$30 off During Our Annual Pro Sale. View Details »

Using StarC to observe malicious traffic

Rintaro KOIKE
February 24, 2018
1.1k

Using StarC to observe malicious traffic

第3回 ハニーポッター技術交流会
https://hanipo-tech.connpass.com/event/78002/

Rintaro KOIKE

February 24, 2018
Tweet

Transcript

  1. Copyright©2018 nao_sec All Rights Reserved.
    第 回 ハニーポッター技術交流会

    View Slide

  2. Copyright©2018 nao_sec All Rights Reserved.
    Speaker
    • 小池 倫太郎
    • 大学生 学部4年
    • nao_secでは悪性トラフィックの調査・解析を担当
    • nao_sec
    • 2017年2月に結成
    • 活動
    • Drive-by Download攻撃やExploit Kitの調査・解析
    • 解析ツールの開発・公開
    • それらに関する情報の発信
    • http://nao-sec.org
    • https://twitter.com/nao_sec
    • https://github.com/nao-sec
    • 仕事ではなく,アマチュア(趣味)
    2

    View Slide

  3. Copyright©2018 nao_sec All Rights Reserved.
    Honeypot
    3
    ハニーポット
    攻撃経路 インタラクション
    サーバ クライアント ハニートークン 高対話型 ハイブリッド 低対話型
    SSH
    Web App
    Telnet Webブラウザ
    認証情報
    機密文書
    参考「実践サイバーセキュリティモニタリング」(コロナ社)P18 図2.9
    Marionette / StarC

    View Slide

  4. Copyright©2018 nao_sec All Rights Reserved.
    Drive-by Download攻撃
    • 概要
    • Webサイトを使ってWebブラウザを攻撃
    • 悪性Webサイトへ誘導された脆弱なWebブラウザに対して,
    そのブラウザの脆弱性を突くようなコードを送り込んで制御
    を奪い,マルウェアをダウンロード・実行させる
    • Remote Code Execution
    • 入口
    • メールやSNS
    • 改ざんされた一般のWebサイト
    • 悪性Web広告(Malvertising)
    • 最近の主流
    4

    View Slide

  5. Copyright©2018 nao_sec All Rights Reserved.
    Drive-by Download攻撃
    ②Access
    ①Inject
    ④Download & Execute
    ③Drive (redirect...)
    中継サーバ
    5

    View Slide

  6. Copyright©2018 nao_sec All Rights Reserved.
    Exploit Kit
    • 攻撃者の役割分担
    • サイト改ざんやWeb広告でユーザを攻撃サーバへ誘導
    • Traffic Distribution System
    • ブラウザの脆弱性を突き,マルウェアをダウンロード・実行
    • Exploit Kit
    • Exploit Kit as a Service
    • 攻撃者はユーザをExploit Kitへ誘導するだけ
    • API的なものを使う
    • 攻撃の難易度が低くなった
    ← 役割分担
    6

    View Slide

  7. Copyright©2018 nao_sec All Rights Reserved.
    7
    DEMO

    View Slide

  8. Copyright©2018 nao_sec All Rights Reserved.
    観測・解析における課題
    • 難読化
    • 文字列置換
    • window.locationやscreen.heightを利用することもある
    • 動的実行
    • eval, Function
    • 他言語を跨ぐ実行
    • JavaScript, VBScript, SWF, Jar
    • フィンガープリンティング
    • User-Agent, プラグイン
    • クローキング
    • IPアドレス, Geo-Location, Referer
    8
    効率良くDbD/EKのトラフィックを観測したい

    View Slide

  9. Copyright©2018 nao_sec All Rights Reserved.
    クライアントハニーポット
    • 観測のための技術
    • DbD/EKのトラフィックを観測するには脆弱な環境で実際に
    攻撃を受けることが最も確かな方法
    • 静的な解析でもできないこともないが難易度が桁違い
    • 世界中で様々な先行研究があるが、実用には耐えられない
    • “堅牢”で”脆弱”な環境を作る必要がある
    • 攻撃を受ける === マルウェアが動く
    • マルウェアが動いても問題がない環境
    • ネットワーク等を隔離し、スナップショット等で復元
    • マルウェアが動かない環境
    • Anti-Anti-Analysis
    • そういうの欲しいです…
    9

    View Slide

  10. Copyright©2018 nao_sec All Rights Reserved.
    クライアントハニーポット
    • 脆弱な環境
    • 何を用意したらいいのか? ← 最も重要(みんな悩んでる)
    • OS、ブラウザ、プラグイン、ソフトウェア…
    • 様々なEKのコードを解析し、利用している脆弱性を調査
    10
    2011-3544 2012-4681 2013-0422 2013-2551 2014-6332 2015-2419 2016-0189 2016-7200 2017-0037 2017-0059
    RIG ○ ○ ○
    Terror ○ ○ ○
    Magnitude ○
    KaiXin ○ ○ ○ ○ ○
    Disdain ○ ○ ○ ○ ○
    GrandSoft ○
    Sundown ○

    View Slide

  11. Copyright©2018 nao_sec All Rights Reserved.
    クライアントハニーポット
    • 脆弱な環境の例
    • Windows 7
    • セキュリティパッチは当てない
    • Internet Explorer 9
    • 保護は全て無効化
    • Adobe Flash Player 20
    • Java Runtime Emvironment 7 Update 10
    • Microsoft Silverlight 5.0
    EKが活き活きと動ける環境を作ってあげることが重要
    11

    View Slide

  12. Copyright©2018 nao_sec All Rights Reserved.
    クライアントハニーポット
    • 観測のための技術
    • クローキングに左右されない環境
    • RIG
    • 同一のIPアドレスで2度以上アクセスしても攻撃を行わない
    • Seamless
    • Geo-Locationごとに攻撃トラフィックが異なる
    • 観測したいものに合わせて柔軟に環境を変える
    • IP(およびGeo-Location)を変える
    • VPNやプロキシを利用する
    12

    View Slide

  13. Copyright©2018 nao_sec All Rights Reserved.
    StarC
    • 高対話型クライアントハニーポット
    13

    View Slide

  14. Copyright©2018 nao_sec All Rights Reserved.
    StarC
    14

    View Slide

  15. Copyright©2018 nao_sec All Rights Reserved.
    15
    DEMO

    View Slide

  16. Copyright©2018 nao_sec All Rights Reserved.
    traffic.moe
    16

    View Slide

  17. Copyright©2018 nao_sec All Rights Reserved.
    Summary
    • ハニーポットにも色々ある
    • 高対話型クライアントハニーポット
    • 悪性トラフィックを観測するための技術
    • OS、ブラウザ、プラグイン
    • 観測・解析妨害
    • 難読化
    • フィンガープリンティング
    • クローキング
    • DbD/EKが活き活きと動ける環境を用意する

    View Slide

  18. Copyright©2018 nao_sec All Rights Reserved.
    18
    Any Questions?

    View Slide