Copyright©2018 nao_sec All Rights Reserved. 第 回 ハニーポッター技術交流会

Copyright©2018 nao_sec All Rights Reserved. Speaker • 小池 倫太郎 • 大学生 学部4年 • nao_secでは悪性トラフィックの調査・解析を担当 • nao_sec • 2017年2月に結成 • 活動 • Drive-by Download攻撃やExploit Kitの調査・解析 • 解析ツールの開発・公開 • それらに関する情報の発信 • http://nao-sec.org • https://twitter.com/nao_sec • https://github.com/nao-sec • 仕事ではなく，アマチュア（趣味） 2

Copyright©2018 nao_sec All Rights Reserved. Honeypot 3 ハニーポット 攻撃経路 インタラクション サーバ クライアント ハニートークン 高対話型 ハイブリッド 低対話型 SSH Web App Telnet Webブラウザ 認証情報 機密文書 参考「実践サイバーセキュリティモニタリング」（コロナ社）P18 図2.9 Marionette / StarC

Copyright©2018 nao_sec All Rights Reserved. Drive-by Download攻撃 • 概要 • Webサイトを使ってWebブラウザを攻撃 • 悪性Webサイトへ誘導された脆弱なWebブラウザに対して， そのブラウザの脆弱性を突くようなコードを送り込んで制御 を奪い，マルウェアをダウンロード・実行させる • Remote Code Execution • 入口 • メールやSNS • 改ざんされた一般のWebサイト • 悪性Web広告（Malvertising） • 最近の主流 4

Copyright©2018 nao_sec All Rights Reserved. Drive-by Download攻撃 ②Access ①Inject ④Download & Execute ③Drive (redirect...) 中継サーバ 5

Copyright©2018 nao_sec All Rights Reserved. Exploit Kit • 攻撃者の役割分担 • サイト改ざんやWeb広告でユーザを攻撃サーバへ誘導 • Traffic Distribution System • ブラウザの脆弱性を突き，マルウェアをダウンロード・実行 • Exploit Kit • Exploit Kit as a Service • 攻撃者はユーザをExploit Kitへ誘導するだけ • API的なものを使う • 攻撃の難易度が低くなった ← 役割分担 6

Copyright©2018 nao_sec All Rights Reserved. 7 DEMO

Copyright©2018 nao_sec All Rights Reserved. 観測・解析における課題 • 難読化 • 文字列置換 • window.locationやscreen.heightを利用することもある • 動的実行 • eval, Function • 他言語を跨ぐ実行 • JavaScript, VBScript, SWF, Jar • フィンガープリンティング • User-Agent, プラグイン • クローキング • IPアドレス, Geo-Location, Referer 8 効率良くDbD/EKのトラフィックを観測したい

Copyright©2018 nao_sec All Rights Reserved. クライアントハニーポット • 観測のための技術 • DbD/EKのトラフィックを観測するには脆弱な環境で実際に 攻撃を受けることが最も確かな方法 • 静的な解析でもできないこともないが難易度が桁違い • 世界中で様々な先行研究があるが、実用には耐えられない • “堅牢”で”脆弱”な環境を作る必要がある • 攻撃を受ける === マルウェアが動く • マルウェアが動いても問題がない環境 • ネットワーク等を隔離し、スナップショット等で復元 • マルウェアが動かない環境 • Anti-Anti-Analysis • そういうの欲しいです… 9

Copyright©2018 nao_sec All Rights Reserved. クライアントハニーポット • 脆弱な環境 • 何を用意したらいいのか？ ← 最も重要（みんな悩んでる） • OS、ブラウザ、プラグイン、ソフトウェア… • 様々なEKのコードを解析し、利用している脆弱性を調査 10 2011-3544 2012-4681 2013-0422 2013-2551 2014-6332 2015-2419 2016-0189 2016-7200 2017-0037 2017-0059 RIG ○ ○ ○ Terror ○ ○ ○ Magnitude ○ KaiXin ○ ○ ○ ○ ○ Disdain ○ ○ ○ ○ ○ GrandSoft ○ Sundown ○

Copyright©2018 nao_sec All Rights Reserved. クライアントハニーポット • 脆弱な環境の例 • Windows 7 • セキュリティパッチは当てない • Internet Explorer 9 • 保護は全て無効化 • Adobe Flash Player 20 • Java Runtime Emvironment 7 Update 10 • Microsoft Silverlight 5.0 EKが活き活きと動ける環境を作ってあげることが重要 11

Copyright©2018 nao_sec All Rights Reserved. クライアントハニーポット • 観測のための技術 • クローキングに左右されない環境 • RIG • 同一のIPアドレスで2度以上アクセスしても攻撃を行わない • Seamless • Geo-Locationごとに攻撃トラフィックが異なる • 観測したいものに合わせて柔軟に環境を変える • IP（およびGeo-Location）を変える • VPNやプロキシを利用する 12

Copyright©2018 nao_sec All Rights Reserved. StarC • 高対話型クライアントハニーポット 13

Copyright©2018 nao_sec All Rights Reserved. StarC 14

Copyright©2018 nao_sec All Rights Reserved. 15 DEMO

Copyright©2018 nao_sec All Rights Reserved. traffic.moe 16

Copyright©2018 nao_sec All Rights Reserved. Summary • ハニーポットにも色々ある • 高対話型クライアントハニーポット • 悪性トラフィックを観測するための技術 • OS、ブラウザ、プラグイン • 観測・解析妨害 • 難読化 • フィンガープリンティング • クローキング • DbD/EKが活き活きと動ける環境を用意する

Copyright©2018 nao_sec All Rights Reserved. 18 Any Questions?