Observe_C2Servers_Phorpiex_Avaddon_-20200630.pdf

8b87ad1460f4051001d3b70211f05576?s=47 hiro
June 30, 2020

 Observe_C2Servers_Phorpiex_Avaddon_-20200630.pdf

8b87ad1460f4051001d3b70211f05576?s=128

hiro

June 30, 2020
Tweet

Transcript

  1. 3.

    アジェンダ
 1 はじめに
 2 稼働監視について
 3 無料のサーバ監視サービス
 4 観測対象のC2サーバ選定
 5 監視サービスを利用したC2サーバの観測
 6 その他の情報源
 ▪参考情報
  UptimeRobot.com - https://uptimerobot.com


     StatusCake.com - https://app.statuscake.com
  Freshping.io - https://app.freshping.io
  HowFast.tech - https://www.howfast.tech/ 
  httpstatus.io - https://httpstatus.io 
  Censys.io - https://censys.io 
  Shodan.io - https://shodan.io 
  Hybrid-Analysis.com - https://hybrid-analysis.com 
  JoeSandbox.com - https://joesandbox.com 
 ※C2サーバの観測は、
  公開情報へのアクセスであり、
  不正アクセスには当たりません。

  2. 7.

    7 稼働監視と運用監視
 
 稼働監視
 運用監視
 目的
 主にサーバ機器やネットワーク機器が 正常に動作していることを監視。
 主にシステムが正常に処理できている ことを監視。


    範囲
 システムの稼働に必要なサーバ機器と ネットワーク機器を監視範囲とする。
 個々のシステムを監視範囲とする。
 (バッチジョブ、バックアップ運用等)
 レベル
 L1(リソース:メモリ、ディスク)
 L3~L4レベル(IPとポート)
 L7レベル(アプリケーション)
 L7レベル(アプリケーション)
 監視方法
 SNMP(MIB)、ICMP(ping)、
 TCPコネクション、HTTP/HTTPS、
 監視エージェント
 ログ監視(SIEM)、API
 監視エージェント、ジョブスケジューラ
 通報
 しきい値監視
 (しきい値を超えたら通報)
 ステータス監視
 (異常終了時に通報)

  3. 8.

    8 
 クラウド
 オンプレミス
 HW障害
 障害が発生したホスト上のVMは別ホス トに移動されるので、障害を意識しな い。
 クラスタを組んでいない場合は、当該ホ ストがダウンすると、システムもダウン

    する。
 NW障害
 障害が発生したNWは別経路に切り替 わるので、障害を意識しない。
 NWを冗長化していない場合は、通信断 が発生する。
 ファームウェア
 不具合
 クラウド事業者がファームウェアのパッ チ更新を行うので意識しない。
 運用保守業者が更新したファームウェ アに問題があると不具合が発生する。 更新のためにシステム停止が必要な場 合がある。
 ドライバ
 不具合
 クラウド事業者がドライバのパッチ更新 を行うので意識しない。
 運用保守業者が更新したドライバに問 題があると不具合が発生する。更新の ためにシステム停止が必要な場合があ る。
 空調の
 不具合
 大規模な障害を除けば、意識しない。
 (AWSで大規模障害はあったが・・・)
 空調機器の不具合はよく発生する。
 (空調をお客さんが切っちゃうとかね )
 クラウドとオンプレミスにおける障害影響範囲

  4. 9.

    エージェント監視
 エージェントレス監視
 
 
 ×エージェントのインストールが必要。
 ×即死の場合、通知されない。
 •CPU使用率、メモリ使用率、ディスク空き
  容量等のステータスや、バッチジョブの
  状態などが分かる。
 


    ※主な製品
  JP1、SystemWalker、WebSAM、Tivoli Netcool、 
  Zabbix、Nagios、MRTG、Cacti、mackerl、 
  Munin、Datadog など 
 •エージェントのインストール不要。
 ×ポーリングなので監視タイミンング抜けがある。
 ×ネットワークの導通、サービスの死活しか
  分からない(リソース状態は分からない)。
 
 ※SNMPエージェント以外のエージェントは不要という 
  製品や、SSH/TELNETでログインして監視対象から 
  情報を収集する方式をエージェントレスと呼ぶ場合も 
  ある。
  ここでは、ICMPやTCPコネクション、HTTPリクエスト 
  のみで監視することをエージェントレス と呼ぶ。
 9 エージェント監視とエージェントレス監視
 監視システム
 (マネージャ)
 監視対象 (エージェント) 監視対象 (エージェント) 監視対象 (エージェント) 監視システム
 監視対象 監視対象 監視対象
  5. 11.

    ※UptimeRobotがおススメ(RSSフィードあり。DM飛ばないことも)
 ※類似のサービスとして、Pingdom.com、Site24x7.com などがある
  が、いずれも 30 Days Trial だった。
 ※類似のサービスを探すのに便利なサイト「AlternativeTo.net」
  https://alternativeto.net/software/uptimerobot/


    11 監視サービス
 国
 間隔
 (分)
 監視
 上限
 スマホ
 アプリ
 Eメー ル
 SMS
 Slack
 Twitter
 UptimeRobot.com
 アメリカ
 5
 50
 〇
 〇
 △
 〇
 DM
 StatusCake.com
 イギリス
 5
 10
 〇
 〇
 △
 〇
 Tweet
 Freshping.io
 フランス
 1
 50
 ×
 〇
 ×
 〇
 ×
 HowFast.tech
 フランス
 1
 30
 ×
 〇
 ×
 〇
 ×
 SavaMoni.com
 日本
 5
 5
 ×
 〇
 ×
 ◦
 ×
  無料のサーバ監視サービス
  6. 12.

    12 監視サービス
 HTTP
 HTTPS
 キーワード
 ※
 DNS
 FTP
 SMTP
 TCP


    Port
 UDP
 Port
 ICMP
 Ping
 UptimeRobot.com
 〇
 〇
 × × × 〇 × 〇 StatusCake.com
 〇
 ×
 × × × 〇 × 〇 Freshping.io
 〇
 ×
 〇 × × 〇 〇 〇 HowFast.tech
 〇
 ×
 ×
 ×
 ×
 ×
 × ×
 SavaMoni.com
 〇
 〇
 〇 〇 〇 一部
 のみ
 NTP 〇 サーバ監視サービスごとの対応プロトコル インターネット・プロトコル ・スイート(TCP/IP) プロトコル 7 アプリケーション HTTP/HTTPS、DNS、 FTP、SMTP 6 5 4 トランスポート TCP、UDP 3 インターネット IP(IPv4/IPv6)、ICMP   PPP、 PPPoE 2 ARP、RARP 1 リンク Ethernet、Wi-Fi HTTP/HTTPS、TCP Portの 監視ができれば、C2サー バの観測には十分

  7. 18.

    18 Any.Run の Public submissions
 Avaddon(アバドン)で検索。
 ※2020-06-09 06:00~22:00ごろ活動。
  本文は、顔文字 ⇒

    ;)
  Avaddonランサムウェアに感染
 ※ホンダのEKANSランサムウェアに持ち切り
  で、ほとんど報道されなかった。
 ▪Any.Runの解析結果から検索(Avaddonの例)
 添付ファイルは、
 IMGnnnnnn.jpg.zip
 (IMGnnnnnn.jpg.js)で あった。

  8. 19.

    19 Any.Run の Public submissions
 ▪HTTP REQUESTS でURLを確認
 ドメイン名だけでなくIPアドレスでも アクセスしなおしているのは、DNS

    のブロックリスト回避の目的と推測さ れる。(Cisco Umbrellaとか…)
 現時点では、404エラーの場合でも、 後日デプロイされる場合があるの で、合わせて観測対象とする。

  9. 22.

    22 VirusTotal の URLs
 ▪IP⇒RELATIONS⇒URLs (IPに関連したURL情報)
 Phorpiexの場合、数字.exeや、数字.txt、n.txtなど
  数字.exe:ダウンローダー?
  数字:コインマイナー、RATモジュールなど
  数字.txt:送信リスト、n.txt:リストの最大値


    #!/bin/sh for i in $(seq 1 9135);do wget -b http://??????.net/ amm/$i.txt -U "Mozilla/6.0" done 例えば、こんなスクリプトで、送信リストをダウンロード。
 Sextortion向けSPAMリスト、182,700,000 件!
 #!/bin/sh for i in $(seq 1 1653);do wget -b http://??????.net/ jps/$i.txt -U "Mozilla/6.0" done 6/9のAvaddonのリストは古く、2018-12-07のもの。
 33,060,000 件(go.jp:235,866件、lg.jp:66,142件)

  10. 27.

    27 C2サーバ観測までの流れ
 アクション
 参考情報・入手元
 不審メールの検知
 ツイート、ブログへのポスト、注意喚起情報など
 マルウェアの入手・解析
  または
 マルウェアの解析結果の入手
 Any.RunやHybrid-Analysisの最近の解析結果


    ツイート中のハッシュ値、スクリプトの難読化解除
 C2サーバのIPアドレス、URL調査
 Any.Run、Hybrid-Analysis、VirusTotalの情報
 ツイートなど
 C2サーバのIPアドレス、URL導通確認
 check-host.netによる導通確認
 httpstatus.ioによるHTTPヘッダー確認
 C2サーバのコンテンツ調査
 DIRB(コンテンツスキャナー)によるコンテンツス キャン
 監視サービスへのモニター設定
 (HTTP/HTTPS、TCPポート、ICMP)
 UptimeRobot.com、StatusCake.com
 Freshping.ioなど
 追加IPアドレスの調査
 IoT検索エンジン(Censys.io、Shodan.io)
 ▪検知から監視サービスへの登録までの大まかな流れ
 ◆EmotetのPowerShell難読化解除~Any.RunとCyberChedの使い方~ 
  https://speakerdeck.com/ctrl_z3r0/remove-obfuscation-in-emotet-powershellscript-20200129 

  11. 42.

    42 User-Agent: Mozilla/5.0+(compatible; UptimeRobot/2.0; http://www.uptimerobot.com/) User-Agent: StatusCake/Pretest (Statuscake.com) User-Agent: FreshpingBot/1.0

    (+https://freshping.io/) User-Agent: HowFastBot/1.3 (howfast.tech) User-Agentを把握しておこう
 ▪PhorpiexのC2サーバで、User-Agentの対策がされた
 Uptime Robotだと 404 Not Found
 ptime Robotだと 200 OK
 2020/04/06以降、Uptime Robotの対策は解除された が、05/31再び対策された。

  12. 44.

    44 DIRB(Web Content Scanner)
 $ dirb http://??????.top/ phorpiex.txt ----------------- DIRB

    v2.22 By The Dark Raver ----------------- START_TIME: Mon Apr 6 10:56:05 2020 URL_BASE: http://tldrbox.top/ WORDLIST_FILES: /usr/share/dirb/wordlists/vulns/phorpiex.txt ----------------- GENERATED WORDS: 133 ---- Scanning URL: http://tldrbox.top/ ---- + http://??????.top/2 (CODE:200|SIZE:129032) + http://??????.top/3 (CODE:200|SIZE:129032) + http://??????.top/1.exe (CODE:200|SIZE:128512) + http://??????.top/11.exe (CODE:200|SIZE:128512) + http://??????.top/a.exe (CODE:200|SIZE:128512) + http://??????.top/o.exe (CODE:200|SIZE:128512) + http://??????.top/t.exe (CODE:200|SIZE:128512) + http://??????.top/xxx/ (CODE:403|SIZE:306) ----------------- END_TIME: Mon Apr 6 10:56:38 2020 DOWNLOADED: 133 - FOUND: 8 ◆DIRB | Penetration Testing Tools 
  https://tools.kali.org/web-applications/dirb ▪dirbコマンド(Webコンテンツスキャナー)
 ---- Scanning URL: http://tldrbox.top/ ---- + http://??????.top/2 (CODE:200|SIZE:129032) + http://??????.top/3 (CODE:200|SIZE:129032) + http://??????.top/1.exe (CODE:200|SIZE:128512) + http://??????.top/11.exe (CODE:200|SIZE:128512) + http://??????.top/a.exe (CODE:200|SIZE:128512) + http://??????.top/o.exe (CODE:200|SIZE:128512) + http://??????.top/t.exe (CODE:200|SIZE:128512) + http://??????.top/xxx/ (CODE:403|SIZE:306) sava.exe up.exe upla.exe vget.exe xup.exe 1.txt 2.txt 3.txt 4.txt URLのパスをWordList(辞書)と して指定。カスタマイズすると 効率よくスキャンできる。

  13. 45.

    $ dirb http://??????.top/ phorpiex.txt ----------------- DIRB v2.22 By The Dark

    Raver ----------------- START_TIME: Fri Jun 26 13:31:06 2020 URL_BASE: http://??????.top/ WORDLIST_FILES: phorpiex.txt ----------------- GENERATED WORDS: 228 ---- Scanning URL: http://??????.top/ ---- ----------------- END_TIME: Fri Jun 26 13:31:06 2020 DOWNLOADED: 228 - FOUND: 0 45 torifyコマンド
 ▪torifyコマンド(Wrapper for Torsocks and Tor)
  socks5プロキシを指定できない dirbやwget等のコマンドは・・・
   →torifyコマンド経由でラッピングして実行するとTor経由に!
 $ sudo torify dirb http://??????.top/ phorpiex.txt ----------------- DIRB v2.22 By The Dark Raver ----------------- START_TIME: Fri Jun 26 13:32:01 2020 URL_BASE: http://??????.top/ WORDLIST_FILES: phorpiex.txt ----------------- GENERATED WORDS: 228 ---- Scanning URL: http://??????.top/ ---- + http://??????.top/2 (CODE:200|SIZE:91048) + http://??????.top/1.exe (CODE:200|SIZE:230400) + http://??????.top/2.exe (CODE:200|SIZE:230400) + http://??????.top/11.exe (CODE:200|SIZE:230400) + http://??????.top/32.exe (CODE:200|SIZE:195584) + http://??????.top/64.exe (CODE:200|SIZE:195584) <中略> + http://??????.top/pe/ (CODE:200|SIZE:1) + http://??????.top/pe/1 (CODE:200|SIZE:196104) + http://??????.top/pe/2 (CODE:200|SIZE:230920) ----------------- END_TIME: Fri Jun 26 13:34:12 2020 DOWNLOADED: 228 - FOUND: 15
  14. 50.

    50