Tweet
Tweet

Slide 1

Slide 1 text

攻撃者グループ名をつけてみよう! 宮田 明良(seraph) AVTOKYO 2016 2016.10.22

Slide 2

Slide 2 text

飲んでますか?

Slide 3

Slide 3 text

Introduction

Slide 4

Slide 4 text

自己紹介 宮田 明良 Twitter: @Seraph39 なんちゃってマルウェアアナリスト AVTOKYO2015 Speaker OSINTによる標的型攻撃に関する情報収集 SANS Lethal Forensicator Coin Holder 2014 Washington D.C. (FOR610)

Slide 5

Slide 5 text

本日の話 攻撃者グループやキャンペーン名を名付け るまでの調査内容ってどんなの? 各社の攻撃者グループやキャンペーン名っ てどんなの?

Slide 6

Slide 6 text

攻撃者に関する特徴の調査

Slide 7

Slide 7 text

IOC ツール ログ デコイ ファイル 感染手法 メール 攻撃対象 分野 マルウェア

Slide 8

Slide 8 text

IOC ツール ログ デコイ ファイル 感染手法 メール 攻撃対象 分野 マルウェア

Slide 9

Slide 9 text

メール •  メールアドレス –  フリーメール –  乗っ取られて使用 •  送信元IPアドレス(偽装含む) •  送信日時(UTC+●) •  中継メールサーバ

Slide 10

Slide 10 text

メール •  「ご高覧」のような特徴的な文字列 •  先頭行が空白 (参考)https://www.ipa.go.jp/files/000053445.pdf

Slide 11

Slide 11 text

IOC ツール ログ デコイ ファイル 感染手法 メール 攻撃対象 分野 マルウェア

Slide 12

Slide 12 text

デコイファイル •  存在 – マルウェアに含まれる場合 •  多くはコレ – 圧縮ファイルを解凍したら、別に存在する場合 •  フォント – デコイファイル表示のフォント •  Emdiviのデコイファイルだと、Simsunフォント

Slide 13

Slide 13 text

デコイファイル •  手抜き派 –  空白のものは、バラマキで多く見られる •  調達派 –  多くの場合は、公開されているファイル –  たまに見え消し版もあるが、公開ファイル •  ガチ派 –  侵入した際に入手したファイル •  これにより侵入され窃取され漏洩したことが判明する ことも

Slide 14

Slide 14 text

IOC ツール ログ デコイ ファイル 感染手法 メール 攻撃対象 分野 マルウェア

Slide 15

Slide 15 text

マルウェア •  アイコン偽装 •  拡張子偽装 – RLOの使用 – ファイル名が長い •  圧縮方式 – zip, lzh, rar, 7z, etc

Slide 16

Slide 16 text

マルウェア •  脆弱性の使用 – 脆弱性が出た直後に使用されることが多い? – 一太郎の脆弱性 •  明らかに、日本を標的としているもの •  独自のUser Agent (参考)http://d.hatena.ne.jp/Kango/20141113/1415901362

Slide 17

Slide 17 text

マルウェア •  C2サーバー – 登録者情報(名前、メールアドレス、住所等) – どこのサービスを使用しているか – AVTOKYO 2015 •  OSINTによる標的型攻撃に関する情報収集 •  言語情報 •  コンパイル日時 – 傾向は見えるが、どのタイムゾーンかは難しい

Slide 18

Slide 18 text

マルウェア •  新種は、名前をつけてグルーピング •  亜種なのか、新種なのか

Slide 19

Slide 19 text

マルウェア •  特徴 – パケット内の文字列 – バイナリ内の文字列 – ID – PW – 暗号化方式

Slide 20

Slide 20 text

マルウェア •  Emdiviの場合 –  日本での使用を確認 •  バージョン –  t17:標的型メールで使用 –  t20:侵入後使用 –  あるバージョンから –  キャンペーン名 or 攻撃対象 + 攻撃日時 •  ネット上でDLできるEmdiviを幾つか見てみ よう

Slide 21

Slide 21 text

例 MD5: dba397405916869fdbfc66fa57f553ae 通信内容: Y3yfO=tuhnrmst%17%7E%09%03%09%0B%7 E%10%0B%09%02%0A&2be78j=a&date=rBQF. 4%60%25%23%3A%24%2C%3A%27%24%3 AS%7C%7D%21%26%26%3A%21r%26q%25 %2C%27%21%20u%27%25%26%24%2C%26 %1Dh%1DZ%40.4%21%3A%25%3A%26%22 %24%2%1DOqz9AGI%1Dh%1DYQY. 4%25%26%2CY%1Dh%1DSY%40%3C9%22% 3D

Slide 22

Slide 22 text

例:復号すると・・・ •  "date"="fVER: t17.08.30.Ghi522.5f2e18354a312 082 | NT: 5.1.2601& [en-US]MEM: 128M | GMT(-6) •  ポイントは、「Ghi522」

Slide 23

Slide 23 text

例:Ghi522 (参考)https://www.google.co.jp/webhp?sourceid=chrome- instant&ion=1&espv=2&ie=UTF-8#q=ghi

Slide 24

Slide 24 text

例:Ghi522 (参考)http://www.ghi.gr.jp/busiinfo/

Slide 25

Slide 25 text

例:Ghi522 •  Emdiviのコンパイル日時 •  2015/05/22 03:51:18(UTC+0) •  ホテルグランドヒル市ヶ谷に攻撃があった (参考)http://www.mod.go.jp/j/press/kisha/2015/07/07.html

Slide 26

Slide 26 text

IOC ツール ログ デコイ ファイル 感染手法 メール 攻撃対象 分野 マルウェア

Slide 27

Slide 27 text

ツール •  Pass-the-hash – e.g., Mimikatz, gsecdump, PwDump7等 •  脆弱性悪用 – e.g., MS14-068 – Kerberos認証の脆弱性により、権限昇格 •  横展開

Slide 28

Slide 28 text

ツール •  圧縮系 – rar •  Windows標準 – cmd – csvde, dsquery(ActiveDirectory管理ツー ル)

Slide 29

Slide 29 text

ツール •  攻撃の流れ – 横展開 – ADサーバ攻略 – 情報送信 •  ツールの使用した痕跡 – メモリ – hiberfil.sys、pagefile.sys

Slide 30

Slide 30 text

IOC ツール ログ デコイ ファイル 感染手法 メール 攻撃対象 分野 マルウェア

Slide 31

Slide 31 text

感染手法 •  標的型攻撃メール •  水飲み場攻撃 •  マルバタイジング •  USBメモリ

Slide 32

Slide 32 text

IOC ツール ログ デコイ ファイル 感染手法 メール 攻撃対象 分野 マルウェア

Slide 33

Slide 33 text

攻撃対象分野 •  重要インフラ(13分野) – 情報通信、金融、航空、鉄道、電力、ガス、 政府・行政サービス、医療、水道、物流、化 学、クレジット、石油 •  他にも・・・ – 中小企業 – 大学 (参考)http://www.nisc.go.jp/active/infra/outline.html

Slide 34

Slide 34 text

IOC ツール ログ デコイ ファイル 感染手法 メール 攻撃対象 分野 マルウェア

Slide 35

Slide 35 text

ログ •  イベントログ •  access.log •  FWのログ (参考)https://www.blackhat.com/docs/us-15/materials/us-15- Metcalf-Red-Vs-Blue-Modern-Active-Directory-Attacks- Detection-And-Protection.pdf

Slide 36

Slide 36 text

データの蓄積と可視化

Slide 37

Slide 37 text

データの蓄積と可視化 •  蓄積 – とりあえずは、Excelでいい – 真剣にやるならデータベース •  可視化 – 蓄積したデータを読み込んで、分析 – Maltego – Analyst’s Notebook

Slide 38

Slide 38 text

IOCの共有

Slide 39

Slide 39 text

IOCの共有 •  Snort •  Yara •  Open IOC –  Mandiant •  CybOX –  Cyber Observable eXpression •  STIX –  Structed Threat Information eXpression •  TAXII –  Trusted Automated eXchange of Indicator Information –  脅威情報のセキュアな転送と交換 •  STIXVIZ (参考)https://github.com/     STIXProject/stix-viz

Slide 40

Slide 40 text

攻撃者グループ名 & キャンペーン名をつけよう!!

Slide 41

Slide 41 text

ネーミングは難しい •  特徴的なマルウェアであれば、その特徴から 付けるのは、比較的やりやすい –  ただ、マルウェアの名前をつけると、今後がやや こしい •  攻撃者グループ名の統廃合はよくあるので、 とりあえずコードネームをつけておく •  キャンペーン名は、つけやすい –  攻撃の特徴をとりあえずつければOK

Slide 42

Slide 42 text

ネーミング どんな名前をつけるのが良いの か? 各社のネーミングを見ていこう

Slide 43

Slide 43 text

FireEye(Mandiant)さんの場合 •  APTシリーズ – 米空軍の情報機関の関係者らが使用していた コードネームらしい •  APT1 •  中国人民解放軍総参謀部第3部第2局 – 第61398部隊 – 拠点(上海の浦東新区)の特定 と、されている

Slide 44

Slide 44 text

CrowdStrikeさんの場合 •  Pandaシリーズ –  中国 •  Bearシリーズ –  ロシア •  Kittenシリーズ –  イラン –  猫は、イスラム教における敬愛されている動物 •  Tigerシリーズ –  インド –  国獣:ベンガルトラ •  Chollima –  北朝鮮 –  千里馬(チョルリマ)は、社会主義の象徴

Slide 45

Slide 45 text

ネーミング(Good) •  攻撃者グループ・キャンペーン名として わかりやすい名前にしよう •  名前のルールを統一しよう – なんとかPanda等ネーミングルールが決まっ ている •  キャッチーな名前をつけよう – アイコン等もイメージしやすい

Slide 46

Slide 46 text

ネーミング(Bad) •  マルウェアやツール名で名付けない – PlugX1, PlugX2 – マルウェアの分類としてはOK •  数字はやめよう – APT1, APT2, ・・・ – どれが何かわからない

Slide 47

Slide 47 text

ぶっちゃけ統一してよ・・・ APT groups and operationsが役立つ! (参考)https://docs.google.com/spreadsheets/d/ 1H9_xaxQHpWaa4O_Son4Gx0YOIzlcBWMsdvePFX68EKU/ edit#gid=361554658

Slide 48

Slide 48 text

Case Study

Slide 49

Slide 49 text

日本年金機構の場合 東京都杉並区 高井戸 日本年金機構本部

Slide 50

Slide 50 text

日本年金機構事案の場合 (参考)http://www.nisc.go.jp/active/kihon/pdf/incident_report.pdf

Slide 51

Slide 51 text

日本年金機構事案の場合

Slide 52

Slide 52 text

JTB事案の場合 •  今年3月の事案 –  株式会社i.JTB –  678万8443人の情報流出 •  3連休を狙った可能性 •  Elirksを使用した攻撃 –  Elirksの例(台湾への攻撃) –  ブログ等に記載の文字列をIPアドレスに変換して、接続を 行う  (参考)https://media.blackhat.com/us-13/US-13-Yarochkin- In-Depth-Analysis-of-Escalated-APT-Attacks-Slides.pdf •  伊勢志摩サミット関連の可能性  (参考)http://csirt.ninja/?p=772

Slide 53

Slide 53 text

JTB事案の場合 (参考)http://www.pref.mie.lg.jp/NYUSATSU/2015070504.htm JTB以外も 攻撃されている 可能性が考えられる

Slide 54

Slide 54 text

Conclusion

Slide 55

Slide 55 text

世界の情勢に目を向けよう •  APTは、国家が関与しているとすれ ば・・・ •  世界の歴史や世界の情勢を把握すること は、必要不可欠。 – 例えば、各国における記念日、祝日等

Slide 56

Slide 56 text

まとめ •  世の中に公開されていない攻撃者グルー プやキャンペーンは、たくさん存在する •  名前をつけた攻撃者グループやキャン ペーンと、公開されているレポートを比 較し、関連付けをしよう •  情報共有を行い、セキュリティ向上を!

Slide 57

Slide 57 text

Thank you so much! @Seraph39