レジストリ永続化メカニズムの脅威ハンティング

使用タイミング

• 環境内のレジストリ永続化メカニズムの指標を積極的にハンティングする場合
• 脅威インテリジェンスがこれらの技術を使用したアクティブキャンペーンを示している場合
• インシデント対応中にこれらの技術に関連する侵害の範囲を把握する場合
• EDRまたはSIEMアラートが関連する指標をトリガーした場合
• 定期的なセキュリティ評価とパープルチーム演習中

前提条件

• プロセスおよびネットワークテレメトリを備えたEDRプラットフォーム(CrowdStrike、MDE、SentinelOne)
• 関連ログデータが取り込まれたSIEM(Splunk、Elastic、Sentinel)
• 包括的な構成で展開されたSysmon
• Windows Security Event Logの転送が有効化されていること
• IOC相関のための脅威インテリジェンスフィード

ワークフロー

1. 仮説を策定する: 脅威インテリジェンスまたはATT&CKギャップ分析に基づいて、検証可能な仮説を定義します。
2. データソースを特定する: 仮説を検証または否定するために必要なログとテレメトリを決定します。
3. クエリを実行する: SIEMおよびEDRプラットフォームに対して検出クエリを実行し、関連するイベントを収集します。
4. 結果を分析する: クエリ結果を検査して異常を特定し、複数のデータソース間で相関させます。
5. 発見を検証する: コンテキスト分析を通じて真陽性と偽陽性を区別します。
6. アクティビティを相関させる: 発見をより広い攻撃チェーンと脅威アクターのTTPにリンクさせます。
7. 文書化と報告: 発見を記録し、検出ルールを更新し、対応アクションを推奨します。

主要な概念

ツール & システム

一般的なシナリオ

1. シナリオ 1: マルウェアがユーザーレベルの永続化のためにHKCU Run キーを追加する
2. シナリオ 2: 攻撃者がシステムレベルの永続化のためにWinlogon Shellを変更する
3. シナリオ 3: アクセシビリティ機能バックドアのためのIFEOデバッガーインジェクション
4. シナリオ 4: DLLロード用のCOMオブジェクト InprocServer32 ハイジャック

出力フォーマット

Hunt ID: TH-HUNTIN-[DATE]-[SEQ]
Technique: T1547.001
Host: [Hostname]
User: [Account context]
Evidence: [Log entries, process trees, network data]
Risk Level: [Critical/High/Medium/Low]
Confidence: [High/Medium/Low]
Recommended Action: [Containment, investigation, monitoring]