【AVTOKYO2025】☄️物理ペネトレーションテスト: Physical Locks -> Cyber Backdoors

Transcript

1. Red Team Hacks: Physical Locks -> Cyber Backdoors Satoki Tsuji

2. Satoki Tsuji WebSec / AISec / Pentesting 𝕏：@satoki00 E-mail：[email protected] GitHub：https://github.com/satoki

   Webアプリケーションつんつん職人、CTF Player、Bug Hunter AVTOKYO、Security Analyst Summit、m0leCon、TyphoonConなどに登壇 GoogleやFirefoxを含む多数のWebサイトやソフトウェアの脆弱性を発見し報告

3. Today's Topic レッドチームとして複数の組織のペネトレーションテストを担当し、 オフィスへの侵入、マルウェアを用いた遠隔操作、GitHubでの横展開を実施した。 物理・サイバーでの攻撃フローを紹介

4. Outline ・Attack Scenario ・On-Site Operation ~Visual Recon / Badge Forgery~

   ・On-Site Operation ~Bypassing Door Authentication~ ・On-Site Operation ~Constructing Bad Hardware~ ・On-Site Operation ~Deploying Bad Hardware~ ・Remote Operation ~Borrowing Test Laptop~ ・Remote Operation ~Data Exfiltration and Infiltration~ ・Remote Operation ~Designing Malware~ ・Remote Operation ~Connecting to C2~ ・Remote Operation ~Repository-Based Lateral Movement~

5. Pentesting Workflow 対象企業の社員には秘密裏に行われる（役員、内部協力者を除く）。 事前調整 NDA締結 チーム体制・スコープ・免責範囲の設定 契約締結 攻撃目標・シナリオの策定 セキュリティ施策・導入製品の聞き取り調査 検知回避・攻撃実現可能性の検証

   偵察・攻撃・目的の実行 整理・報告 事前検証 攻撃

6. Attack Scenario 物理的に内部に入り込まれるケースが危険視されている。 e.g., 経歴を偽って採用された新入社員、買収・脅迫された社員 物理的な侵害はフィッシング由来等のマルウェア感染より強力なInitial Access手法 マルウェア 感染 横展開

   物理侵害 情報窃取 Pentesting Services APTs

7. Attack Scenario 組織内部に入り込まれた（かけた？）事例 KnowBe4: How a North Korean Fake IT

   Worker Tried to Infiltrate Us https://blog.knowbe4.com/how-a-north-korean-fake-it-worker-tried-to-infiltrate-us

8. Attack Scenario 物理的な侵害を想定して攻撃シナリオを策定する

9. Pentesting Workflow 対象企業の社員には秘密裏に行われる（役員、内部協力者を除く）。 事前調整 NDA締結 チーム体制・スコープ・免責範囲の設定 契約締結 攻撃目標・シナリオの策定 セキュリティ施策・導入製品の聞き取り調査 検知回避・攻撃実現可能性の検証

   偵察・攻撃・目的の実行 整理・報告 事前検証 攻撃

10. On-Site Operation

11. Visual Recon / Badge Forgery Bypassing Door Authentication Constructing Bad

    Hardware Deploying Bad Hardware On-Site Operations Workflow

12. On-Site Operation ~Visual Recon / Badge Forgery~ 物理侵入時に怪しまれないように、社員の服装や社員証の見た目を模倣する 周辺の飲食店でランチ・ディナーに来る社員を張り込み ・服装の規定（スーツ

    or 私服） ・出社・退社の時間帯 ・使用している端末の種類 ・端末・社員証を放置したまま離席していないか ネット上のインタビュー写真から社員証を確認 ・社員証のデザインや材質 ・ネックストラップの色や継ぎ目の個数

13. On-Site Operation ~Bypassing Door Authentication~ オフィスの入口の認証を調査して、物理侵入の可能性を検証する オフィス入り口のセキュリティ機能の調査 ・ICカード・生体認証の有無や種類 ・警備員・監視カメラの位置 ・アンチパスバックの有無

    社員が出入りする際の警戒状況の調査 ・自動ドアの開放時間 ・社員が背後を確認しているか

14. On-Site Operation ~Bypassing Door Authentication~ オフィスの入口の認証を突破して物理侵入する マニュアルなどの公開資料でIDm / UID認証であることを確認 エスカレーターや喫煙所で近距離に近づき、Flipper

    Zeroで社員証をコピー

15. On-Site Operation ~Constructing Bad Hardware~ 物理侵入後に利用するBad Hardwareを設定する O.MG Cable、Screen Crab、Packet

    Squirrel Mark II、Plunder Bug LAN Tap …… ※技適マークが無いため、無線モジュールは物理的に除去・破壊する

16. On-Site Operation ~Constructing Bad Hardware~ O.MG Cable：キーロガーやBad USBとして機能するUSBケーブル オフィスデスクのケーブルと入れ替える 事前に調査した対象企業の備品シールを貼付

    後で回収できるように不可視のマーキング

17. On-Site Operation ~Constructing Bad Hardware~ Screen Crab：HDMIを中継して映像をキャプチャする機器 会議室やデスクのモニタのHDMIケーブルに挟み込む形で接続 UARTからのrootシェルで改造（Android） ラズパイと物理接続してリアルタイムで監視

18. On-Site Operation ~Constructing Bad Hardware~ Packet Squirrel Mark II：イーサネットに対してMITM（+Sniffing）する機器 重要な端末や複合機のイーサネットケーブルに挟み込む形で接続

    特定のプロトコルのみを記録するよう設定 1000 Base-Tでも100Mbpsが最大値なので注意

19. On-Site Operation ~Constructing Bad Hardware~ Plunder Bug LAN Tap：イーサネットをSniffingする機器 サーバルームのイーサネットケーブルに挟み込む形で接続

    ラズパイと物理接続してリアルタイムでキャプチャ 小型で安価なため大量に用意

20. On-Site Operation ~Constructing Bad Hardware~ Key Croc：キーのロギング・インジェクションする機器 オフィス内に放置されている有線キーボードとPCに挟み込む形で接続 キーインジェクションで特定のパッケージ名を誤らせてTyposquatting ロギングを主目的にして露見を防止

21. On-Site Operation ~Constructing Bad Hardware~ Q70：Voice Operated Recording機能付き超小型ボイスレコーダー 会議室のデスク下やモニタ裏に磁石や両面テープで設置 電波を発さないため盗聴発見器では発見不可能

    フル充電で300日間待機して約450時間の録音

22. On-Site Operation ~Constructing Bad Hardware~ 4GPi：ラズパイ専用に開発された4G（LTE）通信モジュール 他のラズパイからのデータをAPとして集約し、LTE経由で外部へ持ち出す LTE回線を別途契約して疎通を確認 APのSSIDを自然なものに設定

23. On-Site Operation ~Deploying Bad Hardware~ 物理侵入中に身柄を拘束されないように準備する 対象企業の所在地を管轄している警察署へレッドチーム実施情報の報告 物理侵入担当者の保護体制を構築 ・ヘッドセットで常に応答可能な状態 ・バックアップ要員の付近での待機

    身柄確保時の対応を考慮 ・所属を証明できる書類の携行 ・録画や録音を行う機器の携行

24. On-Site Operation ~Deploying Bad Hardware~ 設置する

25. On-Site Operation ~Deploying Bad Hardware~ 執務室 データ収集用 Server O.MG Cable

    4GPi 4GPi Bad Hardware 設置・回収者 Packet Squirrel Mark II サーバールーム Plunder Bug LAN Tap Raspberry Pi 物理侵入 LTE 会議室 Screen Crab Raspberry Pi Wi-Fi Key Croc Q70

26. On-Site Operation ~Deploying Bad Hardware~ Bad Hardwareから取得した情報を解析して活用する モニタ映像から得られた機密情報から、組織体制やセキュリティ情報を調査 キーロガーから得られたクレデンシャルをRemote Operationで利用

27. Remote Operation

28. Borrowing Test Laptop Data Exfiltration and Infiltration Designing Malware Connecting

    to C2 Remote Operations Workflow Repository-Based Lateral Movement

29. Remote Operation ~Borrowing a Test Laptop~ キッティング済みの検証端末を借りてローカルでの攻撃可能性を調査する 端末紛失時のデータ漏洩対策の調査 ・ログオンポリシーの適用状況 ・BitLockerやLUKS2などのディスク暗号化の有無

    管理者権限奪取の可能性の調査 ・過剰な権限を持つファイルの有無 ・One-Day Kernel Exploitの利用可能性 ・Zero-Day Exploitの作成可能性 セキュリティソリューションの有無や種類の調査

30. Remote Operation ~Data Exfiltration and Infiltration~ 検証端末から物理的に機密ファイルを持ち出し、マルウェアを持ち込む 物理的な接触による、持ち出しと持ち込みが阻止されるかの調査 ・リムーバブルストレージ（USB、SD、HDD） ・メディア転送プロトコル（WDP）

    ・光学メディア（CD、DVD、BD） ・近距離無線（Bluetooth）

31. Remote Operation ~Data Exfiltration and Infiltration~ 検証端末からオンラインで機密ファイルを持ち出し、マルウェアを持ち込む ネットワーク経由による、持ち出しと持ち込みが検知されるかの調査 ・HTTP/S（curl、/dev/tcp、CertReq.exe） ・DNS（dnsteal

    by m57、PyExfil by ytisf） ・NTP（ntpescape by evallen） ・ICMP（ICMPExfil by martinoj2009）

32. Remote Operation ~Designing Malware~ 本番端末で実行するマルウェアを構築する pipでの悪意のあるパッケージをインストールした想定 ・Python3（Embeddable）で実行 ・Pyarmor、Pyfuckなどで難読化 ・PyInstallerでバイナリ化 実際の攻撃事例とV8

    Bytecodeでの検知回避を考慮 ・Node.js（Standalone Binary）で実行 ・nexe、node-packer、pkgなどでパック

33. Remote Operation ~Connecting to C2~ 本番端末（社員業務端末）でマルウェアを実行してC2との接続を確立する 対象企業が使用しているサービスをC2サーバとして利用 ・AWS、GCP、Azureなどのインスタンス ・Slack、Discordなどのメッセンジャーアプリ 業務上の通信を模してコマンドを隠蔽

    ・日報のテキストや画像 ・Botが定期的に送信する値 C2フレームワークは未使用

34. Remote Operation ~Repository-Based Lateral Movement~ GitHubリポジトリにアクセスして改竄対象を選定する 本番端末内のSSH鍵を入手して、対象企業のリポジトリへアクセス ・UsernameはSSH鍵から取得 有効なリポジトリを再帰的にすべて収集 ・.bash_historyから以前に操作したリポジトリを取集

    ・取得したリポジトリ内の、READMEなどに書かれた別リポジトリを収集 頻繁に更新されているリポジトリを改竄対象に選定 ・定期的に実行され得る社内ツールを優先 ・ファイル数、コード量が多いものを優先

35. Remote Operation ~Repository-Based Lateral Movement~ GitHubリポジトリの社内ツールや納品物を改竄して横展開する

36. Remote Operation ~Repository-Based Lateral Movement~ 対象企業のGitHub Repositories 攻撃者 基盤システム ドキュメント

    類 社内ツール 顧客納品物 収集・解析 バックドア設置 対象企業社員 取得・実行 顧客 実行

37. Remote Operation ~Repository-Based Lateral Movement~ GitHubリポジトリへのコミットやプッシュなど不審な動作を隠蔽する リポジトリへバックドアコードを追加する際のユーザを偽装 ・Branch Protection Ruleが無効であることを確認

    ・Authorを頻繁に更新しているユーザに設定 ・対象企業のコミットメッセージルールを踏襲

38. Remote Operation ~Repository-Based Lateral Movement~ GitHubリポジトリの社内ツールや納品物への改竄を隠蔽する リポジトリへ追加したバックドアコードの差分表示（files changed）を無効化 1. 操作ミスを装って複数のファイルを削除

    2. 削除したファイルの一部にバックドアコードを追加 3. バックドアを含む削除したファイルを復元

39. Remote Operation ~Repository-Based Lateral Movement~ GitHubリポジトリの社内ツールや納品物のバックドアコード検出を妨害する リポジトリへ追加したバックドアコードに特殊文字を利用して検索を回避 ・すでに存在する変数と似た見た目のキリル文字（pとр）を使用

40. Remote Operation ~Repository-Based Lateral Movement~ GitHubリポジトリから取得した情報を解析して活用する リポジトリ内のコードに対して脆弱性診断を行い、別の侵入経路を発見 社内ツールから対象企業社員へ横展開を行い、新たな権限やクレデンシャルを取得 納品物から顧客へのサプライチェーン攻撃を実施（実行可能性のみ検証） GitHubリポジトリ

    の収集・改竄 権限やクレデンシ ャルの取得 社内ツールや 納品物から横展開 顧客への サプライチェーン 攻撃

41. Wrap Up レッドチームとしてペネトレーションテストを担当した際の攻撃フローを紹介 On-Site Operation と Remote Operation の二軸を実施 ブルーチームが一切の攻撃を検知できない結果となることも珍しくない

    あなたの組織は紹介した攻撃を検知・排除できますか？

42. Wrap Up 紹介した攻撃フローの他にも数多くのシナリオを含む ・偽装経歴での採用面接突破 ・複合機からの情報の奪取 ・対象企業社員へのCyber ReconやPhishingの実施 ・クラウド上のリソースへの侵害 ペネトレーションテスト実施の小ネタ ・少人数レッドチームの過酷さの話

    ・詳細なBad Hardwareの設定についての話 ・侵入後のディレクトリに、他社の脆弱性診断レポートが放置されていた話

43. Special Thanks ・Kazushi Kato - Red Team ・Minho Kim -

    Red Team & White Team ・Yuma Kurogome - White Team ・Tomoya Kitagawa - Technical Advisor（IoT） ・Yudai Fujiwara - Technical Advisor（Exploit） ・Yuichi Sugiyama - Technical Advisor（Exploit）

44. End End