F5 Advanced Threat Research Center of Excellence（ATRCoE）を支えるチームのご紹介

F5 Office of the CTOの一部であるAdvanced Threat Research Center of Excellenceは、インターネットの悩みの種であり最も蔓延している脅威の秘密を明らかにすることに重点を置いています。ATRCoEは、脅威インテリジェンスに注目しているF5 Labsを補完する存在であり、サイバーセキュリティのリスクについて外部の視点を取り入れた先進的な脅威の研究を実施しています。この研究は、サイバーセキュリティの分野で説得力のあるソート リーダーシップとインサイトを生み出すために分析されます。

Aditya Sood博士が率いるこの新しいグループは、すでに高度な脅威を発見し、Virus Bulletin、Elsevier Magazines、BlackHat Arsenalなどの複数の出版物や、Texas Cyber Summit、BSides Berlin、Hack-in-Paris、Secure 360、Virus Bulletinなどの業界をリードするセキュリティ会議で研究を発表しています。代表的なものを以下にご紹介します。

• Collector-Stealer：ロシア発の情報窃盗犯
• AZORult C&C（コマンド アンド コントロール）パネルの詳細調査
• COVID-19の脅威の状況
• Enfiladeツール：MongoDBでのランサムウェア感染の検出
• ML/AIを使用したDGA（Domain Generation Algorithm）攻撃の検出
• クリプトジャッキング：NVIDIAドライバを使用したKubernetesクラスターの侵害
• 感染を解明するためのIoT C&Cパネルの侵害

チームは、脅威に関する研究者と開発エンジニアで構成されています。

1. Amit Nagalは、F5の主任データ科学者です。機械学習と分析の分野において15年以上の経験があります。MGS大学で発達科学の博士号を取得。過去には、VerizonとJPMorgan Chaseに勤務していました。
2. Bharathasimha Reddy Devarapallyは、F5のソフトウェア エンジニアです。2020年にワランガル国立工科大学（インド）でコンピュータ サイエンスの学士号を取得。F5で脅威の研究に積極的に取り組んでいます。
3. Ruthvik Reddy Sankepallyは、F5のソフトウェア エンジニアです。BITS Pilani Hyderabadでコンピュータ サイエンスの学士号（工学）を取得して卒業しました。

脅威の解明方法

ATRCoEチームは、脅威の戦略的、運用的、戦術的、分析的側面に着目しています。高度な脅威がもたらすビジネス リスクと影響を理解することで、その脅威の研究テーマを決定します。次に、その脅威を詳しく分析し、TTP（技術、戦術、手順）、KSA（知識、スキル、能力）、AIL（攻撃インフラストラクチャ、ランチパッド）を見つけます。このような状況で、一般的な手口を研究することにより、チームは研究の土台を作り、それに取り組む上で最善のアプローチを決定します。このアプローチは防御的なもの、攻撃的なもの、あるいはハイブリッドなものとなる場合があります。採用する技術は、プロアクティブ、リアクティブ、またはその両方を組み合わせたものです。また、オープンソース ツールを構築し、さまざまなセキュリティ ポータルや会議で研究成果を発表することで、脅威インテリジェンスを共有しています。

ATRCoEが脅威に着目する流れ

研究テーマの選定方法は、社内で開発したTRIG（Threat Research and Intelligence Generation）フレームワークに基づいています。この研究は、インターネット上で現在進行中の高度な脅威との関連性に基づいて選択されます。ゼロデイ脆弱性を含む、深刻で大きく報道されている高度な脅威は、緊急性が高く、F5の製品に影響を与えるため、最も注意を払う必要があります。たとえば、ATRCoEは、国家的敵対者が特に使用するAZORult、Collector-stealer、Blackguardなどの高度な脅威を分析しました。

さらに、ATRCoEは、サイバーセキュリティの課題に対処するためのML/AIの使用に向けて力を注いでいます。たとえば、F5のセキュリティ データ ウェアハウス内で、DNS（ドメイン ネーム サーバー）とHTTP（ハイパーテキスト転送プロトコル）のログの大規模なセットを構造化した形式で分析し、データを調べて、興味深い脅威のアーティファクトや脅威の状況における傾向を見つけ、現在の課題を理解します。例として、COVID-19のテーマを使用したフィッシング サイトに関するチーム発表の研究成果や、Project AstraのDGA検出の調査などがあります。

ATRCoEの研究に採用されたツール

このチームは、社内設計のカスタム スクリプト、nmap、masscan、wireshark、tshark、bro、Radare2/Cutter、Ghidra、pythonなどのオープンソース ツール、Burp proxyなどのエンタープライズ ツールをはじめとするさまざまなツールを分析、自動化、インテリジェンス活用に利用するハイブリッド アプローチを実践しています。
_____

このような研究の性質上、新しいコンテンツがいつ発表されるかを予測するのは難しいのですが、近いうちにこのグループから詳細が発表されると思われます。