攻撃者グループ名をつけてみよう！

Transcript

1. 攻撃者グループ名をつけてみよう！ 宮田 明良（seraph） AVTOKYO 2016 2016.10.22

2. 飲んでますか？

3. Introduction

4. 自己紹介 宮田 明良 Twitter: @Seraph39 なんちゃってマルウェアアナリスト AVTOKYO2015 Speaker OSINTによる標的型攻撃に関する情報収集 SANS

   Lethal Forensicator Coin Holder 2014 Washington D.C. (FOR610)

5. 本日の話 攻撃者グループやキャンペーン名を名付け るまでの調査内容ってどんなの？ 各社の攻撃者グループやキャンペーン名っ てどんなの？

6. 攻撃者に関する特徴の調査

7. IOC ツール ログ デコイ ファイル 感染手法 メール 攻撃対象 分野 マルウェア

8. IOC ツール ログ デコイ ファイル 感染手法 メール 攻撃対象 分野 マルウェア

9. メール •  メールアドレス –  フリーメール –  乗っ取られて使用 •  送信元IPアドレス（偽装含む） • 

   送信日時（UTC＋•） •  中継メールサーバ

10. メール •  「ご高覧」のような特徴的な文字列 •  先頭行が空白 （参考）https://www.ipa.go.jp/files/000053445.pdf

11. IOC ツール ログ デコイ ファイル 感染手法 メール 攻撃対象 分野 マルウェア

12. デコイファイル •  存在 – マルウェアに含まれる場合 •  多くはコレ – 圧縮ファイルを解凍したら、別に存在する場合 •  フォント – デコイファイル表示のフォント

    •  Emdiviのデコイファイルだと、Simsunフォント

13. デコイファイル •  手抜き派 –  空白のものは、バラマキで多く見られる •  調達派 –  多くの場合は、公開されているファイル – 

    たまに見え消し版もあるが、公開ファイル •  ガチ派 –  侵入した際に入手したファイル •  これにより侵入され窃取され漏洩したことが判明する ことも

14. IOC ツール ログ デコイ ファイル 感染手法 メール 攻撃対象 分野 マルウェア

15. マルウェア •  アイコン偽装 •  拡張子偽装 – RLOの使用 – ファイル名が長い •  圧縮方式 – zip,

    lzh, rar, 7z, etc

16. マルウェア •  脆弱性の使用 – 脆弱性が出た直後に使用されることが多い? – 一太郎の脆弱性 •  明らかに、日本を標的としているもの •  独自のUser Agent

    （参考）http://d.hatena.ne.jp/Kango/20141113/1415901362

17. マルウェア •  C2サーバー – 登録者情報（名前、メールアドレス、住所等） – どこのサービスを使用しているか – AVTOKYO 2015 •  OSINTによる標的型攻撃に関する情報収集 • 

    言語情報 •  コンパイル日時 – 傾向は見えるが、どのタイムゾーンかは難しい

18. マルウェア •  新種は、名前をつけてグルーピング •  亜種なのか、新種なのか

19. マルウェア •  特徴 – パケット内の文字列 – バイナリ内の文字列 – ID – PW – 暗号化方式

20. マルウェア •  Emdiviの場合 –  日本での使用を確認 •  バージョン –  t17：標的型メールで使用 – 

    t20：侵入後使用 –  あるバージョンから –  キャンペーン名 or 攻撃対象 ＋ 攻撃日時 •  ネット上でDLできるEmdiviを幾つか見てみ よう

21. 例 MD5: dba397405916869fdbfc66fa57f553ae 通信内容: Y3yfO=tuhnrmst%17%7E%09%03%09%0B%7 E%10%0B%09%02%0A&2be78j=a&date=rBQF. 4%60%25%23%3A%24%2C%3A%27%24%3 AS%7C%7D%21%26%26%3A%21r%26q%25 %2C%27%21%20u%27%25%26%24%2C%26 %1Dh%1DZ%40.4%21%3A%25%3A%26%22

    %24%2%1DOqz9AGI%1Dh%1DYQY. 4%25%26%2CY%1Dh%1DSY%40%3C9%22% 3D

22. 例：復号すると・・・ •  "date"="fVER: t17.08.30.Ghi522.5f2e18354a312 082 | NT: 5.1.2601& [en-US]MEM: 128M

    | GMT(-6) •  ポイントは、「Ghi522」

23. 例：Ghi522 （参考）https://www.google.co.jp/webhp?sourceid=chrome- instant&ion=1&espv=2&ie=UTF-8#q=ghi

24. 例：Ghi522 （参考）http://www.ghi.gr.jp/busiinfo/

25. 例：Ghi522 •  Emdiviのコンパイル日時 •  2015/05/22 03:51:18(UTC+0) •  ホテルグランドヒル市ヶ谷に攻撃があった （参考）http://www.mod.go.jp/j/press/kisha/2015/07/07.html

26. IOC ツール ログ デコイ ファイル 感染手法 メール 攻撃対象 分野 マルウェア

27. ツール •  Pass-the-hash – e.g., Mimikatz, gsecdump, PwDump7等 •  脆弱性悪用 – e.g.,

    MS14-068 – Kerberos認証の脆弱性により、権限昇格 •  横展開

28. ツール •  圧縮系 – rar •  Windows標準 – cmd – csvde, dsquery（ActiveDirectory管理ツー ル）

29. ツール •  攻撃の流れ – 横展開 – ADサーバ攻略 – 情報送信 •  ツールの使用した痕跡 – メモリ – hiberfil.sys、pagefile.sys

30. IOC ツール ログ デコイ ファイル 感染手法 メール 攻撃対象 分野 マルウェア

31. 感染手法 •  標的型攻撃メール •  水飲み場攻撃 •  マルバタイジング •  USBメモリ

32. IOC ツール ログ デコイ ファイル 感染手法 メール 攻撃対象 分野 マルウェア

33. 攻撃対象分野 •  重要インフラ（13分野） – 情報通信、金融、航空、鉄道、電力、ガス、 政府・行政サービス、医療、水道、物流、化 学、クレジット、石油 •  他にも・・・ – 中小企業 – 大学

    （参考）http://www.nisc.go.jp/active/infra/outline.html

34. IOC ツール ログ デコイ ファイル 感染手法 メール 攻撃対象 分野 マルウェア

35. ログ •  イベントログ •  access.log •  FWのログ （参考）https://www.blackhat.com/docs/us-15/materials/us-15- Metcalf-Red-Vs-Blue-Modern-Active-Directory-Attacks- Detection-And-Protection.pdf

36. データの蓄積と可視化

37. データの蓄積と可視化 •  蓄積 – とりあえずは、Excelでいい – 真剣にやるならデータベース •  可視化 – 蓄積したデータを読み込んで、分析 – Maltego – Analyst’s

    Notebook

38. IOCの共有

39. IOCの共有 •  Snort •  Yara •  Open IOC –  Mandiant

    •  CybOX –  Cyber Observable eXpression •  STIX –  Structed Threat Information eXpression •  TAXII –  Trusted Automated eXchange of Indicator Information –  脅威情報のセキュアな転送と交換 •  STIXVIZ （参考）https://github.com/ 　　　　STIXProject/stix-viz

40. 攻撃者グループ名 ＆ キャンペーン名をつけよう！！

41. ネーミングは難しい •  特徴的なマルウェアであれば、その特徴から 付けるのは、比較的やりやすい –  ただ、マルウェアの名前をつけると、今後がやや こしい •  攻撃者グループ名の統廃合はよくあるので、 とりあえずコードネームをつけておく

    •  キャンペーン名は、つけやすい –  攻撃の特徴をとりあえずつければOK

42. ネーミング どんな名前をつけるのが良いの か？ 各社のネーミングを見ていこう

43. FireEye（Mandiant）さんの場合 •  APTシリーズ – 米空軍の情報機関の関係者らが使用していた コードネームらしい •  APT1 •  中国人民解放軍総参謀部第３部第２局 – 第61398部隊

    – 拠点（上海の浦東新区）の特定 と、されている

44. CrowdStrikeさんの場合 •  Pandaシリーズ –  中国 •  Bearシリーズ –  ロシア • 

    Kittenシリーズ –  イラン –  猫は、イスラム教における敬愛されている動物 •  Tigerシリーズ –  インド –  国獣：ベンガルトラ •  Chollima –  北朝鮮 –  千里馬（チョルリマ）は、社会主義の象徴

45. ネーミング（Good） •  攻撃者グループ・キャンペーン名として わかりやすい名前にしよう •  名前のルールを統一しよう – なんとかPanda等ネーミングルールが決まっ ている •  キャッチーな名前をつけよう

    – アイコン等もイメージしやすい

46. ネーミング（Bad） •  マルウェアやツール名で名付けない – PlugX1, PlugX2 – マルウェアの分類としてはOK •  数字はやめよう – APT1, APT2,

    ・・・ – どれが何かわからない

47. ぶっちゃけ統一してよ・・・ APT groups and operationsが役立つ！ （参考）https://docs.google.com/spreadsheets/d/ 1H9_xaxQHpWaa4O_Son4Gx0YOIzlcBWMsdvePFX68EKU/ edit#gid=361554658

48. Case Study

49. 日本年金機構の場合 東京都杉並区 高井戸　日本年金機構本部

50. 日本年金機構事案の場合 （参考）http://www.nisc.go.jp/active/kihon/pdf/incident_report.pdf

51. 日本年金機構事案の場合

52. JTB事案の場合 •  今年３月の事案 –  株式会社i.JTB –  678万8443人の情報流出 •  ３連休を狙った可能性 • 

    Elirksを使用した攻撃 –  Elirksの例（台湾への攻撃） –  ブログ等に記載の文字列をIPアドレスに変換して、接続を 行う 　（参考）https://media.blackhat.com/us-13/US-13-Yarochkin- In-Depth-Analysis-of-Escalated-APT-Attacks-Slides.pdf •  伊勢志摩サミット関連の可能性 　（参考）http://csirt.ninja/?p=772

53. JTB事案の場合 （参考）http://www.pref.mie.lg.jp/NYUSATSU/2015070504.htm JTB以外も 攻撃されている 可能性が考えられる

54. Conclusion

55. 世界の情勢に目を向けよう •  APTは、国家が関与しているとすれ ば・・・ •  世界の歴史や世界の情勢を把握すること は、必要不可欠。 – 例えば、各国における記念日、祝日等

56. まとめ •  世の中に公開されていない攻撃者グルー プやキャンペーンは、たくさん存在する •  名前をつけた攻撃者グループやキャン ペーンと、公開されているレポートを比 較し、関連付けをしよう •  情報共有を行い、セキュリティ向上を！

57. Thank you so much! @Seraph39