BeaconEye

新しいマルウェアはどんどん生まれてきます。
そして、新しくそれらに対抗するためのツールも生まれてきます。
BeaconEyeは防御者側が利用できるツールです。

BeaconEyeは、実行中のプロセスをスキャンして、アクティブなCobaltStrikeビーコンを探します。
プロセスがビーコンを実行していることが判明すると、BeaconEyeは各プロセスのC2アクティビティを監視します。

こんな風に使えます。

  • ライブプロセスまたはMiniDumpファイルをスキャンして、疑わしいCobaltStrikeビーコンを探す
  • ライブプロセスモードでは、BeaconEyeはオプションでそれ自体をデバッガーとして接続し、C2トラフィックのビーコンアクティビティの監視を開始する
  • C2データと可鍛性プロファイルの暗号化に使用されるAESキーはオンザフライでデコードする
    これにより、BeaconEyeは、コマンドがオペレーターを介して送信されたときにビーコンの出力を抽出および復号化できます。
  • アクティビティのログは、対象のプロセスごとに作成する

このツールにより、調査環境にCobaltStrike Beaconがある場合には、その活動を観測することができるようになります。
現在はまだ、HTTP / HTTPS beaconのみが対象である、コマンド出力のみがデコードされ、コマンド要求はデコードされない、などの制約がありますが、ツールが成熟していく中でより高機能になっていくことかと思います。

脅威そのもののの情報も、脅威に対抗するための情報も、情報を知っているということそのものが力となるのかもしれません。
まさしく、知は力なり、でしょうか。
あ、これは、beaconでなくFrancis Baconでした。
御後が宜しいようで。

参考記事(外部リンク):CCob / BeaconEye
github.com/CCob/BeaconEye

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。