インターネットバンキングに関わる不正送金の被害は、2013年以降、急激に増加しており、社会問題となっている。 2015年4月に警視庁が日本独自としては初のテイクダウン作戦である「ネットバンキングウイルス無力化作戦」を実施した。 我々は警視庁の要請により、「ネットバンキングウイルス無力化作戦」のターゲットである「VAWTRAK」を無力化する技術を開発し、技術協力を行った。 本発表では、無力化作戦の概要と技術協力に至るまでの経緯について紹介する。 また、我々がVAWTRAKを無力化するために開発した技術についてデモを交えて紹介する。 さらに、2016年に流行する金融マルウェアの調査結果から攻撃が高度化している実態について述べる。 --- 高田 一樹Kazuki Takada 株式会社セキュアブレイン　先端技術研究所 兼 セキュリティレスポンスチーム所属 シニアソフトウェアエンジニア。2014年 株式会社セキュアブレインに入社。ソフトウェアエンジニアとして、ソフトウェア開発に従事する傍らセキュリティ研究を行っている。主に金融マルウェアおよびフィッシングによるサイバー犯罪の分析および対策技術の開発を担当。 主な講演・発表 2015年、2016年フィッシング対策ガイドライン実践セミナー講師 2016年IEICE依頼シンポジウム「マルウェア長期観測・テイント解析の解析手法と観測結果」

1. Copyright© 2016 SecureBrain Corporation, All rights reserved.Copyright© 2016 SecureBrain Corporation, All rights reserved.
「ネットバンキングウイルス無力化作戦」の裏側
と高度化する金融マルウェア
2016.10.20 - 21
CODE BLUE 2016
株式会社セキュアブレイン
高田 一樹

2. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
自己紹介
• 名 前 高田一樹
• 所 属 株式会社セキュアブレイン
• お仕事 ソフトウェアエンジニア
 ソフトウェア開発が本業
 開発の傍らリサーチ (最近逆転気味)
1

3. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
背景
2

4. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
Question
3
この数字は？
3073000000

5. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
Answer
4
2015年中のインターネットバンキングに関わる
不正送金の被害額
3,073,000,000
https://www.npa.go.jp/cyber/pdf/H280303_banking.pdf

6. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
日本における不正送金被害額
5
2013年 2014年 2015年
29億1000万円
30億7300万円
14億600万円
https://www.npa.go.jp/cyber/pdf/H280303_banking.pdf

7. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
IPA 情報セキュリティ10大脅威 2016
• 総合的な10大脅威の第1位に
6

8. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
ネットバンキングウィルス無力化作戦の概要
7

9. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
ネットバンキングウィルス無力化作戦
8
http://www.keishicho.metro.tokyo.jp/haiteku/haiteku/haiteku504.htm

10. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
ネットバンキングウィルス無力化作戦
9
感染PC
C&Cサーバ
警視庁
無力化情報
を配布
金融機関
正規サーバ
安全に利用可能

11. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
標的は、
『VAWTRAK』
10
https://www.flickr.com/photos/arenamontanus/2125942630
※別名Neverquest, Snifulaなど

12. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
VAWTRAK
11

13. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
What’s VAWTRAK ?
• 2014年に、日本で流行
• MITB攻撃で、通信内容を改ざんする
– IE, Firefox, Chrome等のブラウザにInjectionして動作する
• オンラインバンキングでの取引において
– ログイン情報・認証情報の詐取
– 半自動不正送金
を行う
12

14. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
MITB攻撃とは
13
MITB
Man In The Browser
ブラウザ
VAWTRAK
感染PC
Injection サイト改ざん
偽画面の表示…etc
Webサーバ

15. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
何が起きているのか？
14
VAWTRAK
ユーザPC
レジストリ
感染
コンフィグ情報
C&Cサーバ マニピュレーション
サーバ
金融機関
正規サーバ

16. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
何が起きているのか？
15
VAWTRAK
ユーザPC
<html>
<head>
<title>Internet Banking</title>
コンテンツのリクエスト
Injection
<script src=“….”>
正規コンテンツ
C&Cサーバ マニピュレーション
サーバ
金融機関
正規サーバ

17. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
何が起きているのか？
16
VAWTRAK
ユーザPC 不正JavaScriptのリクエスト
不正JavaScriptの本体を取得・実行
<html>
<head>
<title>Internet Banking</title>
<script src=“….”>
C&Cサーバ マニピュレーション
サーバ
金融機関
正規サーバ

18. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
何が起きているのか？
17
VAWTRAK
ユーザPC
暗証番号の入力
送信
ユーザ情報の送信
*******
C&Cサーバ マニピュレーション
サーバ
金融機関
正規サーバ

19. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
無力化作戦
18

20. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. 19
協力するきっかけ

21. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
半自動不正送金
20
ABCダイレクト
メインメニュー
Copyright ABC Bank Co.,Ltd All Right Reserved
お客様番号
ワンタイムパスワード
プログレスバーでユーザ操作を抑止する間に
感染PC自身から振り込みの手続きが行われる

22. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
リクエストフロー
21
感染PC
ログイン操作
銀行サーバ マニピュレーションサーバ
ログイン情報
ログイン処理
ログイン画面
アカウント情報画面
残高情報を盗聴 残高情報
送金先情報&送金額
送金手続き処理
プ
ロ
グ
レ
ス
バ
ー
必要に応
じてOTP
等の入
力画面を
表示
http://www.slideshare.net/MasataNishida/avtokyo2014-obsevation-of-vawtrakja

23. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
不正JavaScriptと同じリクエストを送ると…
22
送金先口座情報
送金額(上限/下限)

24. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
警視庁との情報連携
• マニピュレーションサーバとの通信実験で得られた送金先口
座情報を警視庁に情報提供
• 不正利用されている口座を閉塞し、不正送金を未然に防ぐ
23
警視庁と相互協力協定を結ぶ

25. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
警視庁との連携
• 警視庁では、C&Cサーバのドメインを入手
• ドメインは、正規の手続きで入手
• 入手したドメインを利用し、VAWTRAKの通信を監視
• 世界で8万2000台、うち国内では4万4000台の感染端末を特定
24
ドメインを利用し、VAWTRAKに対し無力化情報を
送信するサーバ構築を検討

26. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
技術概要
25
感染PC
C&Cサーバ
警視庁
無力化情報
を配布
金融機関
正規サーバ
安全に利用可能
無力化情報を生成
するツールの提供
ドメインを入手し管理下に

27. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
技術分担
警視庁
• C&Cサーバを管理下に置き、コンフィグ情報を配信する環境
を構築・運用
• 評価
セキュアブレイン
• 解読技術を用いて、コマンドおよびコンフィグ情報を生成する
ためのツールを開発する
• 無力化すると考えられるコンフィグ情報の解明
26

28. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
無力化技術の開発
27

29. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
無力化に利用可能なVAWTRAK(BOT)の特徴
28
C&Cサーバ
感染PC
1分毎にC&C
サーバにPolling
有効なコマンドを返却する
と他のC&Cサーバへは通
信に行かない

30. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
コマンド
20種類のコマンドを特定
• コンフィグ情報指定
• ファイルのダウンロードと実行
• システムの終了
• Cookieの窃取
• 証明書ストアの窃取
• Socksサーバ起動, 終了
• VNCサーバ起動, 終了
• 検体のUpdate
• レジストリの操作 ...etc
29

31. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
コンフィグ情報
30
マニピュレーションサーバへ接続する
ための書き換え情報
解読したコンフィグ情報
攻撃対象URL
挿入するコード

32. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
コンフィグの構成要素
31
名称 意味
inject type インジェクションの種別
browser 対象ブラウザ
pattern match URLのパターンマッチ種別
URL 対象URL
string2 条件文字列
string3 置換文字列
string4 挿入する文字列

33. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
inject type
18種類の種別を特定
• 通信終了
• スクリーンキャプチャ
• 前に挿入
• 後ろに挿入
• URL置換
• ホスト置換
• 文字置換...etc
32

34. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
browser / pattern
ブラウザ
Internet Explorer
Firefox
Chrome
33
browser
種別 意味
strstr strstr関数
strcmp strcmp関数
regexp 正規表現
pattern

35. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. 34
もう一度、コンフィグ情報を見返してみる

36. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
コンフィグ情報
35
種別 意味
inject type insert before
browser IE, Firefox, chrome
URL 対象URL(正規表現)
string2 条件文字列
string3 -
string4 挿入されるJavaScript

37. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
コンフィグ情報
36
種別 意味
inject type replace URL
browser IE, Firefox, chrome
URL 対象URL
string2 条件文字列
string3 置換URL
string4 -

38. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
コマンド&コンフィグ生成ツール
• 動作確認環境
– Linux系OS
– Python 2.7.x
• コマンド情報、コンフィグ情報を入力としてVAWTRAKが認識
可能なバイナリ形式のデータを出力する
• 出力データをC&Cサーバに設定し、VAWTRAKに読み込ませ
ることでコマンド、コンフィグを書き換えることが可能
37

39. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
コンフィグ生成フロー
38
Encryption process (XOR)
Raw configure data (JSON format)
CRC32 from raw configure data
Compression process (aPLib)
Encrypted configure data (Binary)

40. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
デモ
• Control of VAWTRAK
39

41. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
実験サンドボックス環境
40
Dummy
C&C Server
Mac OSX
VM Ware
Victim PC
Internet
Host machine Mac OSX 10.10
Dummy C&C Ruby 2.0 + Sinatra
Victim PC Various Windows
(After XP)
Browser Internet Explorer
Chrome
Firefox

42. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
無力化データの正体
41

43. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
無力化作戦の効果
42
https://www.npa.go.jp/cyber/pdf/H280303_banking.pdf

44. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
考察
• 2013年中頃から拡大傾向であったVAWTRAKによる被害が
無力化作戦以降、減少。
• 警察等の行政機関が主導でテイクダウンをすることで、技術
的有効性に加えて、攻撃者の心理的ハードルが上がると考え
られる。
• ドメインを予め入手する必要があるなどの問題点がある
43

45. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
高度化する金融マルウェア
44

46. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
2016年に不正送金に多く用いられているマルウェア
45
ROVNIX
URLZONE
VAWTRAK (New)
URSNIF
別名 Cidoxなど
別名Goziなど
別名 Shiotob, Beblohbdなど
別名Neverquest ,Snifulaなど

47. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. 46
=
不正JavaScript
ROVNIX
target 30
Group A Group B
=
不正JavaScript
URLZONE
VAWTRAK(New)
target 30

48. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. 47
MITB攻撃の
基本的な方法は変わらない

49. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. 48
何が変化しているのか?

50. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
ポイント
• C&Cサーバとの通信改ざん防止
– 対称鍵暗号(Serpent)で使用する共通鍵を非対称鍵暗号(RSA-2048)
で暗号化している
– ROVNIXでは、通信内容を署名(RSA-2048)している
• 頻繁なマルウェア本体のアップデート
– パターンマッチングでの検出がより困難
– 最新のブラウザにもInjectionが可能
• 様々な通信方式の採用
– コンフィグ情報の通信にHTTP、UDP P2Pの2つを利用している
• 不正JavaScriptの高機能化
49

51. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
不正JavaScriptの高機能化(1)
50

52. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
リクエストフロー
51
感染PC
ログイン操作
銀行サーバ マニピュレーションサーバ
ログイン情報
ログイン処理
ログイン画面
送金手続き処理
決済情報の要求
セ
キ
ュ
リ
テ
ィ
ソ
フ
ト
導
入
の
偽
画
面
決済情報
必要に応
じてOTP
等の入
力画面を
表示

53. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
考察
52
通信内容の改ざん防止
通信経路の多重化
秘匿すべき情報はサーバで処理
攻撃活動を維持するためのセキュリティ強化

54. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
まとめ
53

55. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
まとめ
• 警察が主導でテイクダウンを行った事の意義は非常に大きい
• 攻撃者が攻撃方法を切り替える速度は非常に迅速であり、常
に次の対策を用意しておく必要がある
• 高度化する金融マルウェアに無力化作戦をそのまま適用する
のは難しいと考えられる
54

56. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
効率的なテイクダウンは。。。
55
https://www.flickr.com/photos/hackaday/4658391708

57. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. 56
政府、警察、司法、企業
が連携することが不可欠