションで作成されたWMI+プロファイリングプロセス
4.2.4.5 Mitigations and Tuning 4.2.4.5 軽減策とチューニング
4.2.5 Summary 4.2.5 まとめ
5 Conclusion 5 まとめ
6 References 6 参考文献
Appendix A Power Distribution Background 附属書A パワーディストリビューションの背景
A.1 Power Distribution Overview A.1 配電の概要
A.2 Distribution Substation A.2 配電用変電所
A.2.1 Communication A.2.1 通信
A.2.1.2 Data Link A.2.1.2 データリンク
A.2.1.3 Power Distribution Protocols A.2.1.3 配電プロトコル
A.2.2 Local Indication A.2.2 ローカルインディケーション
A.2.3 Data Acquisition and Control A.2.3 データ収集と制御
A.2.4 Monitoring Transformers A.2.4 変圧器の監視
A.2.9 Protection Equipment A.2.9 保護装置
Appendix B Ukraine 2016 Attack TTPs, Adversary Emulation and Abstract Analytics Breakdown 附属書B ウクライナ2016年攻撃TTP、敵対者エミュレーション、抽象的解析のブレークダウン
Appendix C MITRE Cyber Innovation Lab (CIL) Attack Vignette 附属書C MITRE Cyber Innovation Lab(CIL)攻撃ビネット
C.1 Description C.1 概要
C.1.1 Environment C.1.1 環境
C.1.2 Overview C.1.2 概要
C.1.2.1 Scenario Assumptions and Constraints C.1.2.1 シナリオの前提条件と制約条件
C.1.2.2 Adversary Objectives C.1.2.2 敵の目的
C.1.3 Inputs C.1.3 入力
C.1.4 ICS Protocol Functions Used C.1.4 使用される ICS プロトコル関数
C.1.5 Attack Thread C.1.5 攻撃スレッド
C.1.6 Scenario-Specific Information C.1.6 シナリオ固有の情報
C.1.6.1 Protocol Values Used C.1.6.1 使用されるプロトコル値
C.2 MITRE CIL Vignette C.2 MITRE CILヴィネット

|

« NIST SP 800-82 第3版 OTセキュリティガイド(ドラフト) | Main | MITRE ATT&CKのVer 11.0がリリースされましたね。。。 (2022.04.25) »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« NIST SP 800-82 第3版 OTセキュリティガイド(ドラフト) | Main | MITRE ATT&CKのVer 11.0がリリースされましたね。。。 (2022.04.25) »