JSAC2024 開催レポート~DAY 1~

JPCERT/CC は、2024年1月25日、26日にJSAC2024を開催しました。 本カンファレンスは、セキュリティアナリストの底上げを行うため、 セキュリティアナリストが一堂に会し、インシデント分析・対応に関連する技術的な知見を共有することを目的に開催しています。今回が7回目となるJSACですが、前年度と異なりオフライン形式のみで開催しました。講演については、2日間で17件の講演、3件のワークショップおよび、6件のLightning talkを実施しました。 講演資料は、JSACのWebサイトで公開しています(一部非公開)。JPCERT/CC Eyesでは、本カンファレンスの様子を3回に分けて紹介します。

第1回は、DAY 1 Main Trackの講演についてです。

Amadeyマルウェアに関する活動実態の変遷から得られる教訓

講演者:BlackBerry Japan 株式会社 糟谷 正樹
講演資料(英語)

糟谷氏は情報窃取型マルウェアであるAmadeyのC2サーバーとの通信を成立させるエミュレーターを実装することにより長期的なC2サーバー間の通信の分析と調査を実現したとして、調査結果とその考察について講演をしました。

実装されたエミュレーターは実際にC2サーバーに偽のリクエストを生成して送信するように作成され、Amadeyに関連する合計511つのC2サーバーを2019年10月から、約50カ月間観測し、分析を行ったとのことです。 長期的な観測結果から、観測開始当初は大きな活動の無かったAmadeyのC2サーバーの数が増加し攻撃が活発化していく様子や、Amadeyの開発が進み、管理ツールの実装や暗号化方式の複雑化など、機能が洗練されていく様子を明らかにしました。また、VirusTotalへのコミット数などからもAmadeyの認知が増え、攻撃が拡大化していく様子が確認できるとして詳細を説明されました。

さらに、Amadeyの感染に関連する検体やペイロードを分析し、その結果からC2サーバーの生存期間の平均や、正規サービスのサーバーを悪用したペイロードの配布、複数のマルウェアに感染させようとする攻撃者の意図などを解説されました。情報窃取型マルウェアのRedlineとAmadeyは、活動時期や複数回にわたる協調的な動きが確認できたことから、関連性について考察内容を説明されました。加えて、C2サーバーを含め動向の類似性が新たに攻撃者の特定につながるインテリジェンスになり得る可能性について述べられました。

最後に、糟谷氏は今回の攻撃傾向と分析結果からエンドポイント防御の重要性を述べ、有効な対策や長期観測の意義について共有されました。

JSAC2024_Day1_1.JPG

NSPX30: a Sophisticated AitM-Enabled Implant Evolving Since 2005

講演者:ESET Facundo Munoz
講演資料(英語)

Facundo氏はインプラントの1種であるNSPX30について攻撃事例を交えて詳細な分析結果とその考察について講演をしました。

NSPX30は2020年に確認したとされていましたが、関連ファイルのタイムスタンプなどを調査することにより、バックドアのProjectWoodやDCMをベースとして2005年から継続的に開発されていることを明らかにしました。また、NSPX30とPeerYouRatとの近似性や特殊な文字列の一致などから中国圏の攻撃アクターであるBlackwoodによるものと推定したとのことです。

さらに、Blackwoodによる攻撃事例から、ユーザーと正規サービス間の通信に割り込み通信内容の盗聴や改ざんを行うAiTM攻撃の手法を用いたTTPsについて詳細を解説されました。 攻撃の分析結果から、正規アプリケーションのアップデートに偽装し侵入を試みることやトラフィックの傍受、特定のセキュリティソフトにおいて自身のスレッドをホワイトリストに登録するなどの特徴が確認できたとして、Blackwoodに関する考察を共有されました。 加えて、The Wizardsなどの他の攻撃アクターを挙げ、標的とする業界や地域、同じAiTM攻撃の手法を用いながらも異なるTTPsについて説明されました。

Facundo氏は今後も調査を続けていくとし、NSPX30の開発動向の調査やBlackWoodの標的対象に関する調査などの課題を挙げられました。

JSAC2024_Day1_2.JPG

リスクを残さないためのメール侵害分析と対応の勘所

講演者:伊藤忠サイバー&インテリジェンス株式会社 飯田 友美
講演資料
講演資料(英語)

飯田氏はAiTM攻撃が発生した際の対応と対応における重要なポイントについて講演をしました。

飯田氏はフィッシング攻撃の増加や多要素認証を回避して不正にログインなどを行うAiTM攻撃の手口について説明し、インシデントが発生した際に初動対応が適切でない場合に被害が拡大する可能性について解説されました。また、実際に発生したAiTM攻撃をMicrosoft365環境下で受けたことを想定し、どの箇所に着眼して対応を進めていくのか詳細を共有されました。

実際に攻撃を受けた際の重要なポイントとして、被害を停止や痕跡の保護、侵害範囲の特定などの初動対応として実施すべき内容を挙げ、初動対応と並行して収集・調査するログの種類や方針の整理を実施する必要があるとのことです。その際、収集するログの保存期間とライセンス形態を把握しておくこと、調査範囲の起点について解説をしました。さらに、今回のデモ攻撃において具体的にログの何処に攻撃の痕跡が残されるか、報告時にはどのような内容をユーザーに伝えるかを説明されました。

最後に、攻撃の一連の流れから有効な防御策を提示し、事前にインシデント対応における要所を把握しておく重要性を解説されました。

JSAC2024_Day1_3.JPG

Operation So-seki: You Are a Threat Actor. As Yet You Have No Name.

講演者:株式会社エヌ・エフ・ラボラトリーズ 皆川 諒、エヌ・ティ・ティ・コミュニケーションズ株式会社 神田 敦、鮫嶋 海地
講演資料
講演資料(英語)

皆川氏、神田氏、鮫嶋氏はハクティビストグループを長期的に複数の観点から調査を行い、分析結果と考察について講演をしました。

調査したのは親ロシア派のハクティビストである攻撃アクターであり、攻撃者に近い視点から情報収集を行うことにより、攻撃者の活動推定や組織的な動向の推移、運用形態などの分析結果を解説されました。 また、ボットネットの分析を含む複数の分析結果より攻撃に利用されるC2サーバーを特定し、技術的なアプローチからも攻撃元の考察や攻撃者が利用するインフラの分析結果を共有されました。

さらに、対ハクティビストというケースにおいて、攻撃情報の発信拡散行為はハクティビストに成功体験を与えてしまうことなどから相性が悪いことを指摘し、攻撃アクターの性質にあわせて情報共有を行うことや被害防止を目的とした効果的な情報共有とは何かを解説されました。

JSAC2024_Day1_4.JPG

ESXi: Detect the Future A0acker’s Playground at Ring -1 

講演者: Dragon Advance Tech Consulting Frankie Li, Victor Chan, PwC Hong Kong Michael Ching

Frankie氏、Michael氏、Victor氏はVmware社が提供するハイパーバイザーのESXiにおけるリスクや攻撃の挙動を検出する機会について調査し、 実際に攻撃の痕跡を収集できるフォレンジックスクリプトの検討と考察について講演をしました。

同氏はESXiの構造と想定される懸念事項を共有し、実際にどのようにESXiがキルチェーンとして悪用されてきたか攻撃事例を解説されました。 これらを踏まえ、他製品と比較しセキュリティソリューションの少なさやパスワード管理という特徴から、インターネットに接続して使用する環境などから攻撃者のターゲットとなり得ることが多くなることを説明されました。また、実際の攻撃事例からESXiの構造におけるリスクについて共有されました。

さらに、ライブフォレンジックツールを提案し、ランサムウェアによる攻撃を想定したシナリオに沿ってその有用性を解説されました。フォレンジックツールはESXiの特徴に沿いフォレンジックのテクニックを流用できることやYaraとの親和性があるなど、有利性について述べられました。

最後に、ESXiを利用する際に留意することとして、アクセス権の整理や機能の制限やログの適切な保管などについて共有されました。

JSAC2024_Day1_5.JPG

Lazarus Group's Large-scale Threats via WateringHole and Financial Software

講演者:KrCERT/CC Dongwook Kim, Seulgi Lee
講演資料(英語)

Dongwook氏とSeulgi氏は攻撃アクターのLazarusによる韓国の企業を標的とした大規模な攻撃キャンペーンの調査結果について講演をしました。

この大規模な攻撃キャンペーンは、韓国の金融ソフトウェアのゼロデイ脆弱性の悪用やフィッシング攻撃と水飲み場攻撃の手法を用いるなど複数の感染経路を持っていたとして、TTPsの詳細について解説をされました。
確認された事例の分析結果から、攻撃の特徴としてC2サーバーを階層型にネットワークを構築していたことや仮想サーバーを活用していたこと、DLLサイドローディングの手法を多用していたことが明らかになったとのことです。また、C2サーバーの容易な切り捨てや痕跡を残さないなどの工夫が多数確認できたとして詳細を解説されました。さらに、これらの特徴から分析する上での重要な観点として、ファイルの有無に関わらずパスの痕跡からマルウェアの存在を疑うことや、C:\Windows\System32配下に直接不審なファイルが無いか確認することを共有されました。

確認された攻撃キャンペーンの分析結果から、開発段階で脆弱性となる箇所を留意することやサードパーティからの侵入を考慮すること、ゼロトラストなどのキーワードを挙げ、有効な対策について説明をされました。

JSAC2024_Day1_6.JPG

The Secret Life of RATs: Connecting the Dots by Dissecting Multiple Backdoors

講演者:トレンドマイクロ株式会社 原 弘明、株式会社サイバーディフェンス研究所 中島 将太、川上 瞭之介
講演資料
講演資料(英語)

原氏、中島氏、川上氏は攻撃アクターや攻撃キャンペーンであるGroundPeonyとRatel Master 、Earth Estriesについて、攻撃の分析結果から共通点や類似性が見られたとして攻撃アクターの関係性の考察について講演をしました。

それぞれの攻撃アクターによる事例の分析の結果から、以下の点で関係性を推測できる特徴を確認したとして詳細を解説されました。

  • GroundPeonyとRatel MasterのTTPsの類似性とローダーの一致
  • Earth EstriesとRatel MasterのTTPsの類似性とマルウェアの部分的なコードの一致、過去に悪用されたインフラの一致
  • Earth EstriesとGroundPeonyの過去に悪用されたドメインの一致

また、GroundPeonyとRatel Masterが用いるマルウェアのローダーであるMofu loaderをVirusTotalにアップロードするアカウントを確認したとのことです。 アカウントには、複数のマルウェアのアップロード履歴があり、その中にはEarth Estriesが利用するバックドアであるHemiGateのアップロードも含まれていたとのことです。さらに、アカウントの調査結果から、このアカウントが研究者のものではなく、VirusTotalを用いて複数のマルウェアのテストを実施していた可能性があるとして考察内容を共有されました。

最後に、複数の分析結果より3つの攻撃アクターの協力関係が推定可能であるとして、過去のそれぞれの攻撃アクターの活動時期などを挙げ関連性について解説されました。

JSAC2024_Day1_7.JPG

Unveiling TeleBoyi: Chinese APT Group Targeting Critical Infrastructure Worldwide

講演者:TeamT5 Yi-Chin Chuang, Yu-Tung Chang
講演資料(英語)

Yi-Chin氏とYu-Tung氏は中国を拠点に活動をしていると考えられる攻撃アクターのTeleBoyiに関する分析結果と考察について講演をしました。

TeleBoyiは主にインドのエネルギー業界において被害が多く確認されていましたが、標的となる国や業界は増加し、重要インフラや知的財産に強い関心を示すことを確認しているとのことです。また、過去に確認された攻撃事例において、正常なアプリケーションへの偽装やマクロを含んだドキュメントファイルへの偽装、脆弱性のあるサーバーを悪用するなどの複数のTTPsについて解説をされました。
さらに、TeleBoyiは他の攻撃キャンペーンにおいて確認されているツールを用いることについて説明されました。それらのツールには、TeleBoyiによって独自にカスタマイズされているものも多く、Plugxからはコードの一部から中国語で意味のある文字列が、Double shellでは外部のサービスを悪用するなどの特徴がみられたとのことです。加えて、攻撃に悪用されたインフラについて分析を進めるとドメインに著名な会社の名前を含むなどの特徴が確認できたとして分析結果を共有されました。

これらの複数の分析結果からTeleBoyiと複数の攻撃アクターの関連性について考察し、TeleBoyiとAPT41、Earth BerberokaやSLIME40(FamousSparrow)などの複数の攻撃アクターの協力関係について説明をされました。そして、近年の中国を拠点とするAPTグループが攻撃ツールを共有する傾向について解説をされしました。

JSAC2024_Day1_8.JPG

Threat Intelligence of Abused Public Post-Exploitation Frameworks

講演者:株式会社インターネットイニシアティブ 武田 理史、古川 智也
講演資料
講演資料(英語)

武田氏と古川氏はオープンソースのフレームワークであるPost-Exploitation Frameworkについて、ソースコードが公開されているツールをコードレベルで詳細な分類を行い、機能の分析結果と挙動の詳細について解説し、活用とその有利性について講演をしました。

分析の対象はMITRE の ATT&CKにおける「Execution」「Persistence」に分類されるツールであり、「ソースコードが公開されているもの」「悪用が確認されているもの」「Tactics が5つ以上あるもの」としてコードレベルで分類した機能の詳細や具体的なアウトプット、挙動から得られる痕跡について説明されました。 また、コードの挙動単位で分類を行うことにより、個々の挙動から得られる痕跡をインディケータとして検知対象や監視対象に活用する可能性について述べられました。

さらに今後の展望として、インディケータとして活用した実際の検知ルールの作成と共有やモジュールとして利用される更なる外部ツールの解析を挙げられました。

JSAC2024_Day1_9.JPG

おわりに

今回はJSAC2024の1日目に行われた講演について紹介しました。次回のJPCERT/CC Eyesでは引き続き、2日目に行われた講演について紹介します。   

インシデントレスポンスグループ 宇野 真純
≪ 前へ
トップに戻る
次へ ≫