JSAC2023 開催レポート~DAY 2~
JSAC2023開催レポート~DAY2~
前回に引き続き、第2回は、DAY 2 Main Trackの講演についてです。
進化するGo言語製マルウェアとどう戦うか?: 解析能力向上に向けての実践的テクニック
講演者:株式会社FFRIセキュリティ 桑原 翼
講演資料(日本語)
講演資料(英語)
桑原氏は、近年増加傾向にあるGo言語製マルウェアの現状と問題点を提示し、解析する上での基礎的なテクニックから発展的なテクニックまで解説しました。
はじめに、Go言語製マルウェアは、記述が容易、クロスコンパイルなどの点から開発がしやすく、また複数プラットフォームを攻撃できる特徴があること、解析する際の問題点として、関数量が膨大であり、独自のデータ構造、呼び出し規約を持つ点が挙げられると説明いただきました。なお、解析のためのツールは、Go言語のバージョンアップにより使用できなくなる場合もあるとも説明されました。
次に、解析フローについて、主に情報窃取処理、自動起動設定、C2との通信によるメイン処理について解説した後、既存検体との比較による解析の効率化方法を説明いただきました。特に解析の効率化については、Go言語のバイナリではソースコードのファイル名や行番号が取得できるため、差分を比較することで詳細を把握できるようです。
最後に、バージョンアップによりツールが上手く動作できなくなった場合の発展的解析手法について述べられました。Go言語製バイナリ内のメタデータとそれを利用するツールの改造方法、Go言語のバージョンアップへの対応、難読化された検体への対策について解説いただきました。
なお、本講演で紹介したツール、スクリプトは下記のURLで公開されています。
https://github.com/mooncat-greenpy/Ghidra_GolangAnalyzerExtension
https://github.com/FFRI/JSAC2023-GolangMalwareAnalysis
「アクティブ・サイバー・ディフェンス」事始め ~攻撃者プロファイリングの意義について~
講演者:一般社団法人JPCERTコーディネーションセンター 佐々木 勇人
講演資料(日本語)
講演資料(英語)
佐々木は、サイバーセキュリティにおけるアクティブ・サイバー・ディフェンス(積極的サイバー防御)について、具体的なオペレーション方法に焦点を当て講演しました。
はじめに、アクティブ・サイバー・ディフェンスの用語および概念に関する論点整理をした上で、特に、APTグループをはじめとした攻撃グループのプロファイリング(アトリビューションや攻撃傾向の分析)がアクティブ・サイバー・ディフェンスにおいて重要であることを述べられました。
次に、定義が定まっていないアクティブ・サイバー・ディフェンスの議論に、攻撃活動を追跡するアナリストが関わるであろうポイントについて国内外のケーススタディや先行研究をもとにポイントを解説いただきました。
- 用語/概念に関する論点整理
- 攻撃者に「コストを課す」アプローチ
- パブリックアトリビューションの効果と課題
- 通信遮断オペレーションの効果と課題
- “攻撃的”オペレーションの効果と課題
- 脅威ごとに効果的な対抗手段の選択方法
- 情報共有の意義の再認識/再定義
最後に、各ポイントに共有する攻撃者のプロファイリングについて、積極的なオペレーションによる攻撃側からの報復や妨害等の課題や評価者の決定等、アナリストの活動が重要であることに言及されていました。
Localization of Ransomware, New Change or Temporary Phenomenon?
講演者:AhnLab, Inc. CHA Minseok
講演資料(英語)
CHA Minseok(Jacky Cha, 車珉錫)氏は、特定の地域にむけてローカライズされたランサムウェアの調査結果について講演しました。
まず昨今のランサムウェアの動向について説明し、その中で特定の地域では活動しない、また特定の地域でよく利用されるアンチマルウェアをバイパスするようなローカライズされたランサムウェアが存在することに言及されていました。
次に韓国で使用されている標的型ランサムウェアの特徴について解説いただきました。最初に英語や、機械翻訳された韓国語でのメールであり、被害に遭うことは少なかったが、後に完璧な韓国語や、特定の企業を狙った攻撃などが発生するようになったと述べられていました。
最後に紹介したランサムウェアは他国に被害を拡大させる可能性があること、攻撃経路やランサムウェアの詳細情報を共有することの重要性について説明いただきました。
Track Down Stealth Fileless Injection-based Nginx Backdoor in the Attack
講演者:TeamT5, Inc. Peter Syu
講演資料(英語)
Peter氏は、ファイルレス・インジェクションを利用した新しいNginxバックドア攻撃について講演しました。
まず、Nginxバックドアの機能の概要として、メモリ破損の脆弱性を突く、ログ消去、クーロンインジェクションがあり、またターゲットとなるNginxの概要として、リバースプロキシやロードバランサーなさまざまな用途に使える HTTP サーバーであることを説明いただきました。
次にNginxバックドアの機能の詳細について、ファイルレスインジェクション技術として特定の接続に対してのフィルタリングやログ回避機能(NginxStealth)、バックドア通信(NginxSpy)があり、メモリからライブラリを読み込ませるリフレクティブコードインジェクション手法や既存のNginxのバックドアと比較して、コンフィグを修正して悪意のあるモジュールを導入する等の機能があることを、デモを交えながら解説いただきました。
最後に紹介したバックドアの機能を検出する方法として、メモリマップを確認することでインジェクションの有無を確認する方法やチェックツールを紹介いただきました。
なお、チェックツールについては下記URLにて公開いただいています。
https://github.com/p25072004/NginxCheck
Invitation to Secret Event Uncovering campaigns targeting East Asia by Earth Yako
講演者:トレンドマイクロ株式会社 原 弘明、庄子 正洋
講演資料(英語)
原氏と庄子氏は、Operation RestyLinkのような日本を狙った標的型攻撃を行うEarth Yakoと呼ばれる攻撃者グループの詳細とその帰属について講演しました。
まず、Earth Yakoの攻撃活動として、2022年1月以降は日本や台湾の学術機関やシンクタンク、およびその関係組織が狙われており、初期侵入手法としてスピアフィッシングメールが使われていると説明いただきました。
次に、攻撃活動の詳細として、ファイルレスでDLLを実行するローダーであるMIRRORKEYやドロッパーとして機能するPULINK、Dropbox APIを悪用するTRANSBOX、SHELLBOXといったマルウェアなどを解説いただきました。
最後に、Earth Yakoの帰属について、中国が関与しているとされる攻撃グループAPT10が開発したコードや、ロシアに関連するとされる攻撃グループAPT29と同様に初期侵入手法を用いることから、これらの組織に帰属している可能性を言及されていました。また、扱うマルウェアや攻撃手法、ターゲットは日々更新され、新しいものになっていくため、情報共有の重要性について述べられていました。
コード署名変革の前夜
講演者:トレンドマイクロ株式会社 木村 仁美
講演資料(日本語)
講演資料(英語)
木村氏は、有効なコード署名付きドライバーの悪用が2022年は多く見受けられたことを踏まえ、コード署名の問題点、今後の取り組みについて講演しました。
まず、コード署名の悪用として、BYOVD(Bring Your Own Vulnerable Driver)や、攻撃者によるなりすまし、正規の証明書発行などのシナリオを紹介しておりました。
次に、紹介したシナリオについて、正規のモジュールが悪用された場合、秘密鍵は危殆化していないため証明書を失効することが難しい点や、攻撃者がCAから直接証明書を発行するなど証明書発行プロセス自体の問題点について言及されていました。
最後にコード署名の問題点について、コード署名証明書の発行プロセスへのCTの導入、コード署名証明書の発行におけるハードウェアトークンの必須化など解決策を提示いただきました。
Memory Forensics with VolWeb
講演者:ForensicXlab Félix Guyard
Félix氏は、デジタル・フォレンジックにおけるメモリフォレンジックを効率化させるVolWebというツールについて紹介しました。
まず、メモリフォレンジックのメリットとして、攻撃者のプロファイリングやユーザーの活動について明らかにできる点、デメリットとして、RAMは揮発性のため、アーティファクトが失われる可能性がある点を挙げられていました。
その上で、メモリフォレンジックを効率化させるツールとして、Volatility3をベースとするVolWebの活用方法についてデモをしていただきました。VolWebは、Windowsのメモリダンプからアーティファクトを自動的に分析し、結果を表示する機能があり、アナリストごとにアカウントを持つことで共同作業を可能にしています。また、表示された結果はコピーやダウンロードが可能なため、レポート作成に役立てることができます。
最後に、これからも引き続きVolWebの開発を進めていくことを述べられていました。
なお、本講演で紹介したツール、より詳細な活用方法を知りたい場合は下記URLにて公開されています。
https://github.com/k1nd0ne/VolWeb
https://www.forensicxlab.com/
複数拠点のハニーポットを活用した新たな脅威の検出と分析手法の共有
講演者:株式会社ラック 芳村 涼介
講演資料(日本語)
芳村氏は、700以上のハニーポットから出力されるログデータを分析することで得られた知見、また多くのハニーポットを利用することで従来のハニーポット分析との違いについて講演しました。
はじめに、多くのハニーポットからのログデータを分析するメリットとして、多様な攻撃の観測や侵入後の挙動、新たな脅威へ敏感に対応できる点を挙げられていました。
次に、分析パターンの新規IPやトラフィックを監視し、トラフィックの異常値からMiraiの亜種であるRapperBotの攻撃を発見できた事例について説明いただきました。
最後に、紹介した事例のように多くのハニーポットを活用することで新たな脅威をいち早く発見し、情報発信を進めていくことを述べられていました。
なお、日々ハニーポットで観測された情報は、下記URLにて公開いただいています。
https://github.com/LAC-Japan/iocs/
Brief History of MustangPanda and its PlugX Evolution
講演者:TeamT5, Inc. Still Hsu
講演資料(英語)
Still氏は、Polaris(別名:MustangPanda)と呼ばれる攻撃者グループがTTP(Tactics,Techniques,and Procedures)を進化させ続けていることについて講演しました。
はじめに、Polarisは2011年から活動し、ミャンマーやモンゴル、日本、フィリピン、シンガポールなどのアジア諸国をターゲットとしており、PlugXをよく使用する傾向があり、またターゲットにあわせてPlugXの亜種を開発していることを明らかにしました。
次に、調査している中で、2019年から2021年の間は、アジアでのサンプルが多く、2022年はヨーロッパでのサンプルが増えたように感じられたことに言及されていました。また、新しいペイロードのエンコード方式や難読化手法が使用されている点を挙げられていました。
最後に、ヨーロッパ向けにMiniPlug、アジア向けにPlugDiskやPlugX Fast、あるいはNoFiveと呼ばれるマルウェアの開発など現在もさまざまなマルウェアを用いて、複数の国や業界を標的とした活動が行われていることを説明いただきました。
APT41関連のinfoOpsにおける最新の傾向・考察
講演者:東京家政大学 吉田 美咲
講演資料(日本語)
講演資料(英語)
吉田氏は、近年APT41は、米国支援のグループであるという主張を行うキャンペーンがあるということからTwitterを中心にSNSにある約500以上の投稿を調査し、最新の傾向と考察について講演しました。
はじめに、Dragonbridgeというグループが、APT41は中国支援下ではく、米国支援下のアクターであることを発表し、中国関連APTについて調査する集団であるIntrusion Truthになりすましていたことを踏まえ、APT41について2022年10月以降の各種SNSの投稿を調査したと述べられていました。
調査を行う中で、アメリカを誹謗するような書き込みや、中国を擁護するような書き込みが多く、ユーザーネームとアカウントは、英数字がランダムに並んでいるもの、言語は主に中国語と英語が使われていることはMandiantが出した記事と一致しており、また、新たな発見として、Intrusion Truthやアメリカ人以外に、韓国人のアカウントやキリル文字を使用したアカウントでAPT41関連の投稿を発見でき、Twitter以外のFacebook、Instagram、Livejournal等のSNSでもAPT41関連の投稿を確認できたことを明らかにしていました。
最後に、APT41関連の投稿が多く見られるようになった原因として、APT41についてAIに学習させたいという意図があるのか、またbotが使用されている可能性についても言及されていました。
Azure AD への不正サインインとリアルタイム遮断の考察
講演者:SBテクノロジー株式会社 安藤 翔一
講演資料(日本語)
安藤氏は、現在多くの組織でインフラとして利用されているMicrosoft 365 のクラウドサービスにおいて、Azure ADサインインログから見えるアカウント不正利用元IPアドレスと短時間のアカウント侵害による被害事例について講演しました。
まず、Microsoft 365 の利用時には、インフラからアプリケーションに対する脅威はMicrosoft社が保護してくれるが、アカウントやデータはユーザー自身で保護し、脅威に備える必要があることを述べられていました。
次に、囮用のアカウントを使ってアクセスしてきたIPアドレスを分析し、IPアドレスをベースとしたブロックリストでは大きな保護効果が見込めないが、VPNサービスのIPアドレスを遮断することによって、国内では6割、国外も含めると3割の不正利用を防げる可能性があることを明らかにしました。
最後に短時間のアカウント侵害による被害事例として、スパムメールを大量に送信された場合、アカウント停止、パスワード変更、セッションリセット、メールプロトコルの制限を実施したとしてもメール送信処理は止められないことを説明されていました。
Digging for Coper: Unseen findings of infamous Android malware.
講演者:Google Inc. Fernando Diaz
講演資料(英語)
Fernando氏は、銀行と仮想通貨取引所の両方を標的とするAndroid用のバンキング型TrojanであるCoperの解析結果について講演しました。
CoperはリモートC&Cサーバーを使ってコントロールが可能である点、VNCを使用して被害者のデバイスを監視、制御でき、またその機能はリモートからオン/オフをできる点、キーロガー機能と組みあわせて使用されることで攻撃者がキー情報を抽出することができる点等、Coperの持つ機能について説明いただきました。
また、解析結果から標的の銀行アプリケーションからのプッシュ通知を非表示にして、不正取引についての通知や警告メッセージを表示できないようにする点や、C&Cと行う通信はHTTPS経由で行われ、送信データはgzipで圧縮されている点、実際のペイロードは、埋め込みリソースに隠されており、アプリ起動時にRC4を使用して復号される点等を明らかにされていました。
おわりに
今回はJSAC2023の2日目に行われた講演について紹介しました。次回のJPCERT/CC Eyesでは引き続き、2日目に行われたワークショップについて紹介します。
インシデントレスポンスグループ 中村 恭脩