Japan Security Analyst Conference 2019開催レポート~前編~
JPCERT/CCは、2019年1月18日に御茶ノ水ソラシティカンファレンスセンターにて Japan Security Analyst Conference 2019 (JSAC2019)を開催しました。本カンファレンスは、日々セキュリティインシデントに対応する現場のセキュリティアナリストを対象とし、高度化するサイバー攻撃に対抗するための技術情報を共有することを目的に開催しております。今回が2回目の開催であり、291名の方々にご参加いただきました。 本カンファレンスでは、講演募集(CFP)に応募いただいた18件の中から8件を採択し、講演いただきました。採択した8件の中には、JSACとして初となる海外の2組の方にご参加いただき、講演いただきました。講演資料はJPCERT/CC の Webサイト で公開しています(一部非公開)。JPCERT/CC Eyesではカンファレンスの様子を2回に分けて紹介します。
オープニングトーク ~2018年のインシデントを振り返る~
講演者: JPCERT/CC インシデントレスポンスグループ 椎木 孝斉
オープニングトークとして、JPCERT/CC の視点から2018年のインシデントについて、標的型攻撃、ばらまき系攻撃という側面で講演しました。
標的型攻撃としては、Office365に対する攻撃やGithubを攻撃インフラとして使用したインシデントが確認されました。マルウエアとしては、2017年に引き続きRedLeavesやTSCookieが使用した攻撃を確認し、また、新たにマルチプラットフォームに対応したマルウエアWellmessを確認しました。
ばらまき系攻撃としては、CoinMinerのスクリプトが埋め込まれたサイト改ざんや、日本を標的にしたマルウエア添付メールでのShiotob、Ursnifといったバンキングトロイを感染される攻撃を確認しました。また、sagawa.apkといったAndroidマルウエアも多くみられました。
こういった、クラウドサービスを使用した攻撃やマルチプラットフォームのマルウエアなど、分析者として技術を吸収し、柔軟に対応していく必要があることを述べました。
週末なにしてますか? 忙しいですか? DbDを解析してもらっていいですか?
講演者: 日本電気株式会社 小池 倫太郎、株式会社サイバーディフェンス研究所 中島 将太
前回に引き続き2回目のJSACでの登壇となった両氏は、Drive-by Download攻撃について、2017年の状況を踏まえて、2018年の観測結果と傾向分析について解説されました。
2018年の攻撃キャンペーンは、Seamless、HookAdsが多く存在し、BlackTDSといった新たな攻撃キャンペーンも確認されました。使用されるExploit Kitとしては、2017年に多く使用されていたRIG Exploit Kitが2018年には衰退し、GrandSoft Exploit KitやUnderminer Exploit Kitなどが活発になったことが明らかになりました。また、Exploit Kitによって使用される脆弱性について、CVE-2018-4878やCVE-2018-8174などのFlash、VBScriptの脆弱性を悪用した攻撃が追加されているとのことでした。脆弱性を悪用した際には、マルウエアをダウンロードし、実行するだけのシェルコードでしたが、2018年6月以降のシェルコードは、暗号化されたマルウエアをダウンロードし、デコード後実行するといった変化が明らかになりました。
最後に、Exploit KitからドロップされるGandCrabについて、表示する脅迫文の言語と表示のされ方について、各バージョンの違いを解説されました。
[非公開] A lesson that should be learned from the cyber-attack in Korea
講演者: AhnLab CHA Minseok (Jacky)、AhnLab LEE Myeong-Su
韓国で開催された国際スポーツイベントで発生したサイバー攻撃について、どのような攻撃であったのかについて解説されました。この講演は非公開のため詳細は割愛しますが、ダウンローダーとしてPowerShellスクリプトが使用されたことや、Active Directoryの管理者権限を持つユーザーが使用され、 Lateral Movement が行われたことなどが紹介されました。
最後に、サイバー攻撃への対策として、教育訓練、マルウエアやC&Cサーバ等のインディケータ情報の共有、ハッキングされた際の切り戻しできるようなシステム構築の重要性について提案されました。また、マルウエアと闘うために協力していきましょうというメッセージが伝えられました。
|
|
[非公開] Deep Dive Into The Cyber Enemy : Various Case Study
講演者: Trusted Third Party Agency 朴文範 (Park Moonbeom)
あるdark countryのサイバー攻撃活動について、組織内グループ毎の攻撃の目的や手法について紹介されました。特徴的なWebシェルやHWPのゼロデイ脆弱性を悪用した攻撃、PMS(パッチ管理システム)を汚染した攻撃等、興味深い内容でした。
なお、この講演は非公開のため詳細は割愛します。
セキュリティログ分析のフィールドはエンドポイントへ ~Windows深層における攻防戦記~
講演者: NTTセキュリティ・ジャパン株式会社 林 匠悟
EDRログ分析から判明した攻撃事例の紹介と、カスタムシグネチャによる検知事例について紹介されました。
EDRログ分析から判明した攻撃事例として、Taidoor、ANELなどの標的型攻撃に使用されるマルウエアについて、プロセスの流れの中でcertutilやInstallUtilといったWindows標準のコマンド等を使用していることが明らかになりました。林氏は、マルウエアがWindows標準のコマンドを使用した挙動をEDRの検知に使えるのではないか、と考えました。そこで、ANELに注目し、実行時に使用されるcertutilの実行に対してカスタムシグネチャを作成し、実際にEDRログを監視されているとのことです。
最後に、エンドポイントログの監視・分析の必要性と、攻撃者はWindows標準コマンドを使用することが多くあることが述べられました。攻撃者は攻撃手法を変えてくることから、我々はWindows標準コマンドを理解し、攻撃に利用されるコマンドを先読みすること、さらに、カスタムシグネチャを作成し対抗することの必要性について主張されました。
終わりに
今回はJSAC 2019の講演内容のうち、前半に行われた4講演について紹介しました。次回のJPCERT/CC Eyesでは引き続き、午後に行われた講演を紹介します。
