> For the complete documentation index, see [llms.txt](https://snowyowls-organization.gitbook.io/snowyowl644-hacklog/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://snowyowls-organization.gitbook.io/snowyowl644-hacklog/tryhackme/soc_level1/pyramid-of-painminopiramiddo.md).

# Pyramid Of Pain(痛みのピラミッド)

痛みのピラミッドとは

* セキュリティ専門家の「David J Bianco」氏が2013年に提唱した[概念モデル](https://codebook.machinarecord.com/threat-intelligence/16581/#reference)
  * セキュリティ対策の効果と攻撃者に対してどれだけダメージが与えられるかを示した図
  * セキュリティ対策の効果をわかりやすく説明するモデル
  * 下の層は、防御側の対応が簡単で、攻撃者に対する影響が小さい
  * 上の層は、防御側の対応は難しいが、攻撃者への影響が大きい

下の層から順に （）の中身は、攻撃者の攻撃が妨害されて変更できる容易さを表してる

ハッシュ値　(単純)

* 防御側(攻撃を妨害する)
  * ハッシュ値があれば簡単にマルウェアを検知できる
* 攻撃側
  * ハッシュ値は、1バイトでも変えれば変わるので簡単に変更できる

IPアドレス (簡単)

* 防御側(攻撃を妨害する)
  * 攻撃者のIPアドレスを特定して、パラメータ・FWで受信リクエストをブロック・ドロップ・拒否できる。
* 攻撃側
  * 使用しているIPアドレスがブロックされたらパブリックIPアドレスを変更し、簡単に回復できる。[FastFlux](https://unit42.paloaltonetworks.jp/fast-flux-101/)の使用
  * Fast Flux はボットネットがフィッシング、Web プロキシ、マルウェア配信、マルウェア通信アクティビティをプロキシとして機能する侵害されたホストの背後に隠すために使用するDNS技術
  * システムに冗長性を持たせて、稼働時間を確保することが目的なので、正規のサービスプロパイダの動機と同じ

ドメイン名 (シンプル)

* 防御側(攻撃を妨害する)
  * 多くのDNSプロバイダーは緩くて、攻撃者がドメインを変更するのを簡単にするAPIなどもある。
  * 短縮リンクに「+」を追加すると、その短縮リンクがリダイレクトする実際の Web サイトを確認できる
* 攻撃側
  * ドメイン名を頻繁に変えるには、攻撃者がドメインを購入して登録し、DNSレコードを変更する必要があるので少し面倒
  * 一見正当に見えるが、悪意のあるドメインにユーザーをリダイレクトするために使用する [Punycode攻撃](https://www.jamf.com/blog/punycode-attacks/)などもある
  * Punycode は、ASCII で記述できない単語を Unicode ASCII エンコードに変換する方法でフィッシングサイトのドメイン名などでよく使用される

ホストアーティファクト (迷惑) レジストリ値、疑わしいプロセス実行、攻撃パターンや IOC (侵害の兆候)、悪意のあるアプリケーションによってドロップされたファイル、現在の脅威に固有のものなど、攻撃者がシステムに残す痕跡または観察可能なもの、ログなど。

* 防御側(攻撃を妨害する)
  * 攻撃の被害に遭っているPCのログや、実行されているアプリを観察して、排除できる。
* 攻撃側
  * 攻撃者は、攻撃のやり直し、攻撃ツールと手法を変更する必要がある。
  * 攻撃者にとって非常に時間のかかる作業であり、おそらく、攻撃者のツールにさらに多くのリソースを費やす必要がある

ネットワークアーティファクト（迷惑） ユーザーエージェント文字列、C2（コマンド＆コントロール）情報、HTTP POSTリクエストに続くURIパターンなどが含まれる。

* 防御側(攻撃を妨害する)
  * TSharkのようなネットワークプロトコルアナライザーや、Snortなどの侵入検知システム（IDS）のログを使用して、WiresharkのPCAP（ネットワークパケットデータを含むファイル）からネットワークアーティファクトを検出できる
  * 攻撃者が使用しているカスタムUser-Agent文字列を検出し、それをブロックすることもできる
    * User-Agentで、「Mozilla/4.0(compatible;MSIE7.0;WindowsNT6.1;Trident/4.0;SLCC2;.NETCLR2.0.50727;.NETCLR3.5.30729;.NETCLR3.0.30729;MediaCenterPC6.0;.NET4.0C;.NET4.0E)」こんな感じの文字列が出るが、この文字列を検索することで、このとき使用しているブラウザを特定することができる。上の場合は、IE
* 攻撃側
  * 再度攻撃を試みるために戦術を変更したり、ツールを修正したりするのに時間がかかる
  * 次の脅威を検出し、再度攻撃を行う必要がある。

ツール (挑戦的)

* 防御側(攻撃を妨害する)
  * ウイルス対策シグネチャ、検出ルール、YARA ルールで攻撃ツールを暴き、削除することで防御することができる。
    * [MalwareBazaar](https://bazaar.abuse.ch/) と [Malshare は](https://malshare.com/) 、サンプル、悪意のあるフィード、YARA 結果へのアクセスを提供する優れたリソース
    * 検出ルールについては、[SOC](https://tdm.socprime.com/) [Prime Threat Detection Marketplace](https://tdm.socprime.com/)が優れたプラットフォームです。セキュリティ専門家が、敵対者によって実際に悪用されている最新の CVE を含むさまざまな種類の脅威に対する検出ルールを共有している
    * &#x20;[SSDeep](https://ssdeep-project.github.io/ssdeep/index.html)などのファジーハッシュ値に基づいて、異なるハッシュ値を持つマルウェアでも、 ただハッシュ値が違うだけなのか
  * 攻撃者はネットワークへの侵入を諦めるか、戻って同じ目的を果たす新しいツールを作成しようとする可能性が高くなる。
* 攻撃側
  * [攻撃者は、これらのユーティリティを使用して、スピアフィッシング攻撃用の悪意のあるマクロ ドキュメント (maldoc)、 C2 (コマンド アンド コントロール インフラストラクチャ)](https://www.varonis.com/blog/what-is-c2/)を確立するために使用できるバックドア、カスタム .EXE および.DLLファイル、ペイロード、またはパスワード クラッカーを作成し直す必要がある。

TTP (タフ) TTPは、戦術、技術、手順のこと MITRE ATT\&CKのマトリックス全体が含まれる

* 防御側(攻撃を妨害する)
  * TTP を迅速に検出して対応できれば、攻撃者に反撃の機会をほとんど与えない
* 攻撃側
  * もう２つの選択肢しかない
    * 戻ってさらに調査とトレーニングを行い、カスタムツールを再構成する
    * 諦めて別のターゲットを探す
