Exploit And Vulnerability Intelligence

脆弱性強化

VulnCheckは、独自の脆弱性強化データを生成し、それをVulnCheckのExploitおよびVulnerability Intelligenceサービスに組み込んでいます。

VulnCheck Vulnerability Intelligenceサービスは、脆弱性生成および強化サービスを提供し、それをVulnCheckのExploit「exploits」およびVulnerability Intelligence「vulncheck-nvd」「vulncheck-nvd2」サービスに組み込んでいます。

脆弱性強化および生成サービスには以下が含まれます:

Botnet Attribution

VulnCheck Botnetsインデックスには、さまざまなボットネットに関連するデータが含まれています。このインデックスには、ボットネットのリストと、それらが使用したことが知られているCVEに関する情報が掲載されています。

Botnetsインデックスのダウンロード

VulnCheck APIは、VulnCheck Vulnerability Intelligenceを簡単にダウンロードできるようにします。まず、次のように/v3/backup/botnetsAPI を使用してbotnetsバックアップをクエリします。

curl --request GET \
    --url https://api.vulncheck.com/v3/backup/botnet \
    --header 'Accept: application/json' \
    --header 'Authorization: Bearer insert_token_here'

個別のボットネットレコードへのアクセス

VulnCheck APIは、VulnCheck Exploit & Vulnerability Intelligenceの利用を簡単に開始できるようにします。まず、次のように/v3/index/botnets?botnet=:botnetAPI を使用して botnets インデックスをクエリします。

curl --request GET \
    --url https://api.vulncheck.com/v3/index/botnets?botnet=Fbot \
    --header 'Accept: application/json' \
    --header 'Authorization: Bearer insert_token_here'

上記の例では、botnets インデックスを使用して Fbot に関する情報を検索しています。

個別のボットネットレコードに対するAPIレスポンスの例

有効なボットネット名(例えば Fbot)を使用して/v3/index/botnets?botnet=FbotAPIエンドポイントを呼び出すと、以下のようなデータが返されます。

  "data": [
    {
      "botnet_name": "Fbot",
      "date_added": "2019-02-20T00:00:00Z",
      "malpedia_url": "https://malpedia.caad.fkie.fraunhofer.de/details/elf.fbot",
      "cve_references": [
        {
          "url": "https://www.trendmicro.com/vinfo/fr/security/news/internet-of-things/mirai-updates-new-variant-mukashi-targets-nas-devices-new-vulnerability-exploited-in-gpon-routers-upx-packed-fbot",
          "date_added": "2020-03-25",
          "cve": [
            "CVE-2016-20016",
            "CVE-2017-17215"
          ]
        },
        {
          "url": "https://blog.netlab.360.com/fbot-is-now-riding-the-traffic-and-transportation-smart-devices-en/",
          "date_added": "2021-03-03",
          "cve": [
            "CVE-2020-9020"
          ]
        },
        {
          "url": "https://blog.netlab.360.com/the-new-developments-of-the-fbot-en/",
          "date_added": "2019-02-20",
          "cve": [
            "CVE-2022-45045"
          ]
        },
        {
          "url": "https://blogs.juniper.net/en-us/threat-research/realtek-cve-2021-35394-exploited-in-the-wild",
          "date_added": "2021-08-27",
          "cve": [
            "CVE-2021-35394"
          ]
        }
      ],
      "cve": [
        "CVE-2016-20016",
        "CVE-2017-17215",
        "CVE-2020-9020",
        "CVE-2022-45045",
        "CVE-2021-35394"
      ],
      "_timestamp": "2024-01-29T21:21:48.319162Z"
    }
  ]
}

上記の例のレスポンスは、botnetsインデックスがFbotに対して返す情報を示しています。

CAPEC (共通攻撃パターン列挙と分類)

VulnCheckは、vulncheck-nvd および vulncheck-nvd2cve レコードでアクセス可能なCAPEC攻撃パターンを生成しています。

CAPEC攻撃パターンの例

      "relatedAttackPatterns": [
        {
          "lang": "en",
          "capec_id": "CAPEC-100",
          "capec_name": "Overflow Buffers",
          "capec_url": "https://capec.mitre.org/data/definitions/100.html"
        }
      ]

上記の例は、vulncheck-nvd2 インデックスが CVE-2024-21762 に対して返すCAPECデータを示しています。

CPE(共通プラットフォーム列挙)

VulnCheckは、nist-nvdnist-nvd2vulncheck-nvd、および vulncheck-nvd2 のCVEレコードでアクセス可能なCPEを生成しています。

詳細については、CPE生成をご覧ください。

CWE(共通脆弱性タイプ)

VulnCheckは、vulncheck-nvdおよびvulncheck-nvd2でアクセス可能なCVEレコード向けにCWEを生成および収集しています。

CVSS-BT(共通脆弱性スコアリングシステムベース/一時スコアリング)

VulnCheckは、CVSS V2、V3、V3.1、およびV4の脅威および一時スコアを生成し、vulncheck-nvdおよびvulncheck-nvd2のCVEレコードでアクセス可能にしています。

CVSS一時スコアの例

  "temporalCVSSV31": {
          "version": "3.1",
          "vectorString": "E:H/RL:X/RC:C",
          "exploitCodeMaturity": "HIGH",
          "remediationLevel": "NOT_DEFINED",
          "reportConfidence": "CONFIRMED",
          "temporalScore": 9.8,
          "associatedBaseMetricV3": {
            "source": "nvd@nist.gov",
            "type": "Primary",
            "baseScore": 9.8

上記の例は、vulncheck-nvd2 インデックスが CVE-2024-21762 に対して返すCVSS一時データを示しています。

CVSS V4(共通脆弱性スコアリングシステム)

VulnCheckは、複数のソースからCVSS V4スコアを収集し、vulncheck-nvdおよびvulncheck-nvd2のCVEレコードでアクセス可能にしています。

CVSS V4スコアの例

        "cvssMetricV40": [
          {
            "source": "MITRE-CVE: cisa-cg",
            "type": "Secondary",
            "cvssData": {
              "attackComplexity": "LOW",
              "attackRequirements": "PRESENT",
              "attackVector": "NETWORK",
              "baseScore": 8.7,
              "baseSeverity": "HIGH",
              "privilegesRequired": "HIGH",
              "subAvailabilityImpact": "HIGH",
              "subConfidentialityImpact": "HIGH",
              "subIntegrityImpact": "HIGH",
              "userInteraction": "ACTIVE",
              "vectorString": "CVSS:4.0/AV:N/AC:L/AT:P/PR:H/UI:A/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H",
              "version": "4.0",
              "vulnAvailabilityImpact": "HIGH",
              "vulnConfidentialityImpact": "HIGH",
              "vulnIntegrityImpact": "HIGH"
            }
          }
        ],
        "threatCVSSV40Secondary": [
          {
            "exploitMaturity": "ATTACKED",
            "associatedBaseMetricV40": {
              "source": "MITRE-CVE: cisa-cg",
              "type": "Secondary",
              "baseScore": 8.7
            }
          }

エクスプロイトチェーン

VulnCheckは、複数のソースからエクスプロイトチェーンを識別し、exploit-chainsのCVEレコードでアクセス可能にしています。

公知のエクスプロイト脆弱性

VulnCheckは、何百ものソースから公知のエクスプロイト脆弱性を識別し、exploits および vulncheck-kev のCVEレコードでアクセス可能にしています。

MITRE ATT&CKマッピング

VulnCheckはMITRE ATT&CKマッピングを生成し、vulncheck-nvd および vulncheck-nvd2cve レコードでアクセス可能にしています。

MITRE ATT&CKマッピングの例

      "mitreAttackTechniques": [
        {
          "id": "T0819",
          "url": "https://attack.mitre.org/techniques/T0819",
          "name": "Exploit Public-Facing Application",
          "domain": "ICS",
          "tactics": [
            "initial-access"
          ],
          "subtechnique": false
        },
        {
          "id": "T0866",
          "url": "https://attack.mitre.org/techniques/T0866",
          "name": "Exploitation of Remote Services",
          "domain": "ICS",
          "tactics": [
            "initial-access",
            "lateral-movement"
          ],
          "subtechnique": false
        }
      ]

上記の例は、マッピングが利用可能な場合に、vulncheck-nvd2 インデックスが返すMITRE ATT&CKデータを示しています。

ランサムウェアアトリビューション

VulnCheckのransomwareインデックスには、ランサムウェアに関連するデータが含まれています。このインデックスにはランサムウェアのリストや、それが使用したCVEの引用が含まれています。

個別ランサムウェアレコードのAPIレスポンス例

      "ransomware_family": "Cactus",
      "malpedia_url": "https://malpedia.caad.fkie.fraunhofer.de/details/win.cactus",
      "cve_references": [
        {
          "url": "https://www.arcticwolf.com/resources/blog/qlik-sense-exploited-in-cactus-ransomware-campaign/",
          "date_added": "2023-11-28",
          "cve": [
            "CVE-2023-41266",
            "CVE-2023-48365"
          ]
        },
        {
          "url": "https://blog.fox-it.com/2024/04/25/sifting-through-the-spines-identifying-potential-cactus-ransomware-victims/",
          "date_added": "2024-04-25",
          "cve": [
            "CVE-2023-41266",
            "CVE-2023-41265"
          ]
        }
        // ...
      ],
      "cve": [
        "CVE-2023-41266",
        "CVE-2023-48365"

参考文献

VulnCheckは、世界中の数百のソースからCVEの参考文献を収集しており、これらはvulncheck-nvdおよびvulncheck-nvd2のCVEレコードでアクセス可能です。また、多くの参考文献ソースをインデックスとして参照できます

脅威アクターの属性

VulnCheckは、特定の脆弱性を悪用したと報告されている数百の脅威アクターを追跡しています。VulnCheckのthreat-actorsインデックスには、脅威アクターに関連するデータおよびCVEに関連するカウントが含まれ、exploitsインデックスに統合されています。このインデックスには、脅威アクターのリストと、彼らが使用したとされるCVEの引用が含まれています。

VulnCheckは、ロシアや中国からの脅威アクター、工業制御システム(ICS)および運用技術(OT)をターゲットにする脅威アクターなど、幅広い脅威アクターを追跡しています。VulnCheckは、さまざまなソースから脅威アクター情報を収集し、それを業界で最も簡単に利用できるエクスプロイトインテリジェンスにまとめています。

サイバーセキュリティ業界では、脅威アクターの名前にさまざまな命名規則が存在します。VulnCheckでは、さまざまなオプションを使用して脅威アクターを調査できます。

MITRE ATT&CK グループ名

多くの組織が脅威アクターに対してMITRE ATT&CKグループ名を使用しています。VulnCheck Exploit & Vulnerability Intelligenceは、以下のようにMITRE ATT&CKグループ名および別名を含んでいます。

{
  "name": "Dragonfly",
  "aliases": [
    "Dragonfly",
    "TG-4192",
    "Crouching Yeti",
    "IRON LIBERTY",
    "Energetic Bear"
  ]
}

MISP脅威アクター名

MISP脅威アクター名を使用して脅威アクターの行動を関連付けることが多くあります。VulnCheck Exploit Intelligenceには、MISP脅威アクター名(下記のvalueフィールド)およびその別名(同義語)も含まれています:

{
  "synonyms": [
    "Dragonfly",
    "Crouching Yeti",
    "Group 24",
    "Havex",
    "CrouchingYeti",
    "Koala Team",
    "IRON LIBERTY"
  ],
  "value": "Energetic Bear"
}

サイバーセキュリティベンダーの命名

一部のサイバーセキュリティベンダーには独自の命名規則があり、それに従って脅威アクターを簡単に追跡できます。このような場合、VulnCheck Exploit & Vulnerability Intelligenceには、そのベンダーが使用している脅威アクターの名前も含まれています。CrowdStrike、Dragos、Mandiant、Microsoftの命名システムが標準でサポートされています。

  "vendor_names_for_threat_actors": [
    {
      "vendor_name": "CrowdStrike",
      "threat_actor_name": "Fancy Bear"
    },
    {
      "vendor_name": "Mandiant",
      "threat_actor_name": "APT28",
      "url": "https://www.mandiant.com/resources/insights/apt-groups"
    }
  ]

どの脅威アクター命名規則を使用していても、VulnCheck Exploit & Vulnerability Intelligenceを使えば、探している脅威アクターを簡単に見つけることができます。

脆弱性の分類

VulnCheckは、ICS/OT、IoMT、IoT、モバイル、サーバーソフトウェアなど、CVEに対する分類情報を生成しており、これらのデータはvulncheck-nvdおよびvulncheck-nvd2でアクセス可能です。

脆弱性の分類の例

        "categorization": {
          "tags": [
            "ICS/OT",
            "IoT"
          ]

脆弱性のステータス

VulnCheck Exploit & Vulnerability Intelligenceには、脆弱性リクエストのヘッダーにステータスフィールドが含まれています。このステータスフィールドは、確認済みの脆弱性と、異なるステータスを持つ他の脆弱性(例えば、争議中や拒否された脆弱性)を区別するのに役立ちます。

脆弱性のステータスの定義

StatusMeaning
Confirmed最も一般的な脆弱性のステータス。ほとんどの脆弱性はConfirmedのステータスを持つ。
Disputed何らかの理由で争われている脆弱性。
PendingNVDでまだ説明が公開されていないCVEで、他のステータス(例:Reserved)が設定されていないもの。
Rejected何らかの理由で拒否された脆弱性。
ReservedCVE番号管理機関(CNA)によって予約されたが、まだNISTによって公開されていないCVE。
Unsupported公開時にサポート終了や非サポート状態のソフトウェアに報告された場合の脆弱性。
Unverifiable情報が曖昧で確認できない脆弱性。

上記の表は、VulnCheck脆弱性ステータスフィールドで現在利用可能なステータスを示しています。