Command-and-Control (C2) FAQ

Printer Friendly Page

※この記事は以下の記事の日本語訳です。
Command-and-Control (C2) FAQ
https://live.paloaltonetworks.com/t5/Management-Articles/Command-and-Control-C2-FAQ/ta-p/178617

 

概要

URL Filteringに新しいカテゴリが追加されました。新カテゴリは“command-and-control”となります。

 

注意:管理者はcommand-and-controlカテゴリに対してBLOCKに設定する必要があります。


下記は、command-and-controlカテゴリに関してのFAQとなります。

 

これまで、C2サイトに関わるアクセスはどのように保護されていたのでしょうか?

 

これまで、C2サイトに関わるアクセスは、"malware"カテゴリとして分類され保護されていました。

 

"malware"カテゴリと"command-and-control"カテゴリの違いはどういったものでしょうか?ユーザーは注意する必要があるのでしょうか。

 

Palo Alto Networkは、"malware"カテゴリに属する既知のサイトを、"command-and-control"カテゴリとして分類致しました。

 

マルウェア(悪意のあるコンテンツや実行ファイル、スクリプト、ウィルス、コード等)は、一般的にインターネットへのユーザーアクセスにより配布されます。こういった悪意のあるアクセスについては、"malware"カテゴリとして、firewallによりBLOCKされます。

 

C2サイトへのアクセスは、感染したエンドポイントが、外部のC2サーバに接続を試みることで発生し、こういった悪意のある接続については、"command-and-control"カテゴリとして、firewallによりBLOCKされます。

 

一般にセキュリティアナリストは、インシデント調査の中で、これら2つの悪意のある接続を、まったく異なるものとして区別しており、そのため、"command-and-control"カテゴリを追加致しました。

セキュリティアナリストは、Palo Alto Networks Firewallが"malware"カテゴリにより、マルウェア(悪意のあるコンテンツや実行ファイル、スクリプト、ウィルス、コード等)の配布に関わる接続をBLOCKしている事により、ネットワーク内のエンドポイントが感染してないことを把握できます。さらに、"command-and-control"カテゴリにより、特定のエンドポイントが外部のC2サーバに接続しようとしていることをBLOCKしていることにより、そのエンドポイントがマルウェアに感染している可能性があり、対応が必要なことを把握できます。

"command-and-control"カテゴリをBLOCKとしていない場合、どういったことが起きますか?

 

"command-and-control"カテゴリをBLOCKとしていない場合は、ネットワーク内のマルウェアに感染したエンドポイントから発生する外部のC2サーバへの接続がBLOCKされません。

 

"command-and-control"カテゴリは、デフォルトでBLOCKとされていないのはなぜですか?

 

PAN-OS 8.0.2以降のPANOSでは、Content Update738以降のバージョンをインストールしている場合、自動的に "command-and-control"カテゴリは、デフォルトでBLOCKとされます。
それ以前のPANOSは、自動更新に対応していないため、"command-and-control"カテゴリは、デフォルトでALLOWとなります。こちらの詳細については、以下のKBをご参照ください。

https://live.paloaltonetworks.com/t5/%E3%83%8A%E3%83%AC%E3%83%83%E3%82%B8%E3%83%89%E3%82%AD%E3%83%A5...

 

 

"command-and-control"カテゴリは、どのように定義されたカテゴリですか?

 

"command-and-control"カテゴリは、マルウェアにより、ユーザーから搾取した情報(プライバシー情報や、機密情報など)や悪意のあるコマンドの送受信を行うことに利用されている外部サーバのドメインやURLを分類したものです。

 

"command-and-control"カテゴリのリリース時期は?

 

"command-and-control"カテゴリは、Content Version 734以降のContent Updateでリリースされています。管理者権限にて管理GUIから確認、ならびに変更が可能です。実際の"command-and-control"カテゴリの運用が開始されるまでの間に、"command-and-control"カテゴリのデフォルトアクションをBLOCKに変更ください。"command-and-control"カテゴリのデフォルトアクションをBLOCKに変更していただくことで、"command-and-control"カテゴリが運用開始になったタイミングで、すべての"command-and-control"カテゴリに分類されているURLやドメインへの接続がBLOCKされることになります。

"command-and-control"カテゴリが運用開始時期は?

 

運用開始は、US時間の2017年10月25日を予定しています。日本時間では、2017年10月26日のおおよそAM4:00となる見込みです。

 

"command-and-control"が動作しているか確認する方法について

 

こちらのURLにアクセスいただき、ご利用のFirewallでブロックされ、それがログに残れば、ご利用のFirewallで正しく構成されていることをご確認いただけます。

https://urlfiltering.paloaltonetworks.com/test-command-and-control

 

 

今回の変更は、PAN-DBやBrightcloudに対して適用されるものですか?

 

 

いいえ、今回の変更は、PAN-DBに対して適用されるもので、BrightCloudに対しては適用されません。

 

本FAQについては、"command-and-control"カテゴリが運用開始となった時点でアップデート致します。

 

 

こちらについても併せてご参照ください。

Command-and-Control カテゴリの確認方法