Japan Security Analyst Conference 2018開催レポート~前編~(2018-02-08)

JPCERT/CCは、2018年1月25日に御茶ノ水ソラシティカンファレンスセンターにて Japan Security Analyst Conference 2018 (JSAC2018)を開催しました。本カンファレンスは、日々セキュリティインシデントに対応する現場のセキュリティアナリストを対象とし、高度化するサイバー攻撃に対抗するための技術情報を共有することを目的に開催したものです。今回が初めての開催であり、予定人数を超える481名にご参加いただきました。
本カンファレンスでは、講演募集(CFP)に応募いただいた24件の中から10件を採択し、講演いただきました。講演資料はJPCERT/CC の Webサイト で公開しています。分析センターだよりではカンファレンスの様子を2回に分けて紹介します。

・オープニングセッション~ 2017年のインシデントを振り返る~
 講演者:JPCERT/CC 分析センター 竹田 春樹

オープニングセッションとして、JPCERT/CC の視点から2017年のインシデントを振り返る講演を行いました。まず、1月~3月にはDaserfを使用したAPT攻撃が各所に被害を与えたことを取り上げました。続いて、4月~6月にかけてはChChesやRedLeavesと関係があるといわれる攻撃キャンペーンAPT 10の攻撃が国内の組織をターゲットとして行われたことを説明しました。WannaCryなどワーム機能を持つランサムウエアの脅威が拡大したのはこの時期でした。7月~9月はAPT 10の攻撃が続き、RedLeavesの亜種であるHimawariを観測しました。また、この時期はCCleanerに不正コードが挿入され配布された事例やONIランサムウエアが使われた時期に当たります。
10月~12月にかけては攻撃キャンペーンDragonOKによるインシデントを観測したことに注目する一方で、インターネットではMirai亜種による新たなスキャンの兆候が確認できたとの説明を行いました。
最後に、これら通年のインシデントから竹田が感じた印象(「新しい脅威・継続する脅威」「脅威の顕在化」「攻撃者の暗躍」「脅威対象の変化・変わらない脅威」)を述べました。

・Himawariの異常な暗号 または私は如何にして心配するのを止めて暗号を解読するようになったか
 講演者:SecureWorks Japan 株式会社 中津留 勇
 講演資料

APT10で使用されたHimawariの暗号化機能について詳細な解説が行われました。Himawariの設定と通信データの暗号化に利用される暗号化アルゴリズムは、FindCryptスクリプトを使ってDESであることが分かるものの標準のDESでは正しく復号できないものになっています。中津留氏の分析の結果、この暗号化方式は標準と異なる「異常なDES」となっており、一般的な値とは異なる値がSBox1, SBox8で使われること、また、処理途中でSubkeyをリセットするため8バイト目以降は入力した暗号鍵が使用されないことが明らかになりました。

さらに、今年1月に確認された新たな亜種Lavenderにおいても、設定と通信データの構造がHimawariと若干異なるものの、この異常なDESが引き続き使用されているとのことでした。

最後に、中津留氏の作成した復号スクリプト(Python)が紹介されました。これはファイル、設定データ、通信データのそれぞれを復号するもので、異常なDESについてはオープンソースのDES実装を元に作成されています。デモでは復号スクリプトが、Himawari、Lavenderのそれぞれの通信データを入力として、通信データを復号する様子が示されました。

・削除済みVSSスナップショットの復元
 講演者:株式会社インターネットイニシアティブ 小林 稔
 講演資料

VSS(Volume Shadow Copy Service)において、削除されたスナップショットにアクセスする手法の検討とそれを基にしたツールの実験結果が解説されました。VSSスナップショットは構成やメタ情報を保存するCatalog、Storeという2ファイルで構成されています。小林氏の調査の結果、VSSスナップショットを削除した場合、CatalogファイルからはStoreファイルへのインデックスなどの有効なデータが失われる一方、Storeファイル自体は一部のGUID部のみ変更されることが明らかになりました。そのため、Storeファイルを適切にカービングすることが出来れば、削除されたスナップショットの復元が可能となります。

この知見を基に特定のファイルを対象に小林氏が作成したツールvss_carverを実行すると、他の商用製品やフリーソフトウエアではほぼ対応出来なかった削除済みVSSスナップショットの復元が可能となりました。さらに本講演では、2種類のシナリオにおいて、それぞれ削除されたスナップショットを復元し、以前のファイルの取り出しを試みるデモが行われ、見事成功しました。

なお、Windows 8以降ではScopeSnapshots機能により、システム関連のファイルのみスナップショット対象となるため、他のファイルを対象とするにはレジストリ値の変更が必要であることが最後に共有されました。

vss_carver: https://github.com/mnrkbys/vss_carver

・USNジャーナル解析の追求
 講演者:株式会社 サイバーディフェンス研究所 山崎 輝
 講演資料

本講演ではNTFSのログであるUSNジャーナル($UsnJrnl)をフォレンジックに活用する方法が解説されました。USNジャーナルは、削除された場合でもデータがあったクラスタは解放されるだけでデータとしては無傷のため、カービングで多くのデータを復元できます。また、USNジャーナルはメモリやスワップファイルなど様々な場所に残るため、カービングする際はファイルシステム全域を対象にする方がより多くのデータを復元することが可能になります。

山崎氏の調査ではカービングの際に使用するシグネチャについて、レコード長が8の倍数であること、NTFSの仕様でファイル名の最大長が255文字であることを従来の固定値と合わせて利用すると精度が上がることが分かりました。この知見を用いてカービングを行うツールBulk Extractor with Record Carvingが紹介されました。

ログの量が膨大になりやすいUSNジャーナルの解析には時間がかかるという問題があります。その問題を解決するために山崎氏はUSN AnalyticsというUSNジャーナル解析ツールを開発しました。このツールでは、同一ファイルに対する一連の処理とみなせる連続するレコードを圧縮することでログの量を削減しています。また、Prefetchファイルを利用したプログラム実行履歴表示など、インディケータの発見や抽出に役立つ機能も備えています。デモでは、USNジャーナルを解析し、rar.exeファイルの作成時刻や変更時刻を解析する様子が披露されました。

Bulk Extractor with Record Carving: http://www.kazamiya.net/bulk_extractor-rec
USN Analytics: http://www.kazamiya.net/usn_analytics

終わりに
今回はJSAC 2018の講演内容のうち、午前に行われた4講演について紹介しました。次回の分析センターだよりでは引き続き、午後に行われた講演を紹介します。

分析センター 佐川 昭宏

≪ 前へ
トップに戻る
次へ ≫