JSAC2023 開催レポート~DAY 1~
JPCERT/CCは、2023年1月25日、26日にJSAC2023を開催しました。本カンファレンスは、日本国内のセキュリティアナリストの底上げを行うため、 国内のセキュリティアナリストが一堂に会し、インシデント分析・対応に関連する技術的な知見を共有することを目的に開催しています。今回が6回目の開催であり、オンラインとオフラインで参加可能なハイブリット形式で開催しました。講演については、2日間で12件の講演、2件のワークショップおよび、7件のLightning talkを実施しました。講演資料は、JSACのWebサイトで公開しています(一部非公開)。JPCERT/CC Eyesでは、本カンファレンスの様子を3回に分けて紹介します。
第1回は、DAY 1 Main Trackの講演についてです。
昨今の標的型ランサムウェア攻撃における正規ツールの悪用傾向とその分析/対策手法
講演者:トレンドマイクロ株式会社 山重 徹、中谷 吉宏、田中 啓介
山重氏、中谷氏、田中氏は、昨今の標的型ランサムウェアで悪用された一般のIT運用でも使われる可能性のある「一般運用目的に商用開発/販売されているツール」(リモート管理ツールやクラウド型ファイル共有ツール等)に焦点をあて、実際に悪用されたケースの紹介や、悪用された際に残る痕跡、当該ツールを悪用した攻撃に対する効果的な対策手法について解説しました。
実際に悪用された例として、リモート管理ツールであるAtera、Remote Utilities、Ngrok、AnyDeskやクラウド型ファイル共有ツールであるRCLONE、MEGA TOOLSが悪用された例について共有いただきました。
次に、当該ツールが攻撃に悪用された際に残る痕跡について解説いただきました。ツールごとに、被害にあった端末を調査する際に使用できるアーティファクトがあり、接続元の情報等を確認できることがわかりました。なお、本講演資料では、講演時に解説いただいたツール以外の痕跡に関する情報も記載されています。
最後に、「一般運用目的に商用開発/販売されているツール」が悪用されることへの対策について述べられました。通信先の制御を行うことが最も効果的な対策であり、また、アプリケーションの実行やインストールを制御し可視化を行うことも効果があるとお話しいただきました。
Catching the Big Phish: Earth Preta Targets Government, Educational, and Research Institutes Around the World
講演者:トレンドマイクロ株式会社 Nick Dai, Sunny W Lu, Vickie Su
Nick Dai氏、Sunny W Lu氏、Vickie Su氏は、日本を含む世界中の政府機関、教育機関、研究機関を標的としたスピアフィッシングメールによる攻撃を分析し、感染の流れやいくつかのTTPsに関して講演しました。
本攻撃の最初のステップでは、攻撃対象をマルウェアに感染させるために、スピアフィッシングメールを用いて、アーカイブファイルをダウンロードさせる手法が使用されていることが明らかになりました。本ステップで使用される下記の3つのマルウェアの機能、C2との通信に用いられるプロトコルや暗号化の手法について分析結果を共有いただきました。
- Trojan.Win32.PUBLOAD
- Trojan.Win32.TONEINS
- Backdoor.Win32.TONESHELL
情報を窃取するステップにおける権限昇格に関してWindowsのユーザーアカウント制御をバイパスするために使用される手法や、C2に関する情報についても明らかになりました。
情報を外部へ盗み出す手法としては、正規ツールを利用する手法やカスタマイズされたマルウェアを用いたものが確認されており、本講演では下記の2つのマルウェアに関して情報共有いただきました。
- HackTool.Win32.NUPAKAGE
- HackTool.Win32.ZPAKAGE
分析の結果、これらのマルウェアを実行する際には、パスコードが必要であることや、圧縮されたファイルのファイルフォーマットが明らかになりました。
Demystifying China’s Supply Chain Attack Targeting Financial Sector
講演者:CyCraft Shih-Min 'Minsky' Chan、Chung-Kuan 'Bletchley' Chen
Shih-Min 'Minsky' Chan氏、Chung-Kuan 'Bletchley' Chen氏は、台湾の金融機関をターゲットとして観測されたサイバー攻撃のなかで、下記の2つのサプライチェーン攻撃の調査結果について講演しました。
- Island Hopping Attack
- Vulnerability in Supplier’s Software
Island Hopping Attackは、サービスプロバイダーのサプライヤーや子会社、海外の拠点が侵害されたために発生したインシデントであると述べられました。共有いただいた事例では、ベンダーのVPNが利用され悪性のファイルが実行されたことや、台湾のほとんどの金融企業が使用しているソフトウェアシステム管理インタフェースのWebサイトサービスの脆弱性を攻撃されたことが判明したと述べられました。
Vulnerability in Supplier’s Softwareでは、多くの企業が使用しているサプライヤーソフトウェアの脆弱性をついた事例として、2つの事例に関して説明いただきました。1つ目の事例では、サプライヤーによって開発されたクレジットカードの管理システムが侵害されることで、クレジットカード情報が漏えいしたと述べられました。侵害の原因として、テストを行うサーバーを外部からアクセスできるようにしていた設定の不備によるものであると明らかになりました。2つ目の事例では、台湾の大きなサプライヤーが開発した証券取引のプラットフォームに脆弱性があり、この脆弱性が最初の侵入に使用されたと述べました。
最後に、金融機関のセキュリティの問題について、Shih-Min 'Minsky' Chan氏、Chung-Kuan 'Bletchley' Chen氏は指摘しており、パフォーマンスの面からEDRを重要なエンドポイントに入れることを行わなかったり、セキュリティ向上のためのシステムの変更をサプライヤーから断れることがあると述べました。また、金融機関によっては独自のサプライチェーンがあり、別のグループ会社から侵害される事例が存在することも明らかになりました。
JITHook - from .NET JIT Compilation Hooking to Its Packer / Unpacker
講演者:National Yang Ming Chiao Tung University & CyCraft Technology Shu-Ming Chang
Shu-Ming Chang氏は、JITHookの手法を用いて、JITPackerおよびJITUnpackerを実装し、2つのサンプルを用いて既存のUnpackerとの比較を行った結果について講演しました。JITHookとは、.NET Packerで使用される手法の一つで、JITコンパイラのcompileメソッドをフックする手法であると説明いただきました。
Shu-Ming Chang氏が実装したJITPackerでは、すべてのリソースのCILを保存し、0x87byteに変更すると述べられました。また、モジュール初期化子を追加し、JITHookの手法を用いて、compileメソッドをフックし、Packer compileメソッドのアドレス書き換え、Packer compileメソッド内で、CILを復元すると説明いただきました。
JITPackerへの解決策であるJITUnpackerでは、CLRHostingを使用し、compileメソッドをUnpacker compileメソッドにフックした上で、Packされたアセンブリを起動させます。UnpackされたILは、Unpacker CMによってUnpackinfoとして保存され、プロセス終了後に、Unpackされたアセンブリとして再構築されるとのことです。
本講演では、JITPackerの評価を行うために、2つのサンプルを使用して、既存のUnpackerとの比較を行った結果についても共有いただきました。2つのサンプルを下記のUnpackerを使用してUnpackした結果、JITUnpackerのみどちらのサンプルもUnpackが成功したと解説いただきました。
- De4dot
- .NETReactor
- Mandiant/JITM
- JITUnpacker
本講演で解説いただいた、JITPackerやJITUnpackerのソースコードは下記のURLで公開されています。
https://github.com/LJP-TW/JITHook
The Rule for Wild Mal-Gopher Families
講演者:NTTセキュリティ・ジャパン株式会社 野村 和也、平尾 早智澄
野村氏、平尾氏は、Golangマルウェアの分析を効率化するため、gimpfuzzyを実際のオペレーションや分析で使用することに焦点をあて、gimpfuzzyを用いた分類を可能とするYARAモジュールを紹介し、分析済みの検体を用いた精度評価の結果や、VirusTotalから取得した未解析の検体に対しても適用した結果および考察について講演しました。野村氏、平尾氏が実装したYARAモジュールは、gimpfuzzyによる検体の分類を簡単に行えるようにすることを目的としており、下記の2つを実装しています。
- Goモジュール: Golang製のPEバイナリを解析
- Fuzzyモジュール: Fuzzy Hashの類似度を計算
YARAモジュールを用いることで、gimpfuzzyの類似度を設定した閾値に基づき、検体の検索を行うことができます。
本講演では、マルウェアと判定した分類済みの検体を用いて、クラスタリングの妥当性および精度の評価について述べられました。評価方法としてV-measureを使用し、評価結果では、閾値が70から80の間で最も分類精度が良かったと共有いただきました。
最後にVirusTotalから取得した未解析の検体に対しても適用した結果について、4つの事例を説明いただきました。一つの事例では、悪性検体のクラスターにおいて、gimpFuzzy値のわずかな変化を検出して観測を行うことで、マルウェアの機能の追加も検出できることがあることがわかりました。また、VirusTotalに投稿されている検体は悪性のファイルのみとは限らず、正規ファイルの可能性がある検体においてもクラスターができることも述べられています。
Fighting to LODEINFO: Investigation for Continuous Cyberespionage Based on Open Source
講演者:株式会社エヌ・エフ・ラボラトリーズ 皆川 諒、雜賀 大輔、窪川 拓紀
皆川氏、窪川氏は、日本や台湾を標的としたマルウェアLODEINFOについて、2019年12月から観測された各バージョンのアップデート内容を紹介し、2022年度以降に観測されたLODEINFOの分析結果から得られたTTPsおよび攻撃者に関する考察について講演しました。
はじめに、本講演ではLODEINFOの2019年12月に観測されたv0.1.2から、2021年11月に観測されたv.0.5.6までのC2通信のデータフォーマットや機能、実行フローの変化に関して解説いただきました。
皆川氏、窪川氏は、LODEINFOはTTPsの変化が激しく、事後のIoCやシグネチャの情報を用いるだけでは、アップデートされたLODEINFOの脅威を補足できない可能性が高いと、推測しています。そこで、オープンソースの情報源を活用し、脅威を補足する手法について紹介いただきました。脅威情報の情報収集源として、下記のサービスがあげられ、各サービスで、どのように情報を収集するか解説いただきました。
- ANY.RUN
- Hybrid Analysis
- Virustotal
脅威情報の補足として、変更の少ないTTPsを探しYARAルールを用いてVirustotalからハンティングを行う手法を検討し、LODEINFOのv0.6.3の検体までを検出できたと共有いただきました。
続いて、2022年に観測されたLODEINFO v0.5.9からv0.6.5のC2サーバーの情報や環境情報を確認する機能の変更に加え、v0.6.3からは複数回の実行フローの変化に関する分析結果に関して明らかになりました。
攻撃グループの考察として、皆川氏、窪川氏はTTPsの変化から、APT10の攻撃事例に類似していると指摘しています。デコイファイルの表層情報を確認することで、APT10との関係について分析しています。また、LODEINFOのダイヤモンドモデルを作成し、Operation RestyLinkのキャンペーンと比較を行い、TTPs等の類似性が見られると述べました。
公開情報により攻撃動向の予測を行う新たな試みと調査手法の共有
講演者:株式会社マクニカ 瀬治山 豊
瀬治山氏は、公開情報から、昨今のインシデントの発生状況について分析を行い、日本企業の外部公開されているサーバーをShodan等のサービスを用いて観測を行い、管理状況について調査を行った結果および調査手法につい講演しました。また、攻撃傾向の変化についても述べました。
昨今のランサムウェアによるインシデントの発生状況について分析した結果、インシデントの発生件数に関しては、グローバル系企業および日系企業ともに2021年から急激に増加しており、各月で比較してもグローバル系企業および日系企業の発生件数は連動していることが示されました。また、日系企業に対する攻撃の発生する曜日や時間帯に関しても変化が見られることや、公開された外部のサーバーが起点となり発生したインシデントの割合は少なくないことが明らかになりました。
次に、外部公開されたサーバーの管理状況について調査を行った結果について共有いただきました。調査では、国別にRDP(3389/tcp)を外部に公開されている台数やWindows OSおよびCentOSのサポート切れに関する台数や減少率、複数のネットワーク製品に関して脆弱性が対処されているかを地域別および国別に示されました。調査の結果、日本を含むアジア地域の対処が遅いことが明らかになりました。
瀬治山氏は、近年、初期侵入の手法として外部公開されたサーバーが用いられており、また、被害が公表されるケースが増えている変化がみられると述べました。また、被害が公開されている企業や組織の外部サーバーを継続的に調査することで、ランサムウェアごとに侵入経路として用いられたサーバーの傾向を把握できる可能性に関して言及されました。
おわりに
今回はJSAC2023の1日目に行われた講演について紹介しました。次回のJPCERT/CC Eyesでは引き続き、2日目に行われた講演およびワークショップについて紹介します。
インシデントレスポンスグループ 寺本 健悟
