F5 の Advanced Threat Research Center of Excellence (ATRCoE) の背後にいる人々に会いましょう

F5 CTO オフィスの一部である Advanced Threat Research Center of Excellence は、インターネットを悩ませている最も蔓延している脅威の秘密を明らかにすることに重点を置いています。 F5 Labsの脅威インテリジェンスへの重点を補完するために、ATRCoE は高度な脅威研究を実施し、サイバーセキュリティのリスクに関する外部からの見解を提示します。 この研究は分析され、サイバーセキュリティの分野における説得力のある思想的リーダーシップと洞察を生み出します。

Aditya Sood 博士が率いるこの新しいグループは、すでに高度な脅威を発見し、Virus Bulletin、Elsevier Magazines、BlackHat Arsenal などの複数の出版物や、Texas Cyber Summit、BSides Berlin、Hack-in-Paris、Secure 360、Virus Bulletin などの業界をリードするセキュリティ カンファレンスで研究成果を発表しています。 注目すべき作品をいくつか以下に紹介します。

• コレクター兼窃盗犯: ロシア発の情報窃盗
• AZORult C&Cパネルの分析
• 新型コロナウイルスの脅威
• エンフィレードツール: MongoDB でのランサムウェア感染の検出
• ML/AI を使用した DGA (ドメイン生成アルゴリズム) 攻撃の検出
• クリプトジャッキング: NVIDIA ドライバーを使用した Kubernetes クラスターの侵害
• 感染を発見するために IoT C&C パネルを侵害する

チームは脅威研究者と開発エンジニアで構成されています。

1. アミット ナガルは、 F5 の主席データ サイエンティストです。 彼は機械学習と分析の分野で 15 年以上の経験を持っています。 彼はMGS大学で発達科学の博士号を取得しています。 彼は過去にベライゾンとJPモルガン・チェースで働いていました。  
2. Bharathasimha Reddy Devarapally は、 F5 のソフトウェア エンジニアです。 彼は2020年にインドのワランガルにある国立工科大学でコンピューターサイエンスの学士号を取得しました。 彼は F5 で脅威の調査に積極的に取り組んでいます。 
3. Ruthvik Reddy Sankepally はF5 のソフトウェア エンジニアです。 彼はハイデラバードの BITS Pilani でコンピューターサイエンスの BE 学位を取得しました。

チームが脅威を発見する方法

ATRCoE チームは、脅威の戦略的、運用的、戦術的、分析的側面に重点を置いています。 高度な脅威のビジネスリスクと影響を理解することで、脅威の調査トピックを決定します。 次に、それらの脅威を分析して、TTP (テクニック、戦術、手順)、KSA (知識、スキル、能力)、AIL (攻撃インフラストラクチャとランチパッド) を見つけます。 この背景と既存の研究を研究することで、チームは研究の基盤を形成し、それに取り組むための最善のアプローチを決定します。 アプローチは、防御的、攻撃的、またはハイブリッドにすることができます。 使用される手法は、予防的、受動的、またはその両方の組み合わせである場合があります。 彼らは、オープンソース ツールを構築し、さまざまなセキュリティ ポータルやカンファレンスで研究成果を公開することで、脅威インテリジェンスを共有しています。

脅威がATRCoEの注意を引く方法

研究テーマの選択方法は、社内で開発された TRIG (脅威の調査とインテリジェンス生成) フレームワークに基づいています。 調査は、インターネット上で進行中の高度な脅威との関連性に基づいて選択されます。 ゼロデイ脆弱性を含む、非常に深刻で広く報道されている高度な脅威は、緊急性があり、F5 の製品に影響を及ぼすため、最も注意が必要です。 たとえば、ATRCoE は、国家レベルの敵対者が特に使用する AZORult、Collector-stealer、Blackguard などの高度な脅威を分析しました。

さらに、ATRCoE は、サイバーセキュリティの課題に対処するために ML/AI の使用に注力しています。 たとえば、F5 のセキュリティ データ ウェアハウス内で構造化された形式で大量の DNS (ドメイン ネーム サーバー) および HTTP (ハイパーテキスト転送プロトコル) ログを分析し、そのデータを探索して脅威の状況における興味深い脅威アーティファクトや傾向を見つけ、現在の課題を把握します。 例としては、Covid-19 をテーマにしたフィッシング サイトに関するチームの公開された研究や、Project Astra の DGA 検出研究などが挙げられます。

ATRCoE研究で使用されるツール

チームは、社内設計のカスタム スクリプト、nmap、masscan、wireshark、tshark、bro、Radare2/Cutter、Ghidra、python などのオープンソース ツール、Burp proxy などのエンタープライズ ツールなど、分析、自動化、インテリジェンスにさまざまなツールを活用するハイブリッド アプローチを実践しています。
_____

この種の研究の性質上、新しいコンテンツがいつ公開されるかを予測することは困難ですが、このグループから近いうちにさらに多くのコンテンツが公開されると予想されます。