T1080とT1204の違いが分かりづらいですが、これらに関するものを挙げておく。
1.O365 Threat Intelligence Suspicious File Detected
T1204.002 Malicious File Executionになるらしい。。
O365 Threat Intelligence Suspicious File Detected
https://research.splunk.com/cloud/00958c7b-35db-4e7a-ad13-31550a7a7c64/
以下はChatGPTの解説。
このSPLクエリの日本語での解説は以下の通りです:
o365_management_activity:Office 365の管理活動ログデータを参照しています。
Workload=ThreatIntelligence:これは、ThreatIntelligenceのワークロードに関連するデータのみをフィルタしています。
Operation=AtpDetection:ATP(Advanced Threat Protection)検出操作に関するデータのみを抽出しています。
次に、statsコマンドを使って集計しています:
values(DetectionMethod) as category:検出方法を集約し、「category」というフィールド名で表示します。
values(FileData.FileName) as file_name:検出されたファイルの名前を「file_name」として集約します。
values(FileData.FilePath) as file_path:ファイルのパスを「file_path」として集約します。
values(FileData.FileSize) as file_size:ファイルサイズを「file_size」として集約します。
values(FileData.MalwareFamily) as signature:マルウェアファミリー名を「signature」として集約します。
count:一致するイベントの数をカウントします。
min(_time) as firstTime:最初に検出された時間を「firstTime」として表示します。
max(_time) as lastTime:最後に検出された時間を「lastTime」として表示します。
次に、以下のフィールド名を変更します:
Id を signature_id に変更。
UserId を user に変更。
security_content_ctime 関数を使用して firstTime と lastTime を人間が読める形式に変換し、o365_threat_intelligence_suspicious_file_detected_filter マクロを適用してフィルタリングを行います。
T1080(Taint Shared Content)との関連性
T1080は「共有コンテンツを汚染する攻撃技術」です。このクエリは、Office 365環境において、ATPによって検出された悪意あるファイルやマルウェアファミリーに関する情報を集めています。具体的には、悪意のあるファイルが検出された状況を確認するものですので、これはT1080(共有コンテンツの汚染)の検出に関連する可能性が高いです。
2.O365 SharePoint Malware Detection
こちらもT1204.002 Malicious File Executionになるらしい。。
O365 SharePoint Malware Detection
https://research.splunk.com/cloud/583c5de3-7709-44cb-abfc-0e828d301b59/
以下はChatGPTの解説。ChatGPTはT1080の可能性もありと判断している模様。
このKQLクエリは、Office 365環境で検出されたファイルマルウェアに関するデータを集計し、検出されたファイルや関連する情報を整理するためのものです。以下にその詳細な説明を示します。
クエリの解説
o365_management_activity: Office 365の管理活動ログデータを参照しています。
Operation=FileMalwareDetected: 「FileMalwareDetected」というイベントに関連する操作をフィルタしています。これは、ファイルにマルウェアが検出されたことを意味します。
次に、statsコマンドで各フィールドを集計します:
values(Workload) as category: 「Workload」フィールドを集約し、カテゴリとして表示します(例:SharePointやOneDriveなど)。
values(SourceFileName) as file_name: ファイルの名前を「file_name」として集約します。
values(ObjectId) as file_path: ファイルのパスを「file_path」として集約します。
values(VirusInfo) as signature: ウイルス情報(マルウェアの種類や名前)を「signature」として集約します。
count: 一致するイベントの数をカウントします。
min(_time) as firstTime: 最初にマルウェアが検出された時間を「firstTime」として表示します。
max(_time) as lastTime: 最後に検出された時間を「lastTime」として表示します。
フィールド名を変更します:
Id を signature_id に変更。
UserId を user に変更。
時間を人間が読める形式に変換:
security_content_ctime(firstTime) と security_content_ctime(lastTime) で、最初と最後の検出時刻を人間が読める形式に変換します。
最後に、o365_sharepoint_malware_detection_filter マクロを適用し、フィルタリングを行います。
関連するMITRE ATT&CKテクニック
T1080: Taint Shared Content(共有コンテンツの汚染)
このクエリは、SharePointやOneDriveのようなOffice 365の共有リソースで検出されたマルウェアを追跡しているため、共有コンテンツに悪意のあるファイルを置き、他のユーザーが感染する可能性がある状況に関連しています。T1080は、こうした共有コンテンツの汚染に対応しています。
T1059: Command and Scripting Interpreter(コマンドとスクリプトの実行)
マルウェアがスクリプトやコマンドで動作する場合、ユーザーやシステムがそれを実行することでT1059に関連する可能性もあります。
参考)T1080とT1204の違い
こちらもChatGPTに聞いてみました。
攻撃対象:
T1080は、ネットワークやクラウドの共有リソースを狙う攻撃です。ターゲットは共有フォルダやドライブを使用する複数のユーザーです。
T1204は、個々のユーザーを直接攻撃し、社会的エンジニアリングでユーザーを騙してマルウェアを実行させます。
攻撃手法:
T1080では、攻撃者はすでにアクセスできる共有リソースに悪意のあるコンテンツを配置し、それを利用するユーザーが間接的に攻撃対象になります。
T1204は、ユーザーが直接、悪意のあるファイルやリンクを開くように仕向けられ、その行動によって感染が広がります。
共通点
どちらも最終的にユーザーがファイルやスクリプトを実行してしまうことに依存する攻撃です。
関連情報
SharePoint、OneDrive、Microsoft Teams 用の ATP を有効にする
https://learn.microsoft.com/ja-jp/defender-office-365/safe-attachments-for-spo-odfb-teams-configure
コメントを残す