元ネットワーク屋だからこそ見えるサイバー脅威のセカイ / The Cyber Threat Landscape through Ex-Network Engineer's Eye

Transcript

1. © NTT Communications Corporation All Rights Reserved. 元ネットワーク屋だからこそ⾒える サイバー脅威のセカイ 2022年11⽉21⽇

   NTTコミュニケーションズ株式会社 NTT Com Open TechLunch #3

2. © NTT Communications Corporation All Rights Reserved. 2 NTT Com

   Open TechLunch #3 “セキュリティ”の仕事は どんなイメージですか︖

3. © NTT Communications Corporation All Rights Reserved. 3 NTT Com

   Open TechLunch #3

4. © NTT Communications Corporation All Rights Reserved. 4 NTT Com

   Open TechLunch #3 Photo by Shinji Abe - CYBER No.004 / CC BY 4.0 独⾃の専⾨技能が必要 とは限らないという話

5. © NTT Communications Corporation All Rights Reserved. 5 NTT Com

   Open TechLunch #3 ⾃⼰紹介

6. © NTT Communications Corporation All Rights Reserved. 6 NTT Com

   Open TechLunch #3 $whoami Atsushi KANDA / 神⽥ 敦 c 経歴 2007年 NTTコミュニケーションズ⼊社 • 閉域ネットワークサービスのオペレータ • ISP/企業インターネット接続周りのシステム設計・運⽤ 2015年 セキュリティエンジニア/リサーチャーにジョブチェンジ • インターネット上のスキャン活動の観測 • マルウェア解析に基づくドメインブラックリストの⽣成 2017年 セキュリティを幅広く体系的に学び直すべく⼤学院に⼊学 • ⼈⽣2度⽬の修⼠ 2020年 NA4Secプロジェクトを⽴ち上げ • ISP/MSSPの視点から攻撃インフラの解明・撲滅を⽬指す 興味分野 ネットワークセキュリティ、脅威インテリジェンス

7. © NTT Communications Corporation All Rights Reserved. 7 NTT Com

   Open TechLunch #3 $whoami Atsushi KANDA / 神⽥ 敦 c 経歴 2007年 NTTコミュニケーションズ⼊社 • 閉域ネットワークサービスのオペレータ • ISP/企業インターネット接続周りのシステム設計・運⽤ 2015年 セキュリティエンジニア/リサーチャーにジョブチェンジ • インターネット上のスキャン活動の観測 • マルウェア解析に基づくドメインブラックリストの⽣成 2017年 セキュリティを幅広く体系的に学び直すべく⼤学院に⼊学 • ⼈⽣2度⽬の修⼠ 2020年 NA4Secプロジェクトを⽴ち上げ • ISP/MSSPの視点から攻撃インフラの解明・撲滅を⽬指す 興味分野 ネットワークセキュリティ、脅威インテリジェンス

8. © NTT Communications Corporation All Rights Reserved. 8 NTT Com

   Open TechLunch #3 ネットワークエンジニア時代 マルチホーミング運⽤フルアウトソーシング（IPオペレーション）サービス https://www.ntt.com/business/services/management/operations-management/ipop.html

9. © NTT Communications Corporation All Rights Reserved. 9 NTT Com

   Open TechLunch #3 ネットワークエンジニア時代 トラフィック制御 遠隔監視 トラブル対応 ユーザ コミュニケーション

10. © NTT Communications Corporation All Rights Reserved. 10 NTT Com

    Open TechLunch #3 $whoami Atsushi KANDA / 神⽥ 敦 c 経歴 2007年 NTTコミュニケーションズ⼊社 • 閉域ネットワークサービスのオペレータ • ISP/企業インターネット接続周りのシステム設計・運⽤ 2015年 セキュリティエンジニア/リサーチャーにジョブチェンジ • インターネット上のスキャン活動の観測 • マルウェア解析に基づくドメインブラックリストの⽣成 2017年 セキュリティを幅広く体系的に学び直すべく⼤学院に⼊学 • ⼈⽣2度⽬の修⼠ 2020年 NA4Secプロジェクトを⽴ち上げ • ISP/MSSPの視点から攻撃インフラの解明・撲滅を⽬指す 興味分野 ネットワークセキュリティ、脅威インテリジェンス

11. © NTT Communications Corporation All Rights Reserved. 11 NTT Com

    Open TechLunch #3 $whoami Atsushi KANDA / 神⽥ 敦 c 経歴 2007年 NTTコミュニケーションズ⼊社 • 閉域ネットワークサービスのオペレータ • ISP/企業インターネット接続周りのシステム設計・運⽤ 2015年 セキュリティエンジニア/リサーチャーにジョブチェンジ • インターネット上のスキャン活動の観測 • マルウェア解析に基づくドメインブラックリストの⽣成 2017年 セキュリティを幅広く体系的に学び直すべく⼤学院に⼊学 • ⼈⽣2度⽬の修⼠ 2020年 NA4Secプロジェクトを⽴ち上げ • ISP/MSSPの視点から攻撃インフラの解明・撲滅を⽬指す 興味分野 ネットワークセキュリティ、脅威インテリジェンス

12. © NTT Communications Corporation All Rights Reserved. 12 NTT Com

    Open TechLunch #3 $whoami Atsushi KANDA / 神⽥ 敦 c 経歴 2007年 NTTコミュニケーションズ⼊社 • 閉域ネットワークサービスのオペレータ • ISP/企業インターネット接続周りのシステム設計・運⽤ 2015年 セキュリティエンジニア/リサーチャーにジョブチェンジ • インターネット上のスキャン活動の観測 • マルウェア解析に基づくドメインブラックリストの⽣成 2017年 セキュリティを幅広く体系的に学び直すべく⼤学院に⼊学 • ⼈⽣2度⽬の修⼠ 2020年 NA4Secプロジェクトを⽴ち上げ • ISP/MSSPの視点から攻撃インフラの解明・撲滅を⽬指す 興味分野 ネットワークセキュリティ、脅威インテリジェンス

13. © NTT Communications Corporation All Rights Reserved. 13 NTT Com

    Open TechLunch #3 元ネットワーク屋から⾒たサイバー脅威のセカイ 〜 インターネットスキャンのセカイ 〜

14. © NTT Communications Corporation All Rights Reserved. 14 NTT Com

    Open TechLunch #3 •.172.226.141 16% •.169.125.251 11% •.82.138.44 10% •.117.25.90 10% •.251.255.69 10% •.9.63.139 10% •.178.148.19 10% other 23% ICMP N＝1,021 低対話型ハニーポット1ホストで収集 （2019/11/3 – 2019/11/9） とある⼀週間のping元

15. © NTT Communications Corporation All Rights Reserved. 15 NTT Com

    Open TechLunch #3 Who is •.172.226.141? 何はなくとも初⼿はASと逆引きの確認（ネットワークオペレータの発想） • AS: San Diego Supercomputer Center • 逆引きドメイン名: spectator.caida.org http://www.caida.org/projects/ioda/probe-info.xml (2019年当時)

16. © NTT Communications Corporation All Rights Reserved. 16 NTT Com

    Open TechLunch #3 研究機関 16% •.169.125.251 11% •.82.138.44 10% •.117.25.90 10% •.251.255.69 10% •.9.63.139 10% •.178.148.19 10% other 23% ICMP N＝1,021 低対話型ハニーポット1ホストで収集 （2019/11/3 – 2019/11/9） とある⼀週間のping元

17. © NTT Communications Corporation All Rights Reserved. 17 NTT Com

    Open TechLunch #3 研究機関 16% 研究機関 11% 研究機関 10% 研究機関 10% 研究機関 10% 研究機関 10% 研究機関 10% other 23% ICMP N＝1,021 低対話型ハニーポット1ホストで収集 （2019/11/3 – 2019/11/9） とある⼀週間のping元 ※ ここにも研究機関が ⼊っているかも

18. © NTT Communications Corporation All Rights Reserved. 18 NTT Com

    Open TechLunch #3 •.231.16.190 41% •.231.33.238 35% •.231.9.134 12% その他 12% SSH N＝39,478 低対話型ハニーポット1ホストで収集 （2019/11/3 – 2019/11/9） とある⼀週間のSSHアクセス元

19. © NTT Communications Corporation All Rights Reserved. 19 NTT Com

    Open TechLunch #3 dynamic-ip-adsl.viettel.vn 41% dynamic-ip-adsl.viettel.vn 35% dynamic-ip-adsl.viettel.vn 12% その他 12% SSH N＝39,478 低対話型ハニーポット1ホストで収集 （2019/11/3 – 2019/11/9） とある⼀週間のSSHアクセス元 ※ Shodanにて確認 AS7552 AS7552 AS7552

20. © NTT Communications Corporation All Rights Reserved. 20 NTT Com

    Open TechLunch #3 元ネットワーク屋から⾒たサイバー脅威のセカイ 〜 マルウェアインフラのセカイ 〜

21. © NTT Communications Corporation All Rights Reserved. 21 NTT Com

    Open TechLunch #3 とあるマルウェアNanoCoreの通信先1 2.kingx[.]info • ネームサーバ（NSレコード/SOAレコード）: ns1.honeybot[.]us • honeybot[.]usの登録者︓ セキュリティベンダ（Security Scorecard） ※ 現在は伏せられているが、かつてはWhoisにも明記していた 実は無害化（シンクホール化）されている https://www.virustotal.com/gui/domain/2.kingx.info (2022/11/21時点)

22. © NTT Communications Corporation All Rights Reserved. 22 NTT Com

    Open TechLunch #3 とあるマルウェアNanoCoreの通信先2 dontreachme1.ddns[.]net ※ 実はこれもシンクホール化されている • 名前解決後のIPアドレス（Aレコード）: •.218.135.117 • IPアドレスの逆引き（PTRレコード）: •-218-135-117[.]sinkhole.shadowserver.org ⾮営利セキュリティ組織によるシンクホール https://www.virustotal.com/gui/domain/dontreachme1.ddns.net (2022/11/21時点)

23. © NTT Communications Corporation All Rights Reserved. 23 NTT Com

    Open TechLunch #3 とあるマルウェアUrsnifの通信先 biesbetiop[.]com ※ 実はこれも(ry • SPFレコード（TXTレコード）: v=spf1 include:_incspfcheck.mailspike.net ?all ※ MailSpikeはセキュリティサービス • _incspfcheck.mailspike.net のSPFレコード : v=spf1 exists:_h.%{h}._l.%{l}._o.%{o}._i.%{i}.spfcheck.mailspike.net ?all マクロをふんだんに使ってマルウェア感染者の情報を収集している https://www.virustotal.com/gui/domain/biesbetiop.com (2022/11/21時点)

24. © NTT Communications Corporation All Rights Reserved. 24 NTT Com

    Open TechLunch #3 元ネットワーク屋から⾒たサイバー脅威のセカイ 〜 番外編 〜

25. © NTT Communications Corporation All Rights Reserved. 25 NTT Com

    Open TechLunch #3 その他、こんな場⾯で役に⽴つ（役に⽴った） “パケットの気持ち”になれる • 通信ログやアラートメッセージの断⽚的な情報からアプリケーションの流れが想像できる → インシデントレスポンスに有利 ネットワークの状態をイメージできる • 構成情報が少ない環境でもネットワーク構成を把握できる （把握するのに有効な⽅法を知っている） • 設定やルーティングテーブルの状態から想定されたルーティングが分かる • FWポリシーと組み合わせて、本来通したいところ/通ってほしくないところが分かる → ペンテストやインシデントレスポンスに有利

26. © NTT Communications Corporation All Rights Reserved. 26 NTT Com

    Open TechLunch #3 ネットワークエンジニアとしての知識・経験は （脅威の）解像度を上げるのに役に⽴つ

27. © NTT Communications Corporation All Rights Reserved. 27 NTT Com

    Open TechLunch #3 セキュリティ屋になって感じる視点の違い

28. © NTT Communications Corporation All Rights Reserved. 28 NTT Com

    Open TechLunch #3 Know Normal, Find Evil セキュリティ＝積極的に異常系に思いを巡らせる仕事 • 過失、バグ、悪意を持った⼈間 • あるべき正常な姿を知らなければ、異常な状態は分からない ネットワークの“正常”を⾼い解像度で捉えるには ネットワークエンジニアのスキルセットは有⽤ （クラウドエンジニア、ソフトウェアエンジニア、etcも然り）

29. © NTT Communications Corporation All Rights Reserved. 29 NTT Com

    Open TechLunch #3 攻撃者⽬線 あらゆるサイバーリスクに対して万全に備えることは不可能 • より起こる可能性の⾼い/影響の⼤きいリスクに優先的に対処することが肝要 → 攻撃者の気持ちになる 例えば、今⽇取り上げたテクニックを攻撃者視点で使うと、、、 • 逆引き（IP→ドメイン）を使って重要サーバを発⾒ • TXTレコードは宝の⼭（になるかも︖）

30. © NTT Communications Corporation All Rights Reserved. 30 NTT Com

    Open TechLunch #3 Photo by Shinji Abe - CYBER No.004 / CC BY 4.0 【結論】 ◦◦エンジニアスキル × 視点転換（攻撃者視点） ↓ （その道の）セキュリティプロフェッショナル

31. © NTT Communications Corporation All Rights Reserved. 31 NTT Com

    Open TechLunch #3 More Tech Topics

32. © NTT Communications Corporation All Rights Reserved. 32 NTT Com

    Open TechLunch #3 NTT Com Engineersʼ Blog https://engineers.ntt.com/ セキュリティ系の記事も多数投稿

33. © NTT Communications Corporation All Rights Reserved. 33 NTT Com

    Open TechLunch #3 少しでもNTT Comに興味を持った⽅へ

34. © NTT Communications Corporation All Rights Reserved. 34 NTT Com

    Open TechLunch #3 スカウト採⽤（社会⼈採⽤） ⼀緒に働いてくれる仲間を絶賛募集中です︕ ジョブ型採⽤︓https://hrmos.co/pages/nttcom0033 ʢ೥݄ݱࡏʣ • αΠόʔηΩϡϦςΟΤϯδχΞ 0GGFOTJWF
    TFDVSJUZϓϩμΫτ։ൃ ʗٕज़։ൃʗ3FE
    5FBNJOH • 5ISFBU
    *OUFMMJHFODF
    "OBMZTU
    
    ڴҖΠϯςϦδΣϯεΞφϦετ • 5ISFBU
    *OUFMMJHFODF
    &OHJOFFS
    
    ڴҖΠϯςϦδΣϯεΤϯδχΞ • εϚʔτϑΝΫτϦʔਪਐࣨ *505౷߹ηΩϡϦςΟɿηΩϡϦςΟΤϯδχΞ ͳͲͳͲ ωοτϫʔΫΤϯδχΞɺιϑτ΢ΣΞΤϯδχΞɺαʔόΤϯδχΞɺσʔλαΠΤϯςΟετͳͲ ͦͷଞʹ΋ଟ਺

35. © NTT Communications Corporation All Rights Reserved. 35 NTT Com

    Open TechLunch #3 Thank You!