ICSマルウェア
解析サンドボックス
もう1つのCyberX固有の機能 — CyberXのサンドボックス機能はICSマルウェアに特化して設計されており、不審なファイルがOTアセットを標的にしているかどうかを即座に判断できます。
不審なファイルを勘で判断しない
ITマルウェアのサンドボックスは何年も前からありますが、TRITONやHavexなどの、OT固有のマルウェアには使えません。
なぜなら、ITサンドボックスは、OTライブラリ(TristationやOPCなど)、サービス、PLC、レジストリキー、DLLなど、マルウェアの完全な実行に必要なOT固有のランタイムコンポーネントをシミュレートしないからです。
CyberXのICSマルウェア解析サンドボックスは、完全なOT環境を仮想化することで、OT固有のマルウェアを迅速かつ自動的に識別し、IOCを特定して、脅威インテリジェンスをグローバルICSコミュニティ全体で共有できるようにします。
一度クリックするだけで、CyberXのクラウドベースのサービスに不審なファイルをアップロードして、マルウェアがOTアセットを標的にしているかどうか、そして具体的にどのような影響があるかを即座に判断できるほか、そのマルウェアに関連するネットワークベースおよびホストベースのIOCリストを確認することもできます。
CyberXのサブスクリプションベースの自動サービスは業界内でも類のないのもので、ICSマルウェアに特化して設計されており、それまでに見つかっていなかったマルウェア(ゼロデイマルウェア)にも対処します。
このアプローチによって、SOCチームは、ICS固有のマルウェア解析を既存のIRワークフローに簡単に組み込むことができます。OTマルウェアの専門家を採用する必要も、社内で作成したスクリプトや従来のツールを使用してOTマルウェアをリバースエンジニアできるよう現在のTier 3アナリストをトレーニングする必要もありません。
仕組み
CyberXのクラウドベースのサンドボックスでは、CyberXのICSに関する幅広い専門知識と、ICSプロトコル、デバイス、アプリケーションに関する深い理解に基づいて、不審なICSマルウェアを実行するための仮想ICS環境を構築できます。
マルウェアを実行するICSシミュレーション環境には、ICS固有のライブラリ、サービス、接続されたPLC、レジストリキー、DLLなど、必要なすべてのランタイムコンポーネントが含まれています。
サンドボックス内でマルウェアがデトネーション(爆発)して実行されると、システムはマルウェアを測定し、その動作を総合的に分析してIOCを記録します。
「Stuxnetの最初の亜種がVirusTotalに送られたのは2007年でしたが、Stuxnetが検出されたのは2012年になってからでした。私は、ICSマルウェアを対象としたVirusTotalという考え方を強く支持します」
Stuxnetのペイロードを最初に解読した先駆者のICSセキュリティ研究者ラルフ・ラングナー氏、Dark Readingでの引用