JPCERT/CC Eyes

Japan Security Analyst Conference 2020(JSAC2020)の講演の様子を、前編に引き続きお伝えいたします。

日本を狙うばらまきメールキャンペーンの脅威動向分析と対策

講演者: JPCERT/CC 佐條 研、株式会社みずほフィナンシャルグループ 武田 康博

講演資料(日本語)
講演資料(英語)
講演動画

有志のコミュニティである「ばらまきメール回収の会」に所属する両氏は、マルウエアへの感染を目的とした日本を狙うばらまきメールのうち、主にマルウエアUrsnifのキャンペーンの調査結果について紹介しました。

Ursnifはバンキングトロイの一種で、インターネットバンキングなどのアカウントを窃取するマルウエアです。武田氏は、2016年から2019年までの日本を狙うUrsnifのキャンペーンを分析した結果、攻撃手法の特徴や標的とする金融機関の違いなどから、2つの攻撃グループが存在すると述べました。また、2つの攻撃グループの中でも、メール送信、添付ファイル作成、マルウエア製作・利用、ドメイン取得といった各役割が分担されているのではないかと語りました。

さらに、同会では、Ursnifのキャンペーンの調査結果を基に、注意喚起やDGAドメインの先行取得などのアクティブディフェンスを実施し、1つの攻撃グループの日本向けばらまきメールを休止させることに成功したと佐條氏は述べました。

最後に、ばらまきメールの対策として、

• メールセキュリティ製品へのIoC適用
• プロキシによる対策

が有効であると紹介しました。

自作ツールを使用したMac Forensicsの調査効率化

講演者: 株式会社リクルートテクノロジーズ 川崎 隆哉

講演資料(日本語)
講演動画

川崎氏は、macOSのフォレンジック調査の簡略化・効率化を目的として開発した3つのGUIツール(MACOSFILE TRIAGE TOOL、APFS IMAGE MOUNTER、MAC_RIPPER)について紹介しました。

各ツールについて、デモを交えながら次のようなツールであると説明しました。

MACOSFILE TRIAGE TOOL

ディレクトリ構造を維持したままアーティファクトをファイルとして取得するツール

APFS IMAGE MOUNTER

他の商用製品などで取得したAPFSのコンテナを含むE01イメージをmacOS上にマウントするツール

MAC_RIPPER

MACOSFILE TRIAGE TOOLなどで取得した証跡から、アーティファクトの情報やログ情報をパースするツール

macOSのフォレンジックツールの中には、Windows OSのフォレンジックにおけるKaniregのようなエントリーツールが存在しないと川崎氏は述べました。そのため、本講演で紹介されたツールは、手軽に調査が行える点を重視して、すべてGUIツールとして開発されています。また、既存のオープンソースツールであるmac_aptと組み合わせて使用することを意識していると述べました。

続いて、MITRE ATT&CKのInitial Access、Execution、Persistence、それぞれのフェーズにおけるmacOSフォレンジック調査の観点を紹介し、前述した各ツールを活用すると、どのようにデータが出力されるか説明しました。

今後の展開として、不正・犯罪捜査に役立つような機能やタイムラインを作成する機能などの拡張を行っていくと述べました。

本講演で紹介されたツールはGitHubにて公開予定です。

GitHub Recruit-CSIRT
https://github.com/Recruit-CSIRT

macOS用アーティファクト収集ツールと簡易マルウェア解析サンドボックスの実装と利用方法

講演者: 株式会社インターネットイニシアティブ 小林 稔

講演資料(日本語)
講演動画

JSAC2018以来2回目の登壇となった小林氏は、3つのmacOS用CLIツール(macOS Artifact Collector、Norimaci、bgiparser)について、デモを交えながら紹介しました。

各ツールについて、次のようなツールであると説明しました。

macOS Artifact Collector

アーティファクトをファイル、または、DMG形式で収集するツール

Norimaci

簡易マルウエア解析サンドボックス

bgiparser

ユーザログイン時に起動されるファイルを列挙するツール

小林氏は、はじめにmacOS Artifact Collectorについて説明しました。既存の解析・収集ツールは、様々なアーティファクトのパーサをパッケージングした総合解析ツールが多く、パーサのバグなどで解析が停止した場合、後の作業に遅れが生じるため、アーティファクトの収集と解析はプロセスを分けるべきであると主張しました。そのため、macOS Artifact Collectorはアーティファクト収集専用のツールとして開発したと語りました。また、既存のツールが対応していないバックアップからのアーティファクト収集や拡張属性の保持に対応していると解説しました。デモでは、macOS Artifact Collectorと既存のアーティファクト解析ツールであるAutoMacTCとの連携方法について説明しました。

続いて、Norimaciについて説明しました。既存のmacOS向けのオープンソースのサンドボックスはいくつか存在するものの、メンテナンスが行われておらず最新のmacOSの解析ができない問題点があると述べました。Norimaciは、Windows用のマルウエア解析サンドボックスNoribenを参考に、メンテナンスコストを抑えた構成で開発している説明しました。

最後にbgiparserについて説明しました。macOS10.13 HighSierra以降ではbackgrounditems.btmにユーザログイン時に実行するアプリケーションの情報が保存されており、その情報をパースするツールであると紹介しました。

本講演で紹介されたツールはGitHubで公開されています。

macOS Artifact Collector
https://github.com/mnrkbys/macosac

Norimaci
https://github.com/mnrkbys/norimaci

bgiparser
https://github.com/mnrkbys/bgiparser

An Overhead View of the Royal Road

講演者: NTTセキュリティ・ジャパン株式会社 小池 倫太郎、株式会社サイバーディフェンス研究所 中島 将太

講演資料(日本語)
講演動画

JSACでの登壇が3回目となった両氏は、攻撃ツールRoyal Road RTF Weaponizer(以下、Royal Roadと略す)を使用する標的型攻撃グループと各グループの攻撃事例について解説しました。

Royal Roadで作成されたRTFが開かれると、8.tというファイルを作成し、Microsoft Officeの数式エディタの脆弱性を悪用してシェルコードを実行後、8.tのデコードやマルウエアの実行、DLLサイドローディングなどを行うと説明しました。シェルコードによって実行される内容は攻撃グループごとに異なると述べました。

複数のアトリビューション要素を用いてRoyal Roadを使用する攻撃グループを以下のように推定し、それぞれの攻撃グループがRoyal Roadを用いた攻撃事例を紹介しました。

• Tick
• Conimes
• Periscope
• Trident
• TA428
• Tonto
• Rancor

続いて、これらの攻撃グループ同士の結びつきについて、8.tのエンコード方法やRTFがドロップするファイル名などから以下の表1のように分類されると紹介しました。

また、Royal Roadを使用する攻撃グループではありませんが、以下の攻撃グループも似た特徴を持つRTFファイルを用いると紹介しました。

• Mustang Panda
• SideWinder
• Winnti

最後に、RTFファイルの解析結果(IOC)と解析した際に用いたツールを紹介しました。

IOC
https://nao-sec.org/jsac2020_ioc.html

rr_decoder
https://github.com/nao-sec/rr_decoder

Yara Rules
https://github.com/nao-sec/yara_rules

おわりに

JSAC2020の講演応募(CFP)提出数は、1次募集が17件、2次募集が5件の計22件で、昨年から4件増加しました。講演テーマ別の内訳は表2の通りで、マルウエア関連の応募が最も多く、フォレンジック関連の応募が最も少ない結果となりました。なお、複数のテーマに該当するCFPがあったため、合計がCFP提出数の22件よりも多くなっています。

採択されなかったCFPの中にも興味深いものがいくつもあり、JSACが技術情報共有の場として注目されつつあると感じました。今後も皆様のご協力によってJSACがさらに発展していければ幸いです。

JSAC2020の参加者の皆様、本レポートをご覧いただきました皆様にこの場を借りてお礼申し上げます。

インシデントレスポンスグループ 田中 信太郎