Japan Security Analyst Conference 2019開催レポート~後編~
Japan Security Analyst Conference 2019の講演の様子を、前編に引き続きお伝えいたします。
会場の様子を撮影した写真をFlickrで公開いたしましたので、こちらもぜひご覧ください。
仮想通貨を要求するセクストーションスパム
講演者: 株式会社カスペルスキー 大沼 千亜希
セクストーションスパムは、「ポルノを視聴しているところを録画したので、情報を拡散されたくなかったらビットコインを支払え」といった、性的な脅迫によって金銭を脅し取ることを目的としたスパムメールです。大沼氏は、2018年から多数観測されるようになったセクストーションスパムを収集し、分析した結果について紹介されました。
大沼氏はセクストーションスパムは攻撃者にとって、高度なマルウエアを使わなくても、メールを送信するだけで収益を上げられるといったメリットがある点について述べました。セクストーションスパムは2018年7月以降多く観測されており、メール内容の日本語化や、実際に、どこかのサービスから漏えいしたパスワードをメール本文に記載したり、PCをハッキングしたように見せるために、送信元を受信者と同じメールアドレスに偽装したりするなど、手口を高度化しながら継続的に送信されていることが紹介されました。
大沼氏がスパムメールに記載されているビットコインアドレスを収集し、アドレスに振り込まれた金額を調査したところ、計算時のレートでは、日本円でおよそ2,890万円に相当することが分かり、想像以上の金額に目を疑った様子を語りました。
セクストーションスパムを検知する手段として、大沼氏は攻撃者のビットコインアドレスをシグネチャとすることを提案し、検証の結果では、サンプルの70%以上を検知できたことを紹介しました。
APT10による ANEL を利用した攻撃手法とその詳細解析
講演者: SecureWorks Japan 株式会社 玉田 清貴
APT10と呼ばれる攻撃グループが標的型攻撃で使用するとされている、マルウエアANELを詳細に分析した結果について解説されました。
ANELは、日本国内における標的型攻撃でのみ確認されており、感染の経路としてスピアフィッシングメールの添付ファイルが使われていると玉田氏は紹介しました。また、スピアフィッシングメールは、特定のフリーメールを使用して送信され、国際情勢に関する内容が書かれていたり、添付ファイルのパスワードを記載したメールが別送されてきたりするなどの特徴が見られると述べました。
玉田氏の調査によると、ANELはバージョンアップが頻繁に行われています。古いバージョンが使用された攻撃では、JavaScriptで書かれたオープンソースの遠隔操作ツールKoadicを経由してANELがダウンロード、実行されていたという特徴がありました。また、新しいバージョンのANELでは、コードの難読化手法や、通信の暗号化に使用されるアルゴリズムなどに変化がありました。玉田氏は、ANELの分析回避機能や、アンパックの方法、暗号化された通信の復号方法などを詳細に解説し、ANELのアンパックの解説では、玉田氏が作成したPythonスクリプトを使用したアンパックの実演を披露しました。
質疑応答では、難読化されたコードを分析する方法について質問が上がり、玉田氏は分析ツールIDA Proの公開されている難読化解除プラグインにはうまく動かないものがあるため、古いバージョンのコードと見比べていると回答しました。また、感染端末を効率よく見つける方法について質問を受け、ANELはHTTPの通信を行うため、ネットワークの挙動を見ることを挙げました。
公開サーバを狙った仮想通貨の採掘を強要する攻撃について
講演者: 株式会社ラック 西部 修明
西部氏は講演の動機として、仮想通貨採掘の強要に関して、クライアント側を狙ったものは知られているが、サーバ側を狙ったものはあまり知られていない点を挙げ、公開サーバを悪用した仮想通貨採掘について調査した結果を紹介されました。
従来の金銭目的の攻撃では、例えば個人情報を盗むにはデータベースサーバを攻撃し、さらに盗んだ情報を現金化するためには情報を売却する必要がありました。仮想通貨の採掘は、サーバの種類によらず計算機資源があれば直接収益につながり、また、採掘の報酬が振り込まれるウォレットアドレスは匿名性があるため、攻撃者にとって都合がよいことを西部氏は解説しました。また、公開サーバの脆弱性を悪用して仮想通貨採掘を強要させる攻撃は2017年4月ごろから増加しており、攻撃者の数や悪用される脆弱性、攻撃手法の増加により、攻撃の収束が見られない状況であると語りました。
西部氏は、公開サーバを悪用した仮想通貨採掘には、マイニングプロキシ型と直接参加型があり、それぞれ攻撃者にとって一長一短あることを紹介しました。マイニングプロキシ型は、被害サーバの採掘結果を、攻撃者が用意したプロキシサーバに集めて採掘プールに送信する仕組みとなっており、インフラを用意する必要があるが匿名性が高く、採掘プールによるアカウント停止措置の効果が薄いという特徴があります。また、直接参加型では、被害サーバがそれぞれ採掘結果を採掘プールに送信し、インフラが不要だがアカウント停止が有効という特徴があります。
西部氏が攻撃者に紐づくウォレットアドレスの収入の変化を観測したところ、公開サーバの攻撃に使用できるような脆弱性の実証コード(PoCコード)が、公開される前後で収入が増加するものがあることが確認され、脆弱性の影響度を測るのに攻撃者のウォレットアドレスが活用できるかもしれないと提案しました。
C&C 完全に理解した
標的型攻撃に使用されたマルウェア xxmm から学ぶ、HTTPを用いたコマンド&コントロール実装
講演者: SecureWorks Japan 株式会社 中津留 勇
国内を標的とした攻撃で使用された、遠隔操作ツールxxmmのコマンド&コントロールの仕組みについて解説されました。xxmmは、TickやBronze Butlerなどの名称で呼ばれる攻撃グループが使用するとされています。
講演のモチベーションとして、今どきのC&Cサーバの動きを紹介することで、インシデントレスポンスの担当者や、疑似攻撃を行うレッドチームなどにも役に立つのではないか、という考えがあると中津留氏は語りました。
xxmmクライアントとC&Cサーバとの間では、RSAの鍵交換が行われます。クライアント-サーバ間の通信はHTTPで行われ、サーバからの命令に応じてクライアントが命令を実行し、結果をサーバに送信しますが、クライアントはRC4のワンタイムキーを生成してサーバに送信するペイロードを暗号化するとともに、鍵交換で入手したサーバの公開鍵でRC4の鍵を暗号化してペイロードに含め、サーバに送信します。C&Cサーバ側では、RC4の鍵をサーバの秘密鍵で復号し、復号したRC4の鍵を使用してペイロードを復号する必要があります。このようなxxmmの通信の暗号化の仕組みや、通信に使用されるHTTPパラメータ、通信のペイロードの構造、遠隔操作のコマンドなどについて、中津留氏が詳細を解説しました。
中津留氏はxxmmの分析によって挙動を理解した結果から、xxmmクライアントに命令を送るC&Cサーバの機能を再現した簡易的なプログラムを実装し、プログラムからxxmmのクライアントをコントロールできることを実証しました。
終わりに
JSAC2019の講演募集(CFP)18件のうち、国内からの応募は11件、海外からの応募は7件でした。国内カンファレンスということで、やはり国内からの応募が多いという結果でしたが、それでも海外からの応募の割合は3分の1超を占め、国内に負けない積極的な応募が寄せられたといえると思います。次回がありました際には、国内セキュリティアナリストの皆様から、より積極的な応募が寄せられることを期待いたします。もちろん、海外からの応募もお待ちしております。
閉会挨拶にてJPCERT/CC専務理事の歌代は、「セキュリティアナリストたちは、攻撃の被害を最小限にするために“創意工夫をする”ハッカーである」と語り、さらに創意工夫することを期待しました。JSACがセキュリティの創意工夫を共有できるコミュニティとして、皆様の参加によって今後とも発展していければ幸いです。
JSAC2019にご参加いただきました皆様、また、開催レポートをご覧いただきました読者の皆様にお礼申し上げます。
