Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
日本の組織をターゲットにした
攻撃キャンペーンの詳細
一般社団法人 JPCERT コーディネーションセンター
朝長 秀誠
中村 祐
CODE BLUE 2015
Copyright©2015 JPCERT/CC All rights reserved.
目次
1
1 はじめに
2 攻撃キャンペーン A
3 攻撃キャンペーン B
Copyright©2015 JPCERT/CC All rights reserved.
目次
2
1 はじめに
2 攻撃キャンペーン A
3 攻撃キャンペーン B
Copyright©2015 JPCERT/CC All rights reserved.
自己紹介
一般社団法人 JPCERT コーディネーションセンター
分析センター 所属
マルウエア分析、フォレンジック
3
朝長 秀誠 (Shusei T...
Copyright©2015 JPCERT/CC All rights reserved.
JPCERT コーディネーションセンター
Japan Computer Emergency Response Team
Coordination Cen...
Copyright©2015 JPCERT/CC All rights reserved.
JPCERT/CCの高度サイバー攻撃対応状況
5
2015年4月から9月までの対応件数
93組織
4組織
130組織
93組織
4組織
攻撃キャンペーン...
Copyright©2015 JPCERT/CC All rights reserved.
今回紹介する攻撃キャンペーン
• 2012年頃から国内の多数の組織が標的
• Emdivi
• CloudyOmega (Symantec)
• BLU...
Copyright©2015 JPCERT/CC All rights reserved.
目次
7
1 はじめに
2 攻撃キャンペーン A
3 攻撃キャンペーン B
Copyright©2015 JPCERT/CC All rights reserved.
攻撃インフラ(改ざんされたサイト)
被害組織(官公庁、民間企業)
…
国外国内
標的型メール 広範囲へのメール
8
水飲み場型
攻撃キャンペーン A の...
Copyright©2015 JPCERT/CC All rights reserved.
内部侵入テクニックの詳細
9
初期感染活動
情報収集
感染拡大(横断的侵害)
Copyright©2015 JPCERT/CC All rights reserved.
内部侵入テクニックの詳細
10
初期感染活動
情報収集
感染拡大(横断的侵害)
Copyright©2015 JPCERT/CC All rights reserved.
攻撃パターン
11
Timeline of Attack Vector
アイコン
偽装
文書ファイ
ル
(脆弱性悪用)
Drive-By
Downloa...
Copyright©2015 JPCERT/CC All rights reserved.
内部侵入テクニックの詳細
12
初期感染活動
情報収集
感染拡大(横断的侵害)
Copyright©2015 JPCERT/CC All rights reserved.
侵入した環境についての調査
• dir
• net
• net view
• net localgroup administrators
• ver
•...
Copyright©2015 JPCERT/CC All rights reserved.
dsqueryの使用例
14
特定の個人を狙っている場合に使われることがある
Copyright©2015 JPCERT/CC All rights reserved.
メールアカウント情報の収集
フリーツールの利用(Nirsoft の Mail PassView に類似)
外部からメールの受信を試みる
新たな攻撃メール...
Copyright©2015 JPCERT/CC All rights reserved.
機密情報、個人情報の収集
ネットワークドライブの探索
目的とする情報の探索
ファイルの圧縮コピー作成
ダウンロード
痕跡の削除
16
Copyright©2015 JPCERT/CC All rights reserved.
ネットワークドライブの探索 1
> net use
新しい接続は記憶されます。
ステータス ローカル名 リモート名 ネットワーク名
----------...
Copyright©2015 JPCERT/CC All rights reserved.
ネットワークドライブの探索 2
> netstat –an
TCP 192.168.xx.xx:49217 192.168.yy.yy:445 ESTA...
Copyright©2015 JPCERT/CC All rights reserved.
目的とするデータの探索
> dir c:usershoge*.doc* /s /o-d
c:usershogeAppDataLocalTemp のディレ...
Copyright©2015 JPCERT/CC All rights reserved.
圧縮・ダウンロード・痕跡の削除
> winrar.exe a –r –ed –v300m –ta20140101 %TEMP%a.rar “FILESV...
Copyright©2015 JPCERT/CC All rights reserved.
内部侵入テクニックの詳細
21
初期感染活動
情報収集
感染拡大(横断的侵害)
Copyright©2015 JPCERT/CC All rights reserved.
感染拡大に使われる手法
• 脆弱性の悪用(MS14-068 + MS14-058)
• SYSVOL 内のスクリプト調査
• パスワードリスト攻撃
• ...
Copyright©2015 JPCERT/CC All rights reserved.
脆弱性の悪用(MS14-068 + MS14-058)
23
Domain
Controller
PC-A
PC-B
1. 権限昇格し(MS14-058...
Copyright©2015 JPCERT/CC All rights reserved.
SYSVOL 内のスクリプト調査
24
• logon script などにパスワードが書いてある場合がある
ポイント
攻撃インフラ
C2 Server...
Copyright©2015 JPCERT/CC All rights reserved.
パスワードリスト攻撃
25
PC-A PC-B4. タスク登録
3. マルウエアをコピー
1. Domain Admins の
ユーザリストを取得
5....
Copyright©2015 JPCERT/CC All rights reserved.
• Domain環境の悪用に活路を見出せない場合に有効な手段
• パスワードハッシュもしくはパスワードをダンプする必要
がある
ポイント
Builtin...
Copyright©2015 JPCERT/CC All rights reserved.
• 他に手段がない場合に効果的
ポイント
ファイルサーバにマルウエアを置く
27
PC-A PC-B
2. ファイルサー
バ上のマルウエ
アを実行
ファ...
Copyright©2015 JPCERT/CC All rights reserved.
WPADの悪用
—デフォルトで有効
—自動構成スクリプトを
 DHCPサーバに指定されたURL、もしくは
 http://wpad/wpad.dat...
Copyright©2015 JPCERT/CC All rights reserved.
WPADの悪用(step 1: NetBIOS Spoofing)
29
• WPADが構成されていない環境で有効
• NetBIOS Spoofing...
Copyright©2015 JPCERT/CC All rights reserved.
WPADの悪用(step 2: fake WPAD server)
30
PC-A PC-B
4. response
wpad.exe
function...
Copyright©2015 JPCERT/CC All rights reserved.
WPADの悪用(step 3: man in the middle proxy)
31
PC-A PC-B
5. 攻撃者が用意したWebサイト
への i...
Copyright©2015 JPCERT/CC All rights reserved.
感染拡大手法のまとめ
手法 AD 権限昇格 備考
MS14-068 必要
不要
パスワードダ
ンプには必要
DCにパッチが当て
られていない場合
に危険...
Copyright©2015 JPCERT/CC All rights reserved.
使用するツール・マルウエアの
詳細
33
Copyright©2015 JPCERT/CC All rights reserved.
マルウエアの特徴
34
マルウエア 概要 ファイル形式 攻撃ステップ
Emdivi (t17) HTTP BOT EXE
侵入
ツール類
パスワードダン...
Copyright©2015 JPCERT/CC All rights reserved.
ツール類
35
種別 概要 ファイル名
パスワードダンプ
Pass-the-hash
Quarks PwDump qp.exe, qd.exe, QDu...
Copyright©2015 JPCERT/CC All rights reserved.
Emdivi (t17)
この一年間でバージョンアップが繰り返され、実装され
ているコマンドが増えている
36
コマンド 搭載された時期
DOABORT...
Copyright©2015 JPCERT/CC All rights reserved.
Emdivi (t20)
この一年間で、搭載しているコマンドが増えたり、減っ
たりしている
—18~41(JPCERT調べ)
標的組織のプロキシサーバの...
Copyright©2015 JPCERT/CC All rights reserved.
usp10jpg
1日1回通信
通信する曜日を指定できる
Emdiviに感染していない端末に設置される傾向
(二次感染)
DLLのプリロード攻撃
38
...
Copyright©2015 JPCERT/CC All rights reserved.
usp10jpg は発見されにくい
39
攻撃インフラ
Emdivi感染
端末
通信頻度が低いため、発見さ
れずに残ることもusp10jpg
通信頻度が...
Copyright©2015 JPCERT/CC All rights reserved.
BeginX
BeginX Server
—特定のポートをリッスンし、コマンドを待ち受ける
—UDP版、TCP版ともに存在する
BeginX Clien...
Copyright©2015 JPCERT/CC All rights reserved.
BeginXの使用イメージ
41
攻撃インフラ
インターネット
へ接続できない
セグメント
Emdivi
感染端末
Beginx
Server
Begi...
Copyright©2015 JPCERT/CC All rights reserved.42
多くの被害組織には存在しないが…
ボット機能
—ドライブ情報の取得
—任意のシェルコマンド実行
—プロセス一覧
—スクリーン関連機能
Emdiviと...
Copyright©2015 JPCERT/CC All rights reserved.
GStatus の Web パネル(管理画面)
43
Copyright©2015 JPCERT/CC All rights reserved.
分析ツール
44
emdivi_string_decryptor.py
Copyright©2015 JPCERT/CC All rights reserved.
• IDAPython
• Emdiviの分析に使用
• エンコードされた文字列をデコードする
emdivi_string_decryptor.py
•...
Copyright©2015 JPCERT/CC All rights reserved.
emdivi_string_decryptor.py
46
Emdivi encoded strings
Copyright©2015 JPCERT/CC All rights reserved.
emdivi_string_decryptor.py
47
Difference depending on version string
Ver 17 ...
Copyright©2015 JPCERT/CC All rights reserved.
emdivi_string_decryptor.py
48
Copyright©2015 JPCERT/CC All rights reserved.
emdivi_string_decryptor.py
49
Copyright©2015 JPCERT/CC All rights reserved.
DEMO
50
Copyright©2015 JPCERT/CC All rights reserved.
目次
51
1 はじめに
2 攻撃キャンペーン A
3 攻撃キャンペーン B
Copyright©2015 JPCERT/CC All rights reserved.
Attack techniques
ドライブバイダウンロード攻撃
アップデート ハイジャッキング
ドメイン名ハイジャッキング
52
Copyright©2015 JPCERT/CC All rights reserved.
Attack techniques
ドライブバイダウンロード攻撃
アップデート ハイジャッキング
ドメイン名ハイジャッキング
53
Copyright©2015 JPCERT/CC All rights reserved.
ドライブバイダウンロード(水飲み場)攻撃
54
標的組織 国内組織の
Webサーバ
1. Webアクセス
2. リダイレクト
0. Webサイト改ざん
...
Copyright©2015 JPCERT/CC All rights reserved.
アクセス制限
55
.htaccess
Target name
IP address
Copyright©2015 JPCERT/CC All rights reserved.
0day Exploit
56
• 2013年9月頃
• Internet Explorerの脆弱性
CVE-2013-3893 (MS13-080)
...
Copyright©2015 JPCERT/CC All rights reserved.
Attack techniques
ドライブバイダウンロード攻撃
アップデート ハイジャッキング
ドメイン名ハイジャッキング
57
Copyright©2015 JPCERT/CC All rights reserved.58
標的組織 アップデート
サーバ
1. アップデートリクエスト
0. アップデート情報改ざん
4. マルウエアダウンロード
5. マルウエア
感染
偽...
Copyright©2015 JPCERT/CC All rights reserved.
標的組織 アップデート
サーバ
偽アップデー
トサーバ
アップデートサーバのファイルを置き換えない手法
59
0. iptablesの設定変更
1. ア...
Copyright©2015 JPCERT/CC All rights reserved.
アップデートサーバのファイルを置き換えない手法
iptables -t nat -A PREROUTING -i eth0 -s aa.bb.cc.dd...
Copyright©2015 JPCERT/CC All rights reserved.
Attack techniques
ドライブバイダウンロード攻撃
アップデート ハイジャッキング
ドメイン名ハイジャッキング
61
Copyright©2015 JPCERT/CC All rights reserved.
ドメイン名ハイジャッキング
62
標的組織
レジストラ レジストリ .com
DNSサーバ
攻撃インフラ
DNS
サーバ
Web
サーバ
DNS
サーバ...
Copyright©2015 JPCERT/CC All rights reserved.
iptables -t nat -A PREROUTING -p udp --dport 53 -m string
--from 40 --to 46 ...
Copyright©2015 JPCERT/CC All rights reserved.
使用するマルウエアの詳細
64
Copyright©2015 JPCERT/CC All rights reserved.
マルウエアの特徴
65
① 侵入時と潜伏で異なるマルウエアを使用
② メモリ上にしか存在しないマルウエアがある
③ 標的組織の内部情報が埋め込まれている...
Copyright©2015 JPCERT/CC All rights reserved.
マルウエアの特徴
66
BlackCoffee McRAT Preshin Agtid
Hikit Derusbi PlugX
侵入
潜伏
Copyright©2015 JPCERT/CC All rights reserved.
マルウエア (侵入)
67
BlackCoffee McRAT Preshin Agtid
command info
0x184004 リモートシェル起...
Copyright©2015 JPCERT/CC All rights reserved.
通信先取得アルゴリズム
68
WebページからC2情報を取得
デコード
start: @MICR0S0FT
end: C0RP0RATI0N
start...
Copyright©2015 JPCERT/CC All rights reserved.
マルウエア (侵入)
69
プラグインベースのマルウエア
command number info
0 サーバにデータ送信
1 TickCount値の設定...
Copyright©2015 JPCERT/CC All rights reserved.
メモリ上のみに存在するマルウエア
70
ROP
省略
Shellcode
Malware
CVE-2013-3918 with McRAT
Copyright©2015 JPCERT/CC All rights reserved.
メモリ上のみに存在するマルウエア
71
CVE-2013-3918 with McRAT
rundll32.exeを起動して、イ
ンジェクション
インジ...
Copyright©2015 JPCERT/CC All rights reserved.
マルウエア (侵入)
72
機能が限定されたHTTPボット
command info
downonly ファイルダウンロード
downexec ファイル...
Copyright©2015 JPCERT/CC All rights reserved.
Preshin Controller
73
PHPベースのコントローラ
Copyright©2015 JPCERT/CC All rights reserved.
Preshin Controller
74
コマンド実行例
Copyright©2015 JPCERT/CC All rights reserved.
マルウエア (侵入)
75
基本的な機能が搭載されたHTTPボット
command info
1 ディスク情報取得
2 ファイル一覧
3 ファイル表示
...
Copyright©2015 JPCERT/CC All rights reserved.
マルウエア (潜伏)
76
Hikit Derusbi PlugX
Rootkit機能を持ったマルウエア
command info
file ファイル関...
Copyright©2015 JPCERT/CC All rights reserved.
Hikitの設定情報
77
ネットワーク内部のプロキシ情報を持つ
プロキシ情報
識別子
ターゲット
Rootkit設定
Copyright©2015 JPCERT/CC All rights reserved.
マルウエア (潜伏)
78
最近使われることが多いマルウエア
command info
cmd4 サービス、プロセス関連操作
cmd5 シェルコマンド実...
Copyright©2015 JPCERT/CC All rights reserved.
Derusbiの設定情報
79
プロキシ情報
識別子
ネットワーク内部のプロキシ情報を持つ
Copyright©2015 JPCERT/CC All rights reserved.
証明書
80
Identity Type Country
System Integrator exe Japan
Software Vendor exe...
Copyright©2015 JPCERT/CC All rights reserved.
攻撃インフラ
81
標的組織
攻撃インフラ
正規サイト
海外サーバ
Backdoor
日本国内
C2サーバ
iptables
Copyright©2015 JPCERT/CC All rights reserved.
Linux Backdoor
82
mod_rootmeのソース
• apache module
• キーワードを送ることでシェルを起動
mod_roo...
Copyright©2015 JPCERT/CC All rights reserved.
Linux Backdoor
83
• 高機能なLinuxボット
rs_linux
Function
MyNetstat CreateShell Mym...
Copyright©2015 JPCERT/CC All rights reserved.
分析ツール
84
apt17scan.py
Copyright©2015 JPCERT/CC All rights reserved.
apt17scan.py
• Volatility Plugin
• メモリダンプからマルウエアを検知
• マルウエアの設定情報を抽出
apt17sca...
Copyright©2015 JPCERT/CC All rights reserved.
apt17scan.py
86
Scan with YARA
Search configuration
data address
Parse confi...
Copyright©2015 JPCERT/CC All rights reserved.
apt17scan.py
87
Agtid Hikit McRAT
Preshin BlackCoffee Derusbi
apt17scan マルウエ...
Copyright©2015 JPCERT/CC All rights reserved.
apt17scan.py
88
derusbiconfig Derusbiの設定情報を表示
Copyright©2015 JPCERT/CC All rights reserved.
apt17scan.py
89
hikitconfig Hikitの設定情報を表示
Copyright©2015 JPCERT/CC All rights reserved.
apt17scan.py
90
agtidconfig Agtidの設定情報を表示
Copyright©2015 JPCERT/CC All rights reserved.
DEMO
91
Copyright©2015 JPCERT/CC All rights reserved.
How to download
92
https://github.com/JPCERTCC
Thank You!
連絡先
aa-info@jpcert.or.jp
https://www.jpcert.or.jp
インシデント報告
info@jpcert.or.jp
https://www.jpcert.or.jp/form/
Upcoming SlideShare
Loading in …5
×

日本の組織をターゲットにした攻撃キャンペーンの詳細 by 朝長 秀誠 & 中村 祐 - CODE BLUE 2015

1,928 views

Published on

近年日本国内で標的型攻撃の被害にあう組織が増加している。しかし、このような攻撃の詳細が明らかになることは少ない。JPCERT/CCでは、日本国内の組織を狙う複数の攻撃キャンペーンに関して、調査を実施してきた。中でも特徴的な2つの攻撃キャンペーンについては、長期にわたって調査を続けている。
1つ目は2015年に入り多数の組織で被害が明らかになったことで、注目を集めた攻撃である。この攻撃者は、侵入したネットワーク内部で、組織の弱点を狙った巧妙な攻撃手法を使用する。
2つ目は2013年頃から、限られた組織に対して継続的に行われている攻撃である。この攻撃キャンペーンは、1つ目の攻撃キャンペーンほど話題にはなっていないが、攻撃者は高度な技術を持っており、多くの興味深い攻撃手法を用いる。
本発表では、上記2つの攻撃キャンペーンについて、長期間の調査から判明した攻撃テクニックや使用するマルウエア、ツールについて明らかにするとともに、関連するマルウエアを解析するためのテクニックやツールについて紹介する。

Published in: Internet
  • DOWNLOAD THIS BOOKS INTO AVAILABLE FORMAT (2019 Update) ......................................................................................................................... ......................................................................................................................... Download Full PDF EBOOK here { https://soo.gd/irt2 } ......................................................................................................................... Download Full EPUB Ebook here { https://soo.gd/irt2 } ......................................................................................................................... Download Full doc Ebook here { https://soo.gd/irt2 } ......................................................................................................................... Download PDF EBOOK here { https://soo.gd/irt2 } ......................................................................................................................... Download EPUB Ebook here { https://soo.gd/irt2 } ......................................................................................................................... Download doc Ebook here { https://soo.gd/irt2 } ......................................................................................................................... ......................................................................................................................... ................................................................................................................................... eBook is an electronic version of a traditional print book THIS can be read by using a personal computer or by using an eBook reader. (An eBook reader can be a software application for use on a computer such as Microsoft's free Reader application, or a book-sized computer THIS is used solely as a reading device such as Nuvomedia's Rocket eBook.) Users can purchase an eBook on diskette or CD, but the most popular method of getting an eBook is to purchase a downloadable file of the eBook (or other reading material) from a Web site (such as Barnes and Noble) to be read from the user's computer or reading device. Generally, an eBook can be downloaded in five minutes or less ......................................................................................................................... .............. Browse by Genre Available eBooks .............................................................................................................................. Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, Cookbooks, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult, Crime, Ebooks, Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, ......................................................................................................................... ......................................................................................................................... .....BEST SELLER FOR EBOOK RECOMMEND............................................................. ......................................................................................................................... Blowout: Corrupted Democracy, Rogue State Russia, and the Richest, Most Destructive Industry on Earth,-- The Ride of a Lifetime: Lessons Learned from 15 Years as CEO of the Walt Disney Company,-- Call Sign Chaos: Learning to Lead,-- StrengthsFinder 2.0,-- Stillness Is the Key,-- She Said: Breaking the Sexual Harassment Story THIS Helped Ignite a Movement,-- Atomic Habits: An Easy & Proven Way to Build Good Habits & Break Bad Ones,-- Everything Is Figureoutable,-- What It Takes: Lessons in the Pursuit of Excellence,-- Rich Dad Poor Dad: What the Rich Teach Their Kids About Money THIS the Poor and Middle Class Do Not!,-- The Total Money Makeover: Classic Edition: A Proven Plan for Financial Fitness,-- Shut Up and Listen!: Hard Business Truths THIS Will Help You Succeed, ......................................................................................................................... .........................................................................................................................
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • DOWNLOAD THIS BOOKS INTO AVAILABLE FORMAT (2019 Update) ......................................................................................................................... ......................................................................................................................... Download Full PDF EBOOK here { https://soo.gd/irt2 } ......................................................................................................................... Download Full EPUB Ebook here { https://soo.gd/irt2 } ......................................................................................................................... Download Full doc Ebook here { https://soo.gd/irt2 } ......................................................................................................................... Download PDF EBOOK here { https://soo.gd/irt2 } ......................................................................................................................... Download EPUB Ebook here { https://soo.gd/irt2 } ......................................................................................................................... Download doc Ebook here { https://soo.gd/irt2 } ......................................................................................................................... ......................................................................................................................... ................................................................................................................................... eBook is an electronic version of a traditional print book THIS can be read by using a personal computer or by using an eBook reader. (An eBook reader can be a software application for use on a computer such as Microsoft's free Reader application, or a book-sized computer THIS is used solely as a reading device such as Nuvomedia's Rocket eBook.) Users can purchase an eBook on diskette or CD, but the most popular method of getting an eBook is to purchase a downloadable file of the eBook (or other reading material) from a Web site (such as Barnes and Noble) to be read from the user's computer or reading device. Generally, an eBook can be downloaded in five minutes or less ......................................................................................................................... .............. Browse by Genre Available eBooks .............................................................................................................................. Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, Cookbooks, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult, Crime, Ebooks, Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, ......................................................................................................................... ......................................................................................................................... .....BEST SELLER FOR EBOOK RECOMMEND............................................................. ......................................................................................................................... Blowout: Corrupted Democracy, Rogue State Russia, and the Richest, Most Destructive Industry on Earth,-- The Ride of a Lifetime: Lessons Learned from 15 Years as CEO of the Walt Disney Company,-- Call Sign Chaos: Learning to Lead,-- StrengthsFinder 2.0,-- Stillness Is the Key,-- She Said: Breaking the Sexual Harassment Story THIS Helped Ignite a Movement,-- Atomic Habits: An Easy & Proven Way to Build Good Habits & Break Bad Ones,-- Everything Is Figureoutable,-- What It Takes: Lessons in the Pursuit of Excellence,-- Rich Dad Poor Dad: What the Rich Teach Their Kids About Money THIS the Poor and Middle Class Do Not!,-- The Total Money Makeover: Classic Edition: A Proven Plan for Financial Fitness,-- Shut Up and Listen!: Hard Business Truths THIS Will Help You Succeed, ......................................................................................................................... .........................................................................................................................
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • DOWNLOAD THIS BOOKS INTO AVAILABLE FORMAT (2019 Update) ......................................................................................................................... ......................................................................................................................... Download Full PDF EBOOK here { https://soo.gd/irt2 } ......................................................................................................................... Download Full EPUB Ebook here { https://soo.gd/irt2 } ......................................................................................................................... Download Full doc Ebook here { https://soo.gd/irt2 } ......................................................................................................................... Download PDF EBOOK here { https://soo.gd/irt2 } ......................................................................................................................... Download EPUB Ebook here { https://soo.gd/irt2 } ......................................................................................................................... Download doc Ebook here { https://soo.gd/irt2 } ......................................................................................................................... ......................................................................................................................... ................................................................................................................................... eBook is an electronic version of a traditional print book THIS can be read by using a personal computer or by using an eBook reader. (An eBook reader can be a software application for use on a computer such as Microsoft's free Reader application, or a book-sized computer THIS is used solely as a reading device such as Nuvomedia's Rocket eBook.) Users can purchase an eBook on diskette or CD, but the most popular method of getting an eBook is to purchase a downloadable file of the eBook (or other reading material) from a Web site (such as Barnes and Noble) to be read from the user's computer or reading device. Generally, an eBook can be downloaded in five minutes or less ......................................................................................................................... .............. Browse by Genre Available eBooks .............................................................................................................................. Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, Cookbooks, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult, Crime, Ebooks, Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, ......................................................................................................................... ......................................................................................................................... .....BEST SELLER FOR EBOOK RECOMMEND............................................................. ......................................................................................................................... Blowout: Corrupted Democracy, Rogue State Russia, and the Richest, Most Destructive Industry on Earth,-- The Ride of a Lifetime: Lessons Learned from 15 Years as CEO of the Walt Disney Company,-- Call Sign Chaos: Learning to Lead,-- StrengthsFinder 2.0,-- Stillness Is the Key,-- She Said: Breaking the Sexual Harassment Story THIS Helped Ignite a Movement,-- Atomic Habits: An Easy & Proven Way to Build Good Habits & Break Bad Ones,-- Everything Is Figureoutable,-- What It Takes: Lessons in the Pursuit of Excellence,-- Rich Dad Poor Dad: What the Rich Teach Their Kids About Money THIS the Poor and Middle Class Do Not!,-- The Total Money Makeover: Classic Edition: A Proven Plan for Financial Fitness,-- Shut Up and Listen!: Hard Business Truths THIS Will Help You Succeed, ......................................................................................................................... .........................................................................................................................
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • DOWNLOAD THIS BOOKS INTO AVAILABLE FORMAT (2019 Update) ......................................................................................................................... ......................................................................................................................... Download Full PDF EBOOK here { https://soo.gd/irt2 } ......................................................................................................................... Download Full EPUB Ebook here { https://soo.gd/irt2 } ......................................................................................................................... Download Full doc Ebook here { https://soo.gd/irt2 } ......................................................................................................................... Download PDF EBOOK here { https://soo.gd/irt2 } ......................................................................................................................... Download EPUB Ebook here { https://soo.gd/irt2 } ......................................................................................................................... Download doc Ebook here { https://soo.gd/irt2 } ......................................................................................................................... ......................................................................................................................... ................................................................................................................................... eBook is an electronic version of a traditional print book THIS can be read by using a personal computer or by using an eBook reader. (An eBook reader can be a software application for use on a computer such as Microsoft's free Reader application, or a book-sized computer THIS is used solely as a reading device such as Nuvomedia's Rocket eBook.) Users can purchase an eBook on diskette or CD, but the most popular method of getting an eBook is to purchase a downloadable file of the eBook (or other reading material) from a Web site (such as Barnes and Noble) to be read from the user's computer or reading device. Generally, an eBook can be downloaded in five minutes or less ......................................................................................................................... .............. Browse by Genre Available eBooks .............................................................................................................................. Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, Cookbooks, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult, Crime, Ebooks, Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, ......................................................................................................................... ......................................................................................................................... .....BEST SELLER FOR EBOOK RECOMMEND............................................................. ......................................................................................................................... Blowout: Corrupted Democracy, Rogue State Russia, and the Richest, Most Destructive Industry on Earth,-- The Ride of a Lifetime: Lessons Learned from 15 Years as CEO of the Walt Disney Company,-- Call Sign Chaos: Learning to Lead,-- StrengthsFinder 2.0,-- Stillness Is the Key,-- She Said: Breaking the Sexual Harassment Story THIS Helped Ignite a Movement,-- Atomic Habits: An Easy & Proven Way to Build Good Habits & Break Bad Ones,-- Everything Is Figureoutable,-- What It Takes: Lessons in the Pursuit of Excellence,-- Rich Dad Poor Dad: What the Rich Teach Their Kids About Money THIS the Poor and Middle Class Do Not!,-- The Total Money Makeover: Classic Edition: A Proven Plan for Financial Fitness,-- Shut Up and Listen!: Hard Business Truths THIS Will Help You Succeed, ......................................................................................................................... .........................................................................................................................
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here

日本の組織をターゲットにした攻撃キャンペーンの詳細 by 朝長 秀誠 & 中村 祐 - CODE BLUE 2015

  1. 1. 日本の組織をターゲットにした 攻撃キャンペーンの詳細 一般社団法人 JPCERT コーディネーションセンター 朝長 秀誠 中村 祐 CODE BLUE 2015
  2. 2. Copyright©2015 JPCERT/CC All rights reserved. 目次 1 1 はじめに 2 攻撃キャンペーン A 3 攻撃キャンペーン B
  3. 3. Copyright©2015 JPCERT/CC All rights reserved. 目次 2 1 はじめに 2 攻撃キャンペーン A 3 攻撃キャンペーン B
  4. 4. Copyright©2015 JPCERT/CC All rights reserved. 自己紹介 一般社団法人 JPCERT コーディネーションセンター 分析センター 所属 マルウエア分析、フォレンジック 3 朝長 秀誠 (Shusei Tomonaga) 中村 祐 (Yuu Nakamura)
  5. 5. Copyright©2015 JPCERT/CC All rights reserved. JPCERT コーディネーションセンター Japan Computer Emergency Response Team Coordination Center 予防 • 脆弱性ハンドリング 予測・捕捉 • 情報収集分析発信 対応 • 対応調整支援 早期警戒情報 制御システムセキュリティ CSIRT 構築支援 国際連携 アーティファクト分析 4
  6. 6. Copyright©2015 JPCERT/CC All rights reserved. JPCERT/CCの高度サイバー攻撃対応状況 5 2015年4月から9月までの対応件数 93組織 4組織 130組織 93組織 4組織 攻撃キャンペーンA 攻撃キャンペーンB
  7. 7. Copyright©2015 JPCERT/CC All rights reserved. 今回紹介する攻撃キャンペーン • 2012年頃から国内の多数の組織が標的 • Emdivi • CloudyOmega (Symantec) • BLUE TERMITE (Kaspersky) 攻撃キャンペーン A • 2013年頃から国内の一部の組織が標的 • APT17 (FireEye) 攻撃キャンペーン B 6
  8. 8. Copyright©2015 JPCERT/CC All rights reserved. 目次 7 1 はじめに 2 攻撃キャンペーン A 3 攻撃キャンペーン B
  9. 9. Copyright©2015 JPCERT/CC All rights reserved. 攻撃インフラ(改ざんされたサイト) 被害組織(官公庁、民間企業) … 国外国内 標的型メール 広範囲へのメール 8 水飲み場型 攻撃キャンペーン A の特徴
  10. 10. Copyright©2015 JPCERT/CC All rights reserved. 内部侵入テクニックの詳細 9 初期感染活動 情報収集 感染拡大(横断的侵害)
  11. 11. Copyright©2015 JPCERT/CC All rights reserved. 内部侵入テクニックの詳細 10 初期感染活動 情報収集 感染拡大(横断的侵害)
  12. 12. Copyright©2015 JPCERT/CC All rights reserved. 攻撃パターン 11 Timeline of Attack Vector アイコン 偽装 文書ファイ ル (脆弱性悪用) Drive-By Download 2014/05 2015/01 2015/05 2015/07 CVE-2014-7247 CVE-2015-5119 CVE-2015-5122 医療費、健康保険 • アイコン偽装したマルウエアを zip や lzh で圧縮しメールに添付する 攻撃が多い • 標的を絞った攻撃は、やり取り型のメールになる場合がある 2014/09 2014/11 2015/09
  13. 13. Copyright©2015 JPCERT/CC All rights reserved. 内部侵入テクニックの詳細 12 初期感染活動 情報収集 感染拡大(横断的侵害)
  14. 14. Copyright©2015 JPCERT/CC All rights reserved. 侵入した環境についての調査 • dir • net • net view • net localgroup administrators • ver • ipconfig • systeminfo • wmic OSに標準で付属しているコマンドやプログラム • csvde • dsquery 感染後に送り込まれるActiveDirectoryの管理者用ツール 13 MSが提供している正規のツールが利用される
  15. 15. Copyright©2015 JPCERT/CC All rights reserved. dsqueryの使用例 14 特定の個人を狙っている場合に使われることがある
  16. 16. Copyright©2015 JPCERT/CC All rights reserved. メールアカウント情報の収集 フリーツールの利用(Nirsoft の Mail PassView に類似) 外部からメールの受信を試みる 新たな攻撃メールのネタになる可能性が(やり取り型) 組織から組織へと感染が広がる 15
  17. 17. Copyright©2015 JPCERT/CC All rights reserved. 機密情報、個人情報の収集 ネットワークドライブの探索 目的とする情報の探索 ファイルの圧縮コピー作成 ダウンロード 痕跡の削除 16
  18. 18. Copyright©2015 JPCERT/CC All rights reserved. ネットワークドライブの探索 1 > net use 新しい接続は記憶されます。 ステータス ローカル名 リモート名 ネットワーク名 ------------------------------------------------------------------------------- OK T: FILESV01SECRET Microsoft Windows Network OK U: FILESV02SECRET Microsoft Windows Network > wmic logicaldisk get caption,providername,drivetype,volumename Caption DriveType ProviderName VolumeName C: 3 OS D: 3 ボリューム T: 4 FILESV01SECRET ボリューム U: 4 FILESV01SECRET ボリューム NET USEコマンド wmicコマンド 17 DriveType = 4 ⇒ ネットワークドライブ
  19. 19. Copyright©2015 JPCERT/CC All rights reserved. ネットワークドライブの探索 2 > netstat –an TCP 192.168.xx.xx:49217 192.168.yy.yy:445 ESTABLISHED > nbtstat -a 192.168.yy.yy 名前 種類 状態 --------------------------------------------- FILESV01 <00> 一意 登録済 netstat コマンド、nbtstat コマンドの組み合わせ 445番ポートをキーにして ファイル共有サービスの 接続先を探索 18
  20. 20. Copyright©2015 JPCERT/CC All rights reserved. 目的とするデータの探索 > dir c:usershoge*.doc* /s /o-d c:usershogeAppDataLocalTemp のディレクトリ 2014/07/29 10:19 28,672 20140820.doc 1 個のファイル 28,672 バイト c:usershoge重要情報 のディレクトリ 2015/08/29 10:03 1,214 設計資料.doc > dir FILESV01SECRET FILESVSECRET のディレクトリ 2014/07/11 09:16 [DIR] 協力会社管理 2014/09/04 11:49 [DIR] 知財管理 2014/08/01 09:27 [DIR] 拠点情報 19 dirコマンド ネットワークドライブだけでなく感染端末も探索 /s : 再帰的に表示 /o-d : 日付順でソート表示
  21. 21. Copyright©2015 JPCERT/CC All rights reserved. 圧縮・ダウンロード・痕跡の削除 > winrar.exe a –r –ed –v300m –ta20140101 %TEMP%a.rar “FILESV01SECRET知財 管理” -n*.ppt* -n*.doc* -n*.xls* -n*.jtd Adding FILESV01SECRET知財管理委員会名簿(2015.05.01).docx OK Adding FILESV01SECRET知財管理構成図.ppt OK Adding FILESV01SECRET知財管理申請一覧.xlsx OK Adding FILESV01SECRET知財管理設計資料.jtd OK ・ ・ C&Cサーバに送信後、rar ファイルを削除 20 RARで圧縮 ドキュメント類がフォルダごと圧縮される
  22. 22. Copyright©2015 JPCERT/CC All rights reserved. 内部侵入テクニックの詳細 21 初期感染活動 情報収集 感染拡大(横断的侵害)
  23. 23. Copyright©2015 JPCERT/CC All rights reserved. 感染拡大に使われる手法 • 脆弱性の悪用(MS14-068 + MS14-058) • SYSVOL 内のスクリプト調査 • パスワードリスト攻撃 • Builtin Administrator のパスワードを悪用 • ファイルサーバにマルウエアを置く • fake wpad • など 感染拡大パターン 22
  24. 24. Copyright©2015 JPCERT/CC All rights reserved. 脆弱性の悪用(MS14-068 + MS14-058) 23 Domain Controller PC-A PC-B 1. 権限昇格し(MS14-058) mimikatz でパ スワードダンプ 2. MS14-068 の脆弱性を悪用し Domain Admin の権限を取得 3. DCに mimikatz をコピーし、admin のパスワードをダンプ 4. マルウエアを PC-B にコピー 5. マルウエアを実行するためのタスクを登録 6. タスクによりマ ルウエアを実行
  25. 25. Copyright©2015 JPCERT/CC All rights reserved. SYSVOL 内のスクリプト調査 24 • logon script などにパスワードが書いてある場合がある ポイント 攻撃インフラ C2 Server 3. admin のパス ワードを探す PC-A PC-B 6. タスクによりマルウ エアが実行される 2. ダウンロード 1. ログオンスクリプトを ダウンロードし、圧縮 Domain Controller 5. マルウエアを実行す るためにタスクを登録 4. PC-Bにマルウエ アをコピー
  26. 26. Copyright©2015 JPCERT/CC All rights reserved. パスワードリスト攻撃 25 PC-A PC-B4. タスク登録 3. マルウエアをコピー 1. Domain Admins の ユーザリストを取得 5. 実行 Domain Controller 2. logon.exeによ るログオン試行 • 10~30行程度のパスワードリストおよび Domain Admins のユーザリストを用いてログオンを試行 • logon.exe という自作?のツールが使われる ポイント
  27. 27. Copyright©2015 JPCERT/CC All rights reserved. • Domain環境の悪用に活路を見出せない場合に有効な手段 • パスワードハッシュもしくはパスワードをダンプする必要 がある ポイント Builtin Administrator のパスワードが同じ 26 PC-A PC-B 3. マルウエアをコピー 1. 権限昇格し (UAC bypass) パスワードダンプ 5. 実行 4. タスク登録 net use PC-BIPC$ [password] /u:Administrator 2. pass the hash or net use
  28. 28. Copyright©2015 JPCERT/CC All rights reserved. • 他に手段がない場合に効果的 ポイント ファイルサーバにマルウエアを置く 27 PC-A PC-B 2. ファイルサー バ上のマルウエ アを実行 ファイル サーバ 1. 既存のファイルを、アイコ ン偽装したマルウエアにすり 替える
  29. 29. Copyright©2015 JPCERT/CC All rights reserved. WPADの悪用 —デフォルトで有効 —自動構成スクリプトを  DHCPサーバに指定されたURL、もしくは  http://wpad/wpad.dat から取得する 28 WPAD (Web Proxy Auto-Discovery)
  30. 30. Copyright©2015 JPCERT/CC All rights reserved. WPADの悪用(step 1: NetBIOS Spoofing) 29 • WPADが構成されていない環境で有効 • NetBIOS Spoofing ポイント PC-A PC-B 2. Name query response (I am WPAD) 1. Broadcast: Name query NB WPAD wpad.exe
  31. 31. Copyright©2015 JPCERT/CC All rights reserved. WPADの悪用(step 2: fake WPAD server) 30 PC-A PC-B 4. response wpad.exe function FindProxyForURL(url, host) { if (myIpAddress() != “[PC-A addr]”) { return ‘PROXY wpad:8888;DIRECT’; } return ‘DIRECT’; } wpad.dat (自動構成スクリプト) 3. request http://wpad/wpad.dat
  32. 32. Copyright©2015 JPCERT/CC All rights reserved. WPADの悪用(step 3: man in the middle proxy) 31 PC-A PC-B 5. 攻撃者が用意したWebサイト への iframe を挿入 wpad.exe 6. drive by download attack 攻撃インフラ Attacker’s Web Site Web site
  33. 33. Copyright©2015 JPCERT/CC All rights reserved. 感染拡大手法のまとめ 手法 AD 権限昇格 備考 MS14-068 必要 不要 パスワードダ ンプには必要 DCにパッチが当て られていない場合 に危険 SYSVOL探索 必要 不要 パスワードリスト攻撃 必要 不要 脆弱なパスワード を設定していると 危険 Builtin Administratorの悪用 不要 必要 パスワードが同じ であるという前提 ファイルサーバの悪用 不要 不要 多くのユーザが開 くファイルに偽装 された場合に危険 WPAD の悪用 不要 不要 活用場面は限定さ れる 32
  34. 34. Copyright©2015 JPCERT/CC All rights reserved. 使用するツール・マルウエアの 詳細 33
  35. 35. Copyright©2015 JPCERT/CC All rights reserved. マルウエアの特徴 34 マルウエア 概要 ファイル形式 攻撃ステップ Emdivi (t17) HTTP BOT EXE 侵入 ツール類 パスワードダン プなど EXE 等 usp10jpg 通信頻度が低い ダウンローダ DLL, data 横断的侵害 Emdivi (t19, t20) t17よりも高機能 な HTTP BOT EXE BeginX リモートシェル ツール EXE GStatus 通信頻度が低い HTTP BOT EXE,DLL 潜伏? 参照: [船越絢香. 標的型攻撃で用いられたマルウエアの特徴と攻撃の影響範囲の関係に関する考察. MWS, 2015] 攻撃の進行度合、被害規模によって存在するマルウエアの 種別が異なる
  36. 36. Copyright©2015 JPCERT/CC All rights reserved. ツール類 35 種別 概要 ファイル名 パスワードダンプ Pass-the-hash Quarks PwDump qp.exe, qd.exe, QDump.exeなど MimikatzLite gp.exe Windows credentials Editor wce.exe, ww.exe Mimikatz mz.exe, mimikatz.exe, mimikatz.rar (sekurlsa.dll) 脆弱性悪用 MS14-068 (CVE-2014-6324) ms14-068.exe ms14-068.tar.gz MS14-058 (権限昇格) (CVE-2014-4113) 4113.exe UAC bypass UAC bypass ツール msdart.exe, puac.exeなど パケット転送 Htran, proxy対応型Htran htproxy.exeなど メールアカウント窃取 nirsoft の Mail PassViewに 類似 CallMail.exe, outl.exe など ユーティリティ リストを元にlogon試行 logon.exe WinRARアーカイバ yrar.exe, rar,exe など 高機能版 dir コマンド dirasd.exeなど timestamp の変更 timestomp.exe
  37. 37. Copyright©2015 JPCERT/CC All rights reserved. Emdivi (t17) この一年間でバージョンアップが繰り返され、実装され ているコマンドが増えている 36 コマンド 搭載された時期 DOABORT DOWNBG GETFILE LOADDLL SETCMD SUSPEND UPLOAD VERSION GOTO 2015年5月 CLEARLOGS 2015年8月 基本的な機能を搭載したHTTP BOT
  38. 38. Copyright©2015 JPCERT/CC All rights reserved. Emdivi (t20) この一年間で、搭載しているコマンドが増えたり、減っ たりしている —18~41(JPCERT調べ) 標的組織のプロキシサーバのアドレスがハードコードさ れている場合がある 特定端末でしか動作しない場合がある(端末のSIDによ るデータの暗号化) 37 高機能なEmdivi
  39. 39. Copyright©2015 JPCERT/CC All rights reserved. usp10jpg 1日1回通信 通信する曜日を指定できる Emdiviに感染していない端末に設置される傾向 (二次感染) DLLのプリロード攻撃 38 通信頻度の低いダウンローダ dwmapi.dll など ***.DAT アプリケーション 特定のDLLのサーチ オーダーを悪用し、 悪意のあるDLLを ロードさせる データを読み 込み実行
  40. 40. Copyright©2015 JPCERT/CC All rights reserved. usp10jpg は発見されにくい 39 攻撃インフラ Emdivi感染 端末 通信頻度が低いため、発見さ れずに残ることもusp10jpg 通信頻度が高いため、 発見されやすい
  41. 41. Copyright©2015 JPCERT/CC All rights reserved. BeginX BeginX Server —特定のポートをリッスンし、コマンドを待ち受ける —UDP版、TCP版ともに存在する BeginX Client —BeginX Server に対してコマンドを送信するクライアント —Emdivi から操作される 40 リモートシェルツール
  42. 42. Copyright©2015 JPCERT/CC All rights reserved. BeginXの使用イメージ 41 攻撃インフラ インターネット へ接続できない セグメント Emdivi 感染端末 Beginx Server Beginx Client Emdiviに感染させても操 作できない BeginX を経由することで 操作できる Emdivi
  43. 43. Copyright©2015 JPCERT/CC All rights reserved.42 多くの被害組織には存在しないが… ボット機能 —ドライブ情報の取得 —任意のシェルコマンド実行 —プロセス一覧 —スクリーン関連機能 Emdiviとは異なるHTTP BOT GStatus
  44. 44. Copyright©2015 JPCERT/CC All rights reserved. GStatus の Web パネル(管理画面) 43
  45. 45. Copyright©2015 JPCERT/CC All rights reserved. 分析ツール 44 emdivi_string_decryptor.py
  46. 46. Copyright©2015 JPCERT/CC All rights reserved. • IDAPython • Emdiviの分析に使用 • エンコードされた文字列をデコードする emdivi_string_decryptor.py • t17, 19, 20 対応バージョン 45 emdivi_string_decryptor.py
  47. 47. Copyright©2015 JPCERT/CC All rights reserved. emdivi_string_decryptor.py 46 Emdivi encoded strings
  48. 48. Copyright©2015 JPCERT/CC All rights reserved. emdivi_string_decryptor.py 47 Difference depending on version string Ver 17 Ver 19 or 20 Ver 20 Encrypt XxTEA encrypt XxTEA decrypt AES decrypt Decrypt XxTEA decrypt XxTEA encrypt AES encrypt Key MD5( MD5(base64(ver)) + MD5(key_string) ) Scanf( "%x", Inc_Add( ver17_key ) ) Inc_Add( ver17_key )
  49. 49. Copyright©2015 JPCERT/CC All rights reserved. emdivi_string_decryptor.py 48
  50. 50. Copyright©2015 JPCERT/CC All rights reserved. emdivi_string_decryptor.py 49
  51. 51. Copyright©2015 JPCERT/CC All rights reserved. DEMO 50
  52. 52. Copyright©2015 JPCERT/CC All rights reserved. 目次 51 1 はじめに 2 攻撃キャンペーン A 3 攻撃キャンペーン B
  53. 53. Copyright©2015 JPCERT/CC All rights reserved. Attack techniques ドライブバイダウンロード攻撃 アップデート ハイジャッキング ドメイン名ハイジャッキング 52
  54. 54. Copyright©2015 JPCERT/CC All rights reserved. Attack techniques ドライブバイダウンロード攻撃 アップデート ハイジャッキング ドメイン名ハイジャッキング 53
  55. 55. Copyright©2015 JPCERT/CC All rights reserved. ドライブバイダウンロード(水飲み場)攻撃 54 標的組織 国内組織の Webサーバ 1. Webアクセス 2. リダイレクト 0. Webサイト改ざん 3. マルウエアダウンロード 4. マルウエア 感染 攻撃者 インフラ
  56. 56. Copyright©2015 JPCERT/CC All rights reserved. アクセス制限 55 .htaccess Target name IP address
  57. 57. Copyright©2015 JPCERT/CC All rights reserved. 0day Exploit 56 • 2013年9月頃 • Internet Explorerの脆弱性 CVE-2013-3893 (MS13-080) • 2013年10月頃 • Internet Explorerの脆弱性 CVE-2013-3918 (MS13-090) • 2014年2月頃 • Internet Explorerの脆弱性 CVE-2014-0324 (MS14-012)
  58. 58. Copyright©2015 JPCERT/CC All rights reserved. Attack techniques ドライブバイダウンロード攻撃 アップデート ハイジャッキング ドメイン名ハイジャッキング 57
  59. 59. Copyright©2015 JPCERT/CC All rights reserved.58 標的組織 アップデート サーバ 1. アップデートリクエスト 0. アップデート情報改ざん 4. マルウエアダウンロード 5. マルウエア 感染 偽アップデー トサーバ 2. 偽アップデート情報 3. ダウンロードリクエスト アップデート情報を改ざんする手法 アップデートハイジャッキング
  60. 60. Copyright©2015 JPCERT/CC All rights reserved. 標的組織 アップデート サーバ 偽アップデー トサーバ アップデートサーバのファイルを置き換えない手法 59 0. iptablesの設定変更 1. アップデート 別のアップデートハイジャッキングパターン
  61. 61. Copyright©2015 JPCERT/CC All rights reserved. アップデートサーバのファイルを置き換えない手法 iptables -t nat -A PREROUTING -i eth0 -s aa.bb.cc.dd -p tcp --dport 80 -j DNAT --to-destination ww.xx.yy.zz:53 60 iptablesの設定で通信を転送する • サーバのファイルは改ざんされない • iptablesは保存しない • 標的組織は、正規のアップデートサーバと通信している ようにしか見えない ポイント 別のアップデートハイジャッキングパターン
  62. 62. Copyright©2015 JPCERT/CC All rights reserved. Attack techniques ドライブバイダウンロード攻撃 アップデート ハイジャッキング ドメイン名ハイジャッキング 61
  63. 63. Copyright©2015 JPCERT/CC All rights reserved. ドメイン名ハイジャッキング 62 標的組織 レジストラ レジストリ .com DNSサーバ 攻撃インフラ DNS サーバ Web サーバ DNS サーバ Web サーバ 正規サイト 0.登録情報の変更 1.DNSクエリ 2.DNSクエリ 4.Webアクセス
  64. 64. Copyright©2015 JPCERT/CC All rights reserved. iptables -t nat -A PREROUTING -p udp --dport 53 -m string --from 40 --to 46 --hex-string "|03|AAA" --algo bm -j DNAT -- to-destination aa.bb.cc.dd:54 iptables -t nat -A PREROUTING -p udp --dport 53 -j DNAT - -to ww.xx.yy.zz:53 63 iptablesで特定クエリのみDNSサーバへ転送 • 特定のサブドメインのみ処理 • その他のDNSクエリは、正規サーバに転送 ポイント ドメイン名ハイジャッキング AAA.example.com
  65. 65. Copyright©2015 JPCERT/CC All rights reserved. 使用するマルウエアの詳細 64
  66. 66. Copyright©2015 JPCERT/CC All rights reserved. マルウエアの特徴 65 ① 侵入時と潜伏で異なるマルウエアを使用 ② メモリ上にしか存在しないマルウエアがある ③ 標的組織の内部情報が埋め込まれている ④ 署名されている場合がある
  67. 67. Copyright©2015 JPCERT/CC All rights reserved. マルウエアの特徴 66 BlackCoffee McRAT Preshin Agtid Hikit Derusbi PlugX 侵入 潜伏
  68. 68. Copyright©2015 JPCERT/CC All rights reserved. マルウエア (侵入) 67 BlackCoffee McRAT Preshin Agtid command info 0x184004 リモートシェル起動 0x184008 シェルコマンド実行 0x18400c ファイル作成 0x184010 ファイル読み込み 0x184014 ドライブ情報の取得 0x184018 ディレクトリ作成 0x18401c ファイル検索 0x184020 ファイル削除 command info 0x184024 ファイル移動 0x184028 プロセス一覧 0x18402c プロセス停止 0x184030 Sleep 0x184034 コマンドインストール 0x184038 Sleep Time設定 0x18403c 終了 基本的な機能が搭載されたHTTPボット コマンド一覧
  69. 69. Copyright©2015 JPCERT/CC All rights reserved. 通信先取得アルゴリズム 68 WebページからC2情報を取得 デコード start: @MICR0S0FT end: C0RP0RATI0N start: lOve yOu 4 eveR end: Reve 4 uOy evOl
  70. 70. Copyright©2015 JPCERT/CC All rights reserved. マルウエア (侵入) 69 プラグインベースのマルウエア command number info 0 サーバにデータ送信 1 TickCount値の設定 3 プラグイン登録 4 プラグイン設定領域確保 5 プラグイン設定領域への設定 6 プラグイン作成・実行 7 プラグイン停止 8 設定ファイルの作成 9 - BlackCoffee McRAT Preshin Agtid コマンド一覧
  71. 71. Copyright©2015 JPCERT/CC All rights reserved. メモリ上のみに存在するマルウエア 70 ROP 省略 Shellcode Malware CVE-2013-3918 with McRAT
  72. 72. Copyright©2015 JPCERT/CC All rights reserved. メモリ上のみに存在するマルウエア 71 CVE-2013-3918 with McRAT rundll32.exeを起動して、イ ンジェクション インジェクションされるのは、 Shellcodeの後半のマルウエ アデータ このマルウエアは、ファイル として保存されない
  73. 73. Copyright©2015 JPCERT/CC All rights reserved. マルウエア (侵入) 72 機能が限定されたHTTPボット command info downonly ファイルダウンロード downexec ファイルダウンロード・実行 - シェルコマンド実行 BlackCoffee McRAT Preshin Agtid コマンド一覧
  74. 74. Copyright©2015 JPCERT/CC All rights reserved. Preshin Controller 73 PHPベースのコントローラ
  75. 75. Copyright©2015 JPCERT/CC All rights reserved. Preshin Controller 74 コマンド実行例
  76. 76. Copyright©2015 JPCERT/CC All rights reserved. マルウエア (侵入) 75 基本的な機能が搭載されたHTTPボット command info 1 ディスク情報取得 2 ファイル一覧 3 ファイル表示 4 アップロードファイル 5 ファイル作成 7 ファイル読み込み command info 8 - 9 ファイル削除 10 ファイル・フォルダ削除 11 アップロードファイル 12 フォルダ作成 13 ファイル移動 BlackCoffee McRAT Preshin Agtid コマンド一覧
  77. 77. Copyright©2015 JPCERT/CC All rights reserved. マルウエア (潜伏) 76 Hikit Derusbi PlugX Rootkit機能を持ったマルウエア command info file ファイル関連操作 information 設定情報の送信 proxy プロキシ機能の有効化 connect Hikitプロキシへ接続 shell シェルコマンド実行 socks5 プロキシ機能(socks5)の有効化 exit 終了 コマンド一覧
  78. 78. Copyright©2015 JPCERT/CC All rights reserved. Hikitの設定情報 77 ネットワーク内部のプロキシ情報を持つ プロキシ情報 識別子 ターゲット Rootkit設定
  79. 79. Copyright©2015 JPCERT/CC All rights reserved. マルウエア (潜伏) 78 最近使われることが多いマルウエア command info cmd4 サービス、プロセス関連操作 cmd5 シェルコマンド実行 cmd6 Derusbiプロキシへ接続 cmd7 ファイル操作 cmd8 終了 cmd9 ファイル作成、削除 Hikit Derusbi PlugX コマンド一覧
  80. 80. Copyright©2015 JPCERT/CC All rights reserved. Derusbiの設定情報 79 プロキシ情報 識別子 ネットワーク内部のプロキシ情報を持つ
  81. 81. Copyright©2015 JPCERT/CC All rights reserved. 証明書 80 Identity Type Country System Integrator exe Japan Software Vendor exe Japan Software Vendor exe Korea Automaker exe Korea Heavy Industry jar Korea Software Vendor exe Korea Electronics Industry jar Korea Software Vendor exe Korea
  82. 82. Copyright©2015 JPCERT/CC All rights reserved. 攻撃インフラ 81 標的組織 攻撃インフラ 正規サイト 海外サーバ Backdoor 日本国内 C2サーバ iptables
  83. 83. Copyright©2015 JPCERT/CC All rights reserved. Linux Backdoor 82 mod_rootmeのソース • apache module • キーワードを送ることでシェルを起動 mod_rootme キーワード “Roronoa”
  84. 84. Copyright©2015 JPCERT/CC All rights reserved. Linux Backdoor 83 • 高機能なLinuxボット rs_linux Function MyNetstat CreateShell Mymkdir PortTunnelGet GetFileSource Mymkfile PortTunnel_RemoteClose MyPs Myrmfile PortTunnel_Show KillByPid Myrmdir CreatePortTunnel NewConnectTo ListDir PortForward StartPutFile my_reboot PortForward_Show PutFileDest ShowHide PortForward_Close ShellServer SwitchHide
  85. 85. Copyright©2015 JPCERT/CC All rights reserved. 分析ツール 84 apt17scan.py
  86. 86. Copyright©2015 JPCERT/CC All rights reserved. apt17scan.py • Volatility Plugin • メモリダンプからマルウエアを検知 • マルウエアの設定情報を抽出 apt17scan.py • apt17scan • derusbiconfig • hikitconfig • agtidconfig Function 85
  87. 87. Copyright©2015 JPCERT/CC All rights reserved. apt17scan.py 86 Scan with YARA Search configuration data address Parse configuration data Dump configuration
  88. 88. Copyright©2015 JPCERT/CC All rights reserved. apt17scan.py 87 Agtid Hikit McRAT Preshin BlackCoffee Derusbi apt17scan マルウエアを検知
  89. 89. Copyright©2015 JPCERT/CC All rights reserved. apt17scan.py 88 derusbiconfig Derusbiの設定情報を表示
  90. 90. Copyright©2015 JPCERT/CC All rights reserved. apt17scan.py 89 hikitconfig Hikitの設定情報を表示
  91. 91. Copyright©2015 JPCERT/CC All rights reserved. apt17scan.py 90 agtidconfig Agtidの設定情報を表示
  92. 92. Copyright©2015 JPCERT/CC All rights reserved. DEMO 91
  93. 93. Copyright©2015 JPCERT/CC All rights reserved. How to download 92 https://github.com/JPCERTCC
  94. 94. Thank You! 連絡先 aa-info@jpcert.or.jp https://www.jpcert.or.jp インシデント報告 info@jpcert.or.jp https://www.jpcert.or.jp/form/

×