本ブログはセキュリティツール系Advent Calendarの3日目です。
本記事では筆者の開発プロジェクトであるShinoBOTファミリーのご紹介をします。各コンポーネントの詳細は別記事に記載予定です。
#ShinoBOTファミリーとは
ShinoBOTファミリーはテスト用の疑似マルウェア群の総称です。
###メインのコンポーネント
| ツール名 | 概要 | 公開年 |
|---|---|---|
| ShinoBOT | バックドアシミュレーター | 2013年 |
| ShinoBOT Suite | APTシミュレーター | 2014年 |
| ShinoLocker | ランサムウェアシミュレーター | 2015年 |
| ShinoBOT.ps1 | バックドアシミュレーター | 2017年 |
| ※以下のサイトから各疑似マルウェアのページを参照することができますが、組織によってはURLフィルターなどで検知される可能性があります。観閲の際はご注意ください。 | ||
| https://shinosec.com/ |
#開発の動機
仕事で未知のマルウェアを検知するセキュリティ製品を評価する必要があり、Metasploit/metapreterやインターネットで入手した検体を利用していたが、「未知のマルウェア」としてのテストはできなかったため、開発しました。
#公開の動機
Black Hat USA 2013に参加者登録しようとした際、Call For Toolsというバナーが見えて、ダメ元で応募したところ、当選したのがきっかけです。現在は以下の問題点の解決を試みたく、公開を継続しています。
解決したい課題(ポエム)
マルウェアを起点とする攻撃を検知・対処するセキュリティ製品は溢れかえっています。各製品の検知ロジックは異なっており、検知率、過検知率は当然異なります。さらに運用での観点でもあるアウトプット(ログ、アラートなど)も異なります。つまりユーザの要件、成熟度、導入済み製品によって選択すべき製品は変わり、評価の過程で製品ごとの違いを見つけなければなりません。高度なスキルを持ったユーザであればそれは可能ですが、そうではないユーザは残念ながらベンダーが「自称」しているスペックを鵜呑みにした上で、謝った選択をする可能性があります。
誰でも簡単に「それなりに」高度な攻撃をシミュレーションできれば、必要な製品を適切に選択できるのではないかと考えています。
そのため、ShinoBOTファミリーは簡単で誰でも安全に扱えるような設計を意識しています。例えば、マルウェアのC&Cサーバ(司令塔サーバ)はクラウドで提供されており、わざわざ自分で建てる必要はございません。攻撃者側のアクティビティはすべてWebブラウザで完結します。
#用途
1.セキュリティ製品の評価
2.インシデントレスポンスチームの訓練
3.教育
4.サイバー攻撃のデモ
5.研究用マルウェア
#おわりに
なんとなくShinoBOTファミリーの概要をわかっていただけましたでしょうか?次回はそれぞれのコンポーネントの詳細を見ていきたいと思います。