第3回 ハニーポッター技術交流会 https://hanipo-tech.connpass.com/event/78002/
Copyright©2018 nao_sec All Rights Reserved.第 回 ハニーポッター技術交流会
View Slide
Copyright©2018 nao_sec All Rights Reserved.Speaker• 小池 倫太郎• 大学生 学部4年• nao_secでは悪性トラフィックの調査・解析を担当• nao_sec• 2017年2月に結成• 活動• Drive-by Download攻撃やExploit Kitの調査・解析• 解析ツールの開発・公開• それらに関する情報の発信• http://nao-sec.org• https://twitter.com/nao_sec• https://github.com/nao-sec• 仕事ではなく,アマチュア(趣味)2
Copyright©2018 nao_sec All Rights Reserved.Honeypot3ハニーポット攻撃経路 インタラクションサーバ クライアント ハニートークン 高対話型 ハイブリッド 低対話型SSHWeb AppTelnet Webブラウザ認証情報機密文書参考「実践サイバーセキュリティモニタリング」(コロナ社)P18 図2.9Marionette / StarC
Copyright©2018 nao_sec All Rights Reserved.Drive-by Download攻撃• 概要• Webサイトを使ってWebブラウザを攻撃• 悪性Webサイトへ誘導された脆弱なWebブラウザに対して,そのブラウザの脆弱性を突くようなコードを送り込んで制御を奪い,マルウェアをダウンロード・実行させる• Remote Code Execution• 入口• メールやSNS• 改ざんされた一般のWebサイト• 悪性Web広告(Malvertising)• 最近の主流4
Copyright©2018 nao_sec All Rights Reserved.Drive-by Download攻撃②Access①Inject④Download & Execute③Drive (redirect...)中継サーバ5
Copyright©2018 nao_sec All Rights Reserved.Exploit Kit• 攻撃者の役割分担• サイト改ざんやWeb広告でユーザを攻撃サーバへ誘導• Traffic Distribution System• ブラウザの脆弱性を突き,マルウェアをダウンロード・実行• Exploit Kit• Exploit Kit as a Service• 攻撃者はユーザをExploit Kitへ誘導するだけ• API的なものを使う• 攻撃の難易度が低くなった← 役割分担6
Copyright©2018 nao_sec All Rights Reserved.7DEMO
Copyright©2018 nao_sec All Rights Reserved.観測・解析における課題• 難読化• 文字列置換• window.locationやscreen.heightを利用することもある• 動的実行• eval, Function• 他言語を跨ぐ実行• JavaScript, VBScript, SWF, Jar• フィンガープリンティング• User-Agent, プラグイン• クローキング• IPアドレス, Geo-Location, Referer8効率良くDbD/EKのトラフィックを観測したい
Copyright©2018 nao_sec All Rights Reserved.クライアントハニーポット• 観測のための技術• DbD/EKのトラフィックを観測するには脆弱な環境で実際に攻撃を受けることが最も確かな方法• 静的な解析でもできないこともないが難易度が桁違い• 世界中で様々な先行研究があるが、実用には耐えられない• “堅牢”で”脆弱”な環境を作る必要がある• 攻撃を受ける === マルウェアが動く• マルウェアが動いても問題がない環境• ネットワーク等を隔離し、スナップショット等で復元• マルウェアが動かない環境• Anti-Anti-Analysis• そういうの欲しいです…9
Copyright©2018 nao_sec All Rights Reserved.クライアントハニーポット• 脆弱な環境• 何を用意したらいいのか? ← 最も重要(みんな悩んでる)• OS、ブラウザ、プラグイン、ソフトウェア…• 様々なEKのコードを解析し、利用している脆弱性を調査102011-3544 2012-4681 2013-0422 2013-2551 2014-6332 2015-2419 2016-0189 2016-7200 2017-0037 2017-0059RIG ○ ○ ○Terror ○ ○ ○Magnitude ○KaiXin ○ ○ ○ ○ ○Disdain ○ ○ ○ ○ ○GrandSoft ○Sundown ○
Copyright©2018 nao_sec All Rights Reserved.クライアントハニーポット• 脆弱な環境の例• Windows 7• セキュリティパッチは当てない• Internet Explorer 9• 保護は全て無効化• Adobe Flash Player 20• Java Runtime Emvironment 7 Update 10• Microsoft Silverlight 5.0EKが活き活きと動ける環境を作ってあげることが重要11
Copyright©2018 nao_sec All Rights Reserved.クライアントハニーポット• 観測のための技術• クローキングに左右されない環境• RIG• 同一のIPアドレスで2度以上アクセスしても攻撃を行わない• Seamless• Geo-Locationごとに攻撃トラフィックが異なる• 観測したいものに合わせて柔軟に環境を変える• IP(およびGeo-Location)を変える• VPNやプロキシを利用する12
Copyright©2018 nao_sec All Rights Reserved.StarC• 高対話型クライアントハニーポット13
Copyright©2018 nao_sec All Rights Reserved.StarC14
Copyright©2018 nao_sec All Rights Reserved.15DEMO
Copyright©2018 nao_sec All Rights Reserved.traffic.moe16
Copyright©2018 nao_sec All Rights Reserved.Summary• ハニーポットにも色々ある• 高対話型クライアントハニーポット• 悪性トラフィックを観測するための技術• OS、ブラウザ、プラグイン• 観測・解析妨害• 難読化• フィンガープリンティング• クローキング• DbD/EKが活き活きと動ける環境を用意する
Copyright©2018 nao_sec All Rights Reserved.18Any Questions?
koike
schacon
chrislema
edds
searls
dougneiner
bermonpainter
hatefulcrawdad
vanstee
malarkey
62gerente
jonrohan