Help us understand the problem. What is going on with this article?

ShinoBOTファミリーの紹介

More than 1 year has passed since last update.

本ブログはセキュリティツール系Advent Calendarの3日目です。
本記事では筆者の開発プロジェクトであるShinoBOTファミリーのご紹介をします。各コンポーネントの詳細は別記事に記載予定です。

ShinoBOTファミリーとは

ShinoBOTファミリーはテスト用の疑似マルウェア群の総称です。

メインのコンポーネント

ツール名 概要 公開年
ShinoBOT バックドアシミュレーター 2013年
ShinoBOT Suite APTシミュレーター 2014年
ShinoLocker ランサムウェアシミュレーター 2015年
ShinoBOT.ps1 バックドアシミュレーター 2017年

※以下のサイトから各疑似マルウェアのページを参照することができますが、組織によってはURLフィルターなどで検知される可能性があります。観閲の際はご注意ください。
https://shinosec.com/

開発の動機

仕事で未知のマルウェアを検知するセキュリティ製品を評価する必要があり、Metasploit/metapreterやインターネットで入手した検体を利用していたが、「未知のマルウェア」としてのテストはできなかったため、開発しました。

公開の動機

Black Hat USA 2013に参加者登録しようとした際、Call For Toolsというバナーが見えて、ダメ元で応募したところ、当選したのがきっかけです。現在は以下の問題点の解決を試みたく、公開を継続しています。

解決したい課題(ポエム)

マルウェアを起点とする攻撃を検知・対処するセキュリティ製品は溢れかえっています。各製品の検知ロジックは異なっており、検知率、過検知率は当然異なります。さらに運用での観点でもあるアウトプット(ログ、アラートなど)も異なります。つまりユーザの要件、成熟度、導入済み製品によって選択すべき製品は変わり、評価の過程で製品ごとの違いを見つけなければなりません。高度なスキルを持ったユーザであればそれは可能ですが、そうではないユーザは残念ながらベンダーが「自称」しているスペックを鵜呑みにした上で、謝った選択をする可能性があります。

誰でも簡単に「それなりに」高度な攻撃をシミュレーションできれば、必要な製品を適切に選択できるのではないかと考えています。

そのため、ShinoBOTファミリーは簡単で誰でも安全に扱えるような設計を意識しています。例えば、マルウェアのC&Cサーバ(司令塔サーバ)はクラウドで提供されており、わざわざ自分で建てる必要はございません。攻撃者側のアクティビティはすべてWebブラウザで完結します。

用途

1.セキュリティ製品の評価
2.インシデントレスポンスチームの訓練
3.教育
4.サイバー攻撃のデモ
5.研究用マルウェア

おわりに

なんとなくShinoBOTファミリーの概要をわかっていただけましたでしょうか?次回はそれぞれのコンポーネントの詳細を見ていきたいと思います。

Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
Comments
Sign up for free and join this conversation.
If you already have a Qiita account
Why do not you register as a user and use Qiita more conveniently?
You need to log in to use this function. Qiita can be used more conveniently after logging in.
You seem to be reading articles frequently this month. Qiita can be used more conveniently after logging in.
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away