Using StarC to observe malicious traffic

6a8a8ca8880c9a93dc110748ac0787f2?s=47 Rintaro KOIKE
February 24, 2018
830

Using StarC to observe malicious traffic

第3回 ハニーポッター技術交流会
https://hanipo-tech.connpass.com/event/78002/

6a8a8ca8880c9a93dc110748ac0787f2?s=128

Rintaro KOIKE

February 24, 2018
Tweet

Transcript

  1. Copyright©2018 nao_sec All Rights Reserved. 第 回 ハニーポッター技術交流会

  2. Copyright©2018 nao_sec All Rights Reserved. Speaker • 小池 倫太郎 •

    大学生 学部4年 • nao_secでは悪性トラフィックの調査・解析を担当 • nao_sec • 2017年2月に結成 • 活動 • Drive-by Download攻撃やExploit Kitの調査・解析 • 解析ツールの開発・公開 • それらに関する情報の発信 • http://nao-sec.org • https://twitter.com/nao_sec • https://github.com/nao-sec • 仕事ではなく,アマチュア(趣味) 2
  3. Copyright©2018 nao_sec All Rights Reserved. Honeypot 3 ハニーポット 攻撃経路 インタラクション

    サーバ クライアント ハニートークン 高対話型 ハイブリッド 低対話型 SSH Web App Telnet Webブラウザ 認証情報 機密文書 参考「実践サイバーセキュリティモニタリング」(コロナ社)P18 図2.9 Marionette / StarC
  4. Copyright©2018 nao_sec All Rights Reserved. Drive-by Download攻撃 • 概要 •

    Webサイトを使ってWebブラウザを攻撃 • 悪性Webサイトへ誘導された脆弱なWebブラウザに対して, そのブラウザの脆弱性を突くようなコードを送り込んで制御 を奪い,マルウェアをダウンロード・実行させる • Remote Code Execution • 入口 • メールやSNS • 改ざんされた一般のWebサイト • 悪性Web広告(Malvertising) • 最近の主流 4
  5. Copyright©2018 nao_sec All Rights Reserved. Drive-by Download攻撃 ②Access ①Inject ④Download

    & Execute ③Drive (redirect...) 中継サーバ 5
  6. Copyright©2018 nao_sec All Rights Reserved. Exploit Kit • 攻撃者の役割分担 •

    サイト改ざんやWeb広告でユーザを攻撃サーバへ誘導 • Traffic Distribution System • ブラウザの脆弱性を突き,マルウェアをダウンロード・実行 • Exploit Kit • Exploit Kit as a Service • 攻撃者はユーザをExploit Kitへ誘導するだけ • API的なものを使う • 攻撃の難易度が低くなった ← 役割分担 6
  7. Copyright©2018 nao_sec All Rights Reserved. 7 DEMO

  8. Copyright©2018 nao_sec All Rights Reserved. 観測・解析における課題 • 難読化 • 文字列置換

    • window.locationやscreen.heightを利用することもある • 動的実行 • eval, Function • 他言語を跨ぐ実行 • JavaScript, VBScript, SWF, Jar • フィンガープリンティング • User-Agent, プラグイン • クローキング • IPアドレス, Geo-Location, Referer 8 効率良くDbD/EKのトラフィックを観測したい
  9. Copyright©2018 nao_sec All Rights Reserved. クライアントハニーポット • 観測のための技術 • DbD/EKのトラフィックを観測するには脆弱な環境で実際に

    攻撃を受けることが最も確かな方法 • 静的な解析でもできないこともないが難易度が桁違い • 世界中で様々な先行研究があるが、実用には耐えられない • “堅牢”で”脆弱”な環境を作る必要がある • 攻撃を受ける === マルウェアが動く • マルウェアが動いても問題がない環境 • ネットワーク等を隔離し、スナップショット等で復元 • マルウェアが動かない環境 • Anti-Anti-Analysis • そういうの欲しいです… 9
  10. Copyright©2018 nao_sec All Rights Reserved. クライアントハニーポット • 脆弱な環境 • 何を用意したらいいのか?

    ← 最も重要(みんな悩んでる) • OS、ブラウザ、プラグイン、ソフトウェア… • 様々なEKのコードを解析し、利用している脆弱性を調査 10 2011-3544 2012-4681 2013-0422 2013-2551 2014-6332 2015-2419 2016-0189 2016-7200 2017-0037 2017-0059 RIG ◦ ◦ ◦ Terror ◦ ◦ ◦ Magnitude ◦ KaiXin ◦ ◦ ◦ ◦ ◦ Disdain ◦ ◦ ◦ ◦ ◦ GrandSoft ◦ Sundown ◦
  11. Copyright©2018 nao_sec All Rights Reserved. クライアントハニーポット • 脆弱な環境の例 • Windows

    7 • セキュリティパッチは当てない • Internet Explorer 9 • 保護は全て無効化 • Adobe Flash Player 20 • Java Runtime Emvironment 7 Update 10 • Microsoft Silverlight 5.0 EKが活き活きと動ける環境を作ってあげることが重要 11
  12. Copyright©2018 nao_sec All Rights Reserved. クライアントハニーポット • 観測のための技術 • クローキングに左右されない環境

    • RIG • 同一のIPアドレスで2度以上アクセスしても攻撃を行わない • Seamless • Geo-Locationごとに攻撃トラフィックが異なる • 観測したいものに合わせて柔軟に環境を変える • IP(およびGeo-Location)を変える • VPNやプロキシを利用する 12
  13. Copyright©2018 nao_sec All Rights Reserved. StarC • 高対話型クライアントハニーポット 13

  14. Copyright©2018 nao_sec All Rights Reserved. StarC 14

  15. Copyright©2018 nao_sec All Rights Reserved. 15 DEMO

  16. Copyright©2018 nao_sec All Rights Reserved. traffic.moe 16

  17. Copyright©2018 nao_sec All Rights Reserved. Summary • ハニーポットにも色々ある • 高対話型クライアントハニーポット

    • 悪性トラフィックを観測するための技術 • OS、ブラウザ、プラグイン • 観測・解析妨害 • 難読化 • フィンガープリンティング • クローキング • DbD/EKが活き活きと動ける環境を用意する
  18. Copyright©2018 nao_sec All Rights Reserved. 18 Any Questions?