OSINTによる標的型攻撃に関する情報収集

Transcript

1. OSINTによる標的型攻撃 に関する情報収集 seraph（宮田明良） AVTOKYO 2015 2015/11/14

2. Who am I?   seraph（宮田明良）   Twitter: @Seraph39   なんちゃってマルウェアアナリスト

     SANS Lethal Forensicator Coin Folder   2014 Washington D.C. (FOR610)   https://digital-forensics.sans.org/community/lethal-forensicator/ coin-holders/m

3. Intelligence   HUMINT（HUMan INTelligence）   人的に情報を収集（大使館など）   協力者によるものも含む   SIGINT（SIGnals

   INTelligence）   通信傍受   短波通信や衛星通信   PRISM   Upstream 米軍三沢基地 象の檻とエシェロン https://www.google.co.jp/maps/@40.7203821,141.3233764,1281m/data=!3m1!1e3

4. Intelligence   IMINT(IMagery INTelligence)   偵察衛星や偵察機による撮影による情報収集 ロシア軍 ウラジオストク基地 https://www.google.co.jp/maps/@43.1072317,131.9145565,1466m/data=!3m1!1e3

5. Intelligence   OSINT(Open Source INTelligence）   公開情報から情報を収集   新聞、テレビ、ラジオ、書籍、インターネット等  

   注意点: 公開情報は、誤っている可能性がある。   他にも   MASINT（Measurement And Signatures INTelligence）   TECHINT（TECHnical INTelligence）

6. 攻撃者属性を 把握するための流れ 不審メールの 解析 メール本文のリン ク、マルウェア、 ツールの解析 接続先 （C２サーバ） の調査

   公開情報の 調査 収集した情報の 分析

7. 不審メールの解析   メール本文   特徴的な文字列や文章   送信元のIPアドレス   残っていない場合  

   乗っ取られている場合   中継メールサーバ   フリーメール   特徴的なメーラー

8. マルウェア解析   拡張子   exe, scr, cplなど   圧縮方式  

   zip, lzh, rar, 7zなど   C2サーバとのパスワード   言語情報   コンパイル日時

9. マルウェアの解析   Sandboxes VirusTotal   Malwr   #totalhash   PAYLOAD

   SECURITY ThreatExpert threatcrowd   User Agent String.com https://totalhash.cymru.com/ https://www.threatcrowd.org/

10. 接続先（C２サーバ）の調査   PASSIVE TOTAL   DNSDB   DomainTools VirusTotal PassiveDNSとして動作しており、過去に使用されたIPアドレス

    を調査できる。 https://www.passivetotal.org

11. 漏洩した情報の調査   PASTEBIN   コードの流出   C2サーバ情報   WikiLeaks  

    最近だとジョン・ブレナンCIA長官のメール EmdiviのC2サーバ と思われるドメイン名 http://pastebin.com/j4a1xxtR https://wikileaks.org/cia-emails/

12. SNSの調査   SNSからC2サーバのWhois情報を調査すると攻撃者が判明す るかも・・・   Facebook   Twitter   LinkedIn

      QQ   Weibo etc

13. APTに関する情報   APT Notes   APTに関するレポート情報等を収集したサイト   インディケータは、CSV, JSON, yaraの形式で公開

      例えば、インシデントが起こり、その際に使用されていたマルウェ アの接続先であるC２サーバのドメイン名やIPアドレスをAPT Notesにあるインディケータと照合することで、既存のどのような攻 撃者グループかやキャンペーンに関係があるか把握できる。   マッチしない情報の場合は、誰も知らないキャンペーン・攻撃者グ ループの可能性がある。

14. APT Notes https://aptnotes.malwareconfig.com/

15. 収集した情報の分析   収集した情報の照合・精査   分析・可視化   Analyst’s Notebook/iBase   Maltego

16. Example Only conference attendee

17. まとめ   OSINTにより、誰でも簡単にAPTに関する情報収集が可能。   ポイント   その情報が正しいかどうかチェックすることは難しい。   例えば、マルウェア解析だけでは攻撃者像やキャンペーンはわか りづらい。メールや侵入された際に使用されたツールの解析、マ

    ルウェアの解析C2サーバの調査等を組み合わせた調査が必要で ある。   調査する際は、調査の痕跡がログに残ってしまうということを考え ながら調査する必要がある。   マルウェアといったサンプルが多ければ多いほど、調査の精度が 向上する。

18. Questions?

19. Thank you