[JP] Examining Evolving Evasion Techniques in Incident Response

SANS Asia Pacific DFIR Summit 2023
The Arms Race of Evasion: Examining Evolving Evasion Techniques in Incident Response
講演者: Partha Alwar、Mahmoud El Halabi

攻撃者による悪意のある行為の多くは、最新のセキュリティツールを用いることでセキュリティアナリストが検知することが可能です。こうした早期発見を避けるため、高度な攻撃者グループは常に独創的な方法を用いて、ツールやアナリストによる検知を回避、無効化、混乱させてきました。本講演では、セキュリティツールによって検出され攻撃を中断させられることなく目的を実行できるようにするために、攻撃者たちが実際に使用してきたテクニックを実例を元に説明します。これらのテクニックには、悪意のあるコードを実行するためのLinuxバイナリのパッチ適用、ネットワークセキュリティアプライアンスのオンボードハッシュマニフェストの改ざん、セキュリティツールを強制終了させるための脆弱なカーネルドライバの悪用、マルウェアを転送するためのDNS TXTレコードの使用、Redditのような独自のC2インフラの使用、データベースへのマルウェアの隠蔽などが含まれます。バックドアを検知し続けるクライアントのEDRツールを突破したいレッドチーマーも、新しいアラートを構築するために最新のトレンドを把握したいブルーチーマーも、この講演を通じて、日々の業務で考えるべきテクニックを得ることができるでしょう。

#APACDFIRSummit #Cybersecurity #DFIR

arms asia asia pacific cybersecurity dfir evasion evasion techniques incident incident response pacific race response sans summit techniques