Japan Security Analyst Conference 2018開催レポート~後編~(2018-02-16)

前回の分析センターだより では Japan Security Analyst Conference 2018 (JSAC2018) の様子を紹介しました。今回は引き続き午後に行われた講演の様子をお伝えします。

 

・Drive-by Download Must Die
 講演者:明治大学総合数理学部 小池 倫太郎、トレンドマイクロ株式会社 中島 将太
 講演資料

Drive-by Download攻撃の調査・分析を行う活動nao_secに携わる両氏より、2017年の観測結果と傾向分析が解説されました。観測されたDrive-by Download攻撃の多くがExploit Kitによるものとのことで、分類もキャンペーン毎だけでなくExploit Kit毎に対しても行われました。さらにExploit Kitからドロップされたマルウエアの分析についてまで広くカバーされた内容でした。

キャンペーン毎の分析では、例えば2017年3月から観測されたSeemless Campaignの攻撃インフラの調査結果が示されました。Seemless Campaignの攻撃インフラは月ごとにサーバーが変更されたり、接続元のロケールに合わせて /japanや /usaの様にサーバーのコンテンツパスが変化したりする傾向が見られたとのことです。また、Exploit Kit毎の分析では2017年に圧倒的な数が観測されたRig Exploit Kitを中心に、攻撃に利用される脆弱性やリダイレクトの特徴がまとめられていました。Drive-by Download攻撃に利用されるマルウエアの収集と分析をSeamless / Rulan 両 Campaignについて行ったところ、特に前者ではバンキングトロイRamnitの観測が目立つものとなりました。

このような分析のためにnao_secではExploit Kitによるリダイレクトをエミュレートするツールmal_getterやクライアント型ハニーポットStarCを開発しているとのことです。講演の最後には、Drive-by Download攻撃自体が減少傾向にあること、多くの攻撃キャンペーンがMalvertisingに関わるものへ変化していることが主張されました。

mal_getter: https://github.com/nao-sec/mal_getter
StarC: https://github.com/nao-sec/starc

左:明治大学総合数理学部 小池 倫太郎  右:トレンドマイクロ株式会社 中島 将太

・RIGエクスプロイトキットの調査
 講演者:NTTセキュリティ・ジャパン株式会社 幾世 知範
 講演資料

昨年まで多発していたRig Exploit Kitによる攻撃について、SOCアナリストである講演者からの視点で調査した内容が解説されました。なお現在、同攻撃は月に数件程度しか観測されなくなっているとのことです。

Rig Exploit Kitはサービスとして提供されており、利用にはKitの購入とは別に攻撃対象を誘導するためのトラフィックの購入が必要となります。前者のKitについて、Rig 4.0というバージョンが今日観測されるものです。なお、マルウエアの管理サーバーがオープンディレクトリになっていた点など、サーバー側の機能はソースがリークしたRig 2.0と大差ないと幾世氏は考えているようです。このRig 4.0について会話されているログなどを参考に、販売者にXMPPクライアントで接触をして背後関係を調査し分析品質の向上を図っていることが紹介されました。

Rig Exploit Kitに利用されるサイトの調査では、ひと月あたり約700のドメインにそれより生存期間の長いIPアドレスを割り振って運用していることが明らかにされました。また、Kitに組み込まれている脆弱性はAngler Exploit Kitが利用するコードを改変し使っており、その構造や文字列からCVE番号の特定が可能とのことです。

・マルウェアURSNIFによる漏えい情報を特定せよ ~感染後暗号通信の解読~
 講演者:NTTセキュリティ・ジャパン株式会社 幾世 知範
 講演資料

前講演から引き続き幾世氏によりバンキングトロイURSNIFの調査結果と分析手法が解説されました。SOCアナリストとして何が漏えいしたかを顧客に説明したいという思いがこの調査のモチベーションになったとのことです。同氏はURSNIFに感染した場合の一連の挙動の中で「感染端末から窃取し送信された情報」と「Webインジェクションで窃取されたアカウント情報」の特定に目標を定めました。

前者について、URSNIFが送信するPOSTデータの暗号化処理は独自の実装ながら共通鍵暗号化方式Serpentを採用していることが明らかになりました。また、処理に使われる鍵がマルウエア内に含まれ、そのライフサイクルが長いことを突き止めました。これらによって復号手段を開発する価値を見出した同氏はURSNIF自身の復号処理を利用することによってPOSTデータの復号に成功したことを示しました。

後者についてはURSNIFがアカウントを窃取する対象サイトのリストがC2サーバーから取得されることに着眼しました。取得される様子をエミュレートしてリストを収集し、更に対象サイトへアクセスした際に利用される追加モジュールまで分析を行いました。結果、事前に送信される可能性のあるアカウント情報を把握するに至ったとのことです。

 

・[非公開] IoTボットネットは何を狙っているのか?-攻撃先観測を元にした分析事例
 講演者:株式会社 サイバーディフェンス研究所 西脇 春名

近年のIoTボットネットからのDDoS攻撃はどのような脅威なのかを詳らかにするため、同氏はBASHLITE(別名Gafgyt,Lizkebab,Qbot,Torlus,LizardStresser)と呼ばれるマルウエアの動向を5ヵ月間にわたり観測しました。この講演では、攻撃先の傾向などの分析結果を解説し、実際に受信した攻撃命令が紹介されました。

なお、この講演は非公開のため詳細は割愛します。

 

・囮システムを用いた攻撃者の振る舞い観測
 講演者:NTTセキュリティ・ジャパン株式会社 小澤 文生
 講演資料

物理端末でマルウエアの動的分析環境を構築したものを囮システムとして転用し、攻撃者の侵入を観測した結果について解説されました。2017年4月~5月に発生した朝鮮総連と朝鮮通信のWebサイトに関連したDrive-by Download攻撃をこのシステムを使用して観測することに成功しました。対象サイトに設置されたVBScript内のCVE-2016-0189を悪用するコードがきっかけとなり、最終的にボットへの感染を確認しました。このボットにはモジュールのダウンロードおよび実行、そしてcmd.exeでの任意のコマンドの実行機能が備わっていました。

攻撃者が感染端末上で実行したコマンドとC2サーバーに送信される結果は平文であるため、内容の把握にはデコードの必要がありません。tasklistやdirコマンドを用いた感染端末内の環境調査、画面キャプチャーやパケットスニッファを行うツールの設置と実行および結果の送信、7zアーカイバーを使ってのファイル操作、ipconfigやpingコマンドによる横断的侵害の準備、delコマンドによる痕跡削除などが実行されたとのことが解説されました。

本講演で紹介した単純な囮システムでも成果が出たことを小澤氏は強調しつつ、改良点として端末のドメイン参加、攻撃者の欲するドキュメントの設置、システム内へのファイルサーバーやプロキシサーバーの設置などを提案しました。

・APTマルウェアに見る不易流行
 講演者:マクニカネットワークス株式会社 柳下 元、竹内 寛
 講演資料

Mandiant社の提唱する痛みのピラミッドを引き合いに、2つの攻撃グループについて調査した結果が解説されました。
はじめに攻撃グループAPT12の利用するマルウエアについて比較がなされました。2015年に確認されたマルウエアは感染端末のcmd.exeを自身の末尾にコピーし新たに実行するコードの実装や、内部にツールAryanRATをDLLで抱えている構造などの特徴が見られました。続いて、2016年に確認されたマルウエアは、末尾にコピーするデータがcmd.exeから変化し、抱えていたDLLもRATではなく単純なLoaderに変更されていました。更に2017年に確認された日本語のマルウエアにもアンチアナリシスの処理の追加などが確認されました。このような流行が見られる一方で、復号処理はどのマルウエアもDESとXORをベースにしているなどの不易があるとのことです。

また、別の攻撃グループが用いるマルウエアWINNTIについても2016年と2017年それぞれに確認されたもの同士で比較が行われました。ファイルタイプや動作方法、インストールするカーネルドライバーの機能、sysmon.exeの実行チェックをするコードの有無などに流行が見られました。一方、スレッド先頭箇所のAPI処理やドライバのインストール方法について不易が認められると説明されました。

2人の講演者からはそれぞれ不易な部分を感染端末のメモリ上で検知するためのyaraルールが提供されました。

マクニカネットワークス株式会社 竹内 寛
マクニカネットワークス株式会社 柳下 元

・[非公開] Tracking Down Emdivi in 2017
 講演者:株式会社カスペルスキー 石丸 傑

サイバースパイ活動Blue Termiteが用いるバックドアEmdivi t20の新しい検体が2017年6月にVirusTotalへアップロードされました。同氏はこのマルウエアの分析結果や投稿者のIDに関しての調査結果を発表し、Blue Termiteの現在の活動について考察を行いました。

なお、この講演は非公開のため詳細は割愛します。

 

終わりに
聴講者の皆様にはWebアンケートへの回答をお願いしました。講演についてたくさんのご感想をいただきましたこと、また、会場設備や開催日数・曜日などについてもたくさんのご意見をいただきましたことを、この場を借りて御礼申し上げます。様々な分析者の視点から語られた手法や最新動向が聴講者の皆様の今後のご活躍の一助となれば幸いです。

分析センター 田中 洋平

≪ 前へ
トップに戻る
次へ ≫