Japan Security Analyst Conference 2020開催レポート~前編~
JPCERT/CCは、2020年1月17日に御茶ノ水ソラシティカンファレンスセンターにて Japan Security Analyst Conference 2020 (JSAC2020)を開催しました。本カンファレンスは、日々セキュリティインシデントに対応する現場のセキュリティアナリストを対象とし、高度化するサイバー攻撃に対抗するための技術情報を共有することを目的に開催しています。今回は3回目の開催となり、301名の方々にご参加いただきました。 本カンファレンスでは、講演募集(CFP)に応募いただいた22件の中から8件を採択し、講演いただきました。講演資料はJSACのWebサイトで公開しています。JPCERT/CC Eyesではカンファレンスの様子を2回に分けて紹介します。
オープニングトーク ~2019年のインシデントを振り返る~
講演者: JPCERT/CC インシデントレスポンスグループ 椎木 孝斉
オープニングトークでは、JPCERT/CCが確認した2019年のインシデントについて、標的型攻撃、ばらまき系攻撃という側面で講演しました。
標的型攻撃は、Microsoft AzureやGoogle Cloudなどのクラウドサービスを攻撃インフラとして悪用するケースが見られました。 また、マルウエアは、オープンソースで公開されているPoshC2やQuasarRATなどを悪用した攻撃を確認している他、BlackTechにより悪用されるTSCookieの新たな亜種を確認しています。
ばらまき系攻撃では、Pulse Secure VPNの脆弱性を悪用した攻撃の報告が複数件寄せられました。 また、10月以降よりメール経由でのEmotetの感染被害を多く確認しています。
新たな分析ツールとしては、2019年に、NSAよりリバースエンジニアリングツールGhidraが公開され、大きな話題になりました。 JPCERT/CCでもマルウエアの設定情報を抽出するMalConfScan、MalConfScan with Cuckooなどを公開しています。
GitHub JPCERTCC / MalConfScan
https://github.com/JPCERTCC/MalConfScan
GitHub JPCERTCC / MalConfScan-with-Cuckoo
https://github.com/JPCERTCC/MalConfScan-with-Cuckoo/
ランサムウェアに標的型攻撃手法を求めるのは間違っているだろうか
講演者: セキュアワークス株式会社 玉田 清貴、山崎 景太
本講演では、標的型ランサムウエアによるインシデント対応の中で観測された攻撃手法を明らかにし、標的型攻撃との比較や推奨される対策、今後の展望などが解説されました。
観測されたインシデントの例では、24時間以内にドメインコントローラーが掌握され、ランサムウエアによる感染が行われるなど、非常に短期間で攻撃が行われることが明かされました。そのため、限られた時間の中で如何に事業継続と安全性のバランスをとった対応プランを立案するか、また、事前にあらかじめ対応計画を策定しておくことの必要性が語られました。
また、標的型攻撃と比較したとき、断片的に同じ手法はあるものの、
- さまざまな組織に侵入を試み、セキュリティ対策が甘い組織を標的にしている
- 攻撃のステルス性が低い
など、異なる部分も多く、独自の特徴(TTPs)を持つことが紹介されました。加えて、ランサムウエアはあくまで金銭搾取のための脅迫を行う1つの手段に過ぎないため、"標的型ランサムウエア"という呼び方は正しくなく、より正確な呼び方を考える必要があるとの提案がなされました。
さらに、今後の展望として、
- メール経由での感染増加(Emotet経由による感染等)
- 侵害拡大時におけるRATの活用
- ファイル暗号化以外での脅迫
を挙げ、境界防御を適切に行っている組織でのインシデント増加や、インシデントの根絶・終息がより困難になる可能性が述べられました。
質疑応答では、再発防止策としてEDR(Endpoint Detection and Response)を入れられなかった場合や、現在進行形で行われている攻撃への対処など、現場で作業を行うインシデントハンドラーにとって興味のある質問が多く挙がりました。
Evil Hidden in Shellcode: The Evolution of Malware DBGPRINT
講演者: TeamT5 CiYi "YCY" Yu、Aragorn Tseng
本講演では、TeamT5から攻撃グループ「HUAPI」(別名. BlackTech)により悪用されるマルウエア「DBGPRINT」の進化について、詳細な解説が行われました。
TeamT5によると、DBGPRINTは2009年以前から確認されており、現在もさまざまな拡張を経て使用されていることが述べられました。ペイロードの読み込み方法について、初期はEXEファイルの中に格納されていたものが、現在は二重のDLLサイドローディングで読み込まれるように変化している他、ペイロードで使われるRC4キーにも変更が加わっていることが解説されました。
また、セキュリティ製品による検知を避けるために、特徴的なパターン部分の抹消が行われた他、自己書き換え機能により検知される可能性のあるコードを、メモリ内に残さないように細工が加えられていることが語られました。さらに、特定のセキュリティ製品に対してAPIフックを行い、検知回避する機能を明らかにし、DBGPRINTにさまざまな工夫が施されていることが紹介されました。
攻撃キャンペーン「Operation Bitter Biscuit」を実行した標的型攻撃グループに関する脅威情報
講演者: NTTセキュリティ・ジャパン株式会社 高井 一
本講演では、「Operation Bitter Biscuit」を実行した標的型攻撃グループに関する新たな脅威情報が発表されました。
高井氏によると、今回の標的型攻撃グループは日本も標的にしているとの情報があるものの、日本に対する攻撃と感染後の動きに関する情報が特に少ない状況であると語りました。 そのため高井氏は、実際の企業環境に似せた囮環境で標的型攻撃グループのものと疑われるマルウエアを動作させることによって、感染後の攻撃グループの動きを明らかにしました。
囮環境では、追加のバックドアがダウンロードされた他、認証情報の窃取や脆弱性の有無を調査する複数のツールが確認されました。多くのツールは、オープンソースで公開されているものと類似しているものの、一部は攻撃者によって拡張が加えられていたことが説明されました。また、攻撃グループの手法としてこれまで確認されていなかった、未知のバックドアや脆弱性(CVE-2018-20250)が使われていることが述べられました。
さらに、高井氏は複数のBisonalの解析を行い、実行できるコマンドの数や通信の暗号化方式などが異なるさまざまな亜種が存在することを明らかにしました。直近で観測されている亜種は、カスタム化されたRC4アルゴリズムを使って通信を暗号化するように変更されており、今後も同じ亜種を使った攻撃が行われる可能性を述べられました。
なお、講演の後の質疑応答では、囮環境で攻撃者の活動を確認できる割合や、攻撃者に気づかれないための工夫・設定など、囮環境に関して多くの質問が挙がりました。
100 more behind cockroaches? or how to hunt IoCs with OSINT
講演者: 二関 学、McAfee株式会社 小川 泰明
本講演では、OSINT(Open Source INTelligence)と呼ばれるテクニックを駆使して積極的に攻撃インフラを見つけ出す手法の解説が行われました。 両氏によると、攻撃者はインフラやコンポーネント、SSLサーバー証明書を使いまわすなどの悪癖を持っているため、それらの悪癖を利用することで攻撃者を追跡できると明らかにしました。
具体的な手法としては下記の6つが紹介され、実際に日本を標的にしているマルウエアやフィッシングキットを題材にして、どのように攻撃インフラやマルウエアを見つけ出すのかについて詳細な解説が行われました。
- Domain Fuzzing
- HTTP fingerprint
- SSH host key fingerprint
- Certificate Transparency
- IoC feeds aggregation
- YARA
本講演でのOSINTを活用することで、マルウエアのC&Cサーバーやフィッシングサイトの特定、マルウエアや通信先などの収集など、さまざまな用途で使えることを明らかにしています。 両氏は、実際に今回紹介した手法を用いて攻撃サイトを日々調査し、関係機関に報告を行うことで被害発生を未然に防止していると述べました 。
また、手法以外にも抜け漏れ防止や工数削減などの面から自動化の重要性が述べられ、両氏による自作のツールを含んだ自動化のための便利なツールがいくつか紹介されました。
おわりに
今回はJSAC 2020の講演内容のうち、前半に行われた5講演について紹介しました。次回のJPCERT/CC Eyesでは引き続き、後半の講演を紹介します。