異常な動作を示しているバイナリを発見し、その文字列内に予期しないコンテンツが見つかった後に、アナリストが行うべき次のステップは、信頼できるソースからのバイナリのハッシュを検証することです。ハッシュは、ファイルまたはメッセージの内容を一意に表す固定長の値です。侵害されたマシン上のバイナリのハッシュと、ソフトウェア ベンダーやリポジトリなどの信頼できるソースからの元のバイナリまたは正規のバイナリのハッシュを比較することで、分析者は、バイナリが変更されているか、悪意のあるコードによって置き換えられているかどうかを判断できます。ハッシュが一致しない場合は、バイナリが改ざんされており、マルウェアが含まれている可能性があることを示します。

説明
コマンド アンド コントロール (C2) は、攻撃者が悪用に成功したターゲットとの通信を確立しようとするサイバー キル チェーンのフェーズです。C2 を使用すると、攻撃者は、マルウェア コールバック、バックドア、ボットネット、秘密チャネルなどのさまざまな方法を使用して、ターゲット システムまたはネットワークをリモートで制御または操作できます。C2 を使用すると、敵対者は永続性の維持、データの漏洩、コマンドの実行、ペイロードの配信、または他のシステムやネットワークへの拡散を行うことができます。

インシデント対応計画 (IRP) は、セキュリティ インシデントに対応するための役割と責任、手順、ガイドラインを定義する文書です。これにより、セキュリティ チームが迅速かつ効果的に行動し、インシデントの影響とコストを最小限に抑えることができます。IRP は、セキュリティ イベント後の封じ込め、根絶、回復、分析などの次のステップを誰が実行するかを指定する必要があります12。参照: CompTIA CySA+ CS0-003 認定学習ガイド、362 ページ。6 セキュリティ イベント後に実行するインシデント対応手順、セクション 2。

出力には、ポート スキャンの結果が表示されます。ポート スキャンは、開いているポートとネットワーク ホスト上で実行されているサービスを識別するために使用される手法です。ポート スキャンは、攻撃者が潜在的な脆弱性を発見して悪用するために使用したり、防御者がネットワーク デバイスのセキュリティ体制と構成を評価したりするために使用できます1。出力には、ターゲット ホスト上で開いている 6 つのポートが、関連するサービス名とバージョンとともにリストされます。各ポートで。サービス名は、ポートを使用しているアプリケーションまたはプロトコルのタイプを示し、バージョンはサービスの特定のリリースまたはアップデートを示します。サービス名とバージョンは、サービスの機能、特徴、弱点を明らかにすることができるため、攻撃者と防御者の両方に有益な情報を提供します。
リストされている 6 つのポートのうち、2 つは特に危険であり、セキュリティ チームによってさらに調査される必要があります。
ポート 23 とポート 636。
ポート 23 は、リモート ログインおよびコマンド実行用の古くて安全でないプロトコルである Telnet によって使用されます。
Telnet は、ユーザー名やパスワードを含め、ネットワーク上で送信されるデータを暗号化しないため、攻撃者による盗聴、傍受、変更に対して脆弱になります。Telnet には、攻撃者が不正アクセスを取得したり、任意のコマンドを実行したり、ターゲット ホストでサービス拒否攻撃を引き起こしたりする可能性がある既知の脆弱性が多数あります23。ポート 636 は、LDAP over SSL/TLS (LDAPS) によって使用されます。安全な接続を介したディレクトリ サービスへのアクセスと変更。LDAPS は、認証、機密性、整合性を提供する SSL/TLS 証明書を使用して、クライアントとサーバー間で交換されるデータを暗号化します。ただし、LDAPS は、証明書が適切に構成、検証、または更新されていない場合、攻撃に対して脆弱になる可能性があります。たとえば、攻撃者は自己署名証明書または期限切れの証明書を使用して、LDAPS 接続に対して中間者攻撃、スプーフィング攻撃、または証明書失効攻撃を実行する可能性があります。
したがって、セキュリティ チームは、ターゲット ホストでポート 23 とポート 636 が開いている理由と、それらのホストでどのようなサービスが実行されているかをさらに調査する必要があります。セキュリティ チームは、これらのサービスを無効にするか、ポート 23 の SSH やポート 6362 の StartTLS など、より安全な代替サービスに置き換えることも検討する必要があります。