Using StarC to observe malicious traffic

Copyright©2018 nao_sec All Rights Reserved. Speaker • 小池倫太郎 •
大学生学部4年 • nao_secでは悪性トラフィックの調査・解析を担当 • nao_sec • 2017年2月に結成 • 活動 • Drive-by Download攻撃やExploit Kitの調査・解析 • 解析ツールの開発・公開 • それらに関する情報の発信 • http://nao-sec.org • https://twitter.com/nao_sec • https://github.com/nao-sec • 仕事ではなく，アマチュア（趣味） 2

Copyright©2018 nao_sec All Rights Reserved. Honeypot 3 ハニーポット攻撃経路インタラクション
サーバクライアントハニートークン高対話型ハイブリッド低対話型 SSH Web App Telnet Webブラウザ認証情報機密文書参考「実践サイバーセキュリティモニタリング」（コロナ社）P18 図2.9 Marionette / StarC

Copyright©2018 nao_sec All Rights Reserved. Drive-by Download攻撃 • 概要 •
Webサイトを使ってWebブラウザを攻撃 • 悪性Webサイトへ誘導された脆弱なWebブラウザに対して，そのブラウザの脆弱性を突くようなコードを送り込んで制御を奪い，マルウェアをダウンロード・実行させる • Remote Code Execution • 入口 • メールやSNS • 改ざんされた一般のWebサイト • 悪性Web広告（Malvertising） • 最近の主流 4

Copyright©2018 nao_sec All Rights Reserved. Drive-by Download攻撃 ②Access ①Inject ④Download
& Execute ③Drive (redirect...) 中継サーバ 5

Copyright©2018 nao_sec All Rights Reserved. Exploit Kit • 攻撃者の役割分担 •
サイト改ざんやWeb広告でユーザを攻撃サーバへ誘導 • Traffic Distribution System • ブラウザの脆弱性を突き，マルウェアをダウンロード・実行 • Exploit Kit • Exploit Kit as a Service • 攻撃者はユーザをExploit Kitへ誘導するだけ • API的なものを使う • 攻撃の難易度が低くなった ← 役割分担 6

Copyright©2018 nao_sec All Rights Reserved. 観測・解析における課題 • 難読化 • 文字列置換
• window.locationやscreen.heightを利用することもある • 動的実行 • eval, Function • 他言語を跨ぐ実行 • JavaScript, VBScript, SWF, Jar • フィンガープリンティング • User-Agent, プラグイン • クローキング • IPアドレス, Geo-Location, Referer 8 効率良くDbD/EKのトラフィックを観測したい

Copyright©2018 nao_sec All Rights Reserved. クライアントハニーポット • 観測のための技術 • DbD/EKのトラフィックを観測するには脆弱な環境で実際に
攻撃を受けることが最も確かな方法 • 静的な解析でもできないこともないが難易度が桁違い • 世界中で様々な先行研究があるが、実用には耐えられない • “堅牢”で”脆弱”な環境を作る必要がある • 攻撃を受ける === マルウェアが動く • マルウェアが動いても問題がない環境 • ネットワーク等を隔離し、スナップショット等で復元 • マルウェアが動かない環境 • Anti-Anti-Analysis • そういうの欲しいです… 9

Copyright©2018 nao_sec All Rights Reserved. クライアントハニーポット • 脆弱な環境 • 何を用意したらいいのか？
← 最も重要（みんな悩んでる） • OS、ブラウザ、プラグイン、ソフトウェア… • 様々なEKのコードを解析し、利用している脆弱性を調査 10 2011-3544 2012-4681 2013-0422 2013-2551 2014-6332 2015-2419 2016-0189 2016-7200 2017-0037 2017-0059 RIG ◦ ◦ ◦ Terror ◦ ◦ ◦ Magnitude ◦ KaiXin ◦ ◦ ◦ ◦ ◦ Disdain ◦ ◦ ◦ ◦ ◦ GrandSoft ◦ Sundown ◦

Copyright©2018 nao_sec All Rights Reserved. クライアントハニーポット • 脆弱な環境の例 • Windows
7 • セキュリティパッチは当てない • Internet Explorer 9 • 保護は全て無効化 • Adobe Flash Player 20 • Java Runtime Emvironment 7 Update 10 • Microsoft Silverlight 5.0 EKが活き活きと動ける環境を作ってあげることが重要 11

Copyright©2018 nao_sec All Rights Reserved. クライアントハニーポット • 観測のための技術 • クローキングに左右されない環境
• RIG • 同一のIPアドレスで2度以上アクセスしても攻撃を行わない • Seamless • Geo-Locationごとに攻撃トラフィックが異なる • 観測したいものに合わせて柔軟に環境を変える • IP（およびGeo-Location）を変える • VPNやプロキシを利用する 12

Using StarC to observe malicious traffic

Using StarC to observe malicious traffic

Rintaro KOIKE

More Decks by Rintaro KOIKE

Featured

Transcript

Copyright©2018 nao_sec All Rights Reserved. 第回ハニーポッター技術交流会

Copyright©2018 nao_sec All Rights Reserved. Speaker • 小池倫太郎 •

Copyright©2018 nao_sec All Rights Reserved. Honeypot 3 ハニーポット攻撃経路インタラクション

Copyright©2018 nao_sec All Rights Reserved. Drive-by Download攻撃 • 概要 •

Copyright©2018 nao_sec All Rights Reserved. Drive-by Download攻撃 ②Access ①Inject ④Download

Copyright©2018 nao_sec All Rights Reserved. Exploit Kit • 攻撃者の役割分担 •

Copyright©2018 nao_sec All Rights Reserved. 7 DEMO

Copyright©2018 nao_sec All Rights Reserved. 観測・解析における課題 • 難読化 • 文字列置換

Copyright©2018 nao_sec All Rights Reserved. クライアントハニーポット • 観測のための技術 • DbD/EKのトラフィックを観測するには脆弱な環境で実際に

Copyright©2018 nao_sec All Rights Reserved. クライアントハニーポット • 脆弱な環境 • 何を用意したらいいのか？

Copyright©2018 nao_sec All Rights Reserved. クライアントハニーポット • 脆弱な環境の例 • Windows

Copyright©2018 nao_sec All Rights Reserved. クライアントハニーポット • 観測のための技術 • クローキングに左右されない環境

Copyright©2018 nao_sec All Rights Reserved. StarC • 高対話型クライアントハニーポット 13

Copyright©2018 nao_sec All Rights Reserved. StarC 14

Copyright©2018 nao_sec All Rights Reserved. 15 DEMO

Copyright©2018 nao_sec All Rights Reserved. traffic.moe 16

Copyright©2018 nao_sec All Rights Reserved. Summary • ハニーポットにも色々ある • 高対話型クライアントハニーポット

Copyright©2018 nao_sec All Rights Reserved. 18 Any Questions?