JSAC2024 開催レポート~DAY 2~
前回に引き続き、第2回は2日目に開催されたDAY 2 Main Trackの講演について 紹介します。
XFiles: 悪性MSIX/APPXの大規模分析
講演者:NTTセキュリティ・ジャパン株式会社 野村 和也、吉川 照規、元田 匡哉
野村氏、吉川氏、元田氏は攻撃キャンペーンで近年悪用されているMicrosoftの新型パッケージファイル「MSIX」と「APPX」に焦点をあて、構造や動作の仕組み、悪性ファイルの特徴などの解析時に着目するべき観点について解説しました。
「MSIX」と「APPX」は、アプリケーションの配布とインストールに使用される配布可能なWindowsのパッケージファイル形式です。
近年、「MSIX」や「APPX」が悪用される攻撃が発生しており、2022年のEmotetをはじめとして、SteelCloverやClearFake、GhostPulseなどのキャンペーンで利用されたとのことです。
はじめに、「MSIX」と「APPX」のファイル構造や各ファイルの役割、機能、作成方法や悪用されるパターンについて説明しました。 「MSIX」と「APPX」のファイル構造や構造を明らかにした上で、1万件弱のサンプルの分析結果を解説し、デジタル署名が再利用されている事実や、悪性の「MSIX」と「APPX」に共通する特徴について明らかにしました。 さらに、分析結果から判明した悪性の「MSIX」と「APPX」に共通する特徴を抽出・分析する独自ツールについてもデモを交えながら解説しました。
最後に、悪性の「MSIX」と「APPX」で用いられたPowerShellスクリプトのクラスタリング分析から判明した共通点や、「MSIX」と「APPX」ファイルのアンチウイルスソフトの検知傾向、そしてMSIXのバージョン更新機能の悪用の可能性についても言及しました。
Ghost in Your Supply Chain
講演者:CyCraft Alian Wang, Chung-Kuan 'CK' Chen
Alian Wang氏とChung-Kuan ‘CK’ Chen氏は、台湾の金融業界を標的にしたサプライチェーン攻撃の事例をもとに、その分析結果と考察について講演しました。
はじめに、近年サプライチェーンを標的にすることが攻撃者にとって効率的であり、そのため境界防御の概念が古くなりつつあることを説明しました。 次に、実際に対応した以下のサプライチェーン攻撃の事例について説明しました。
- Abusing JIRA Script Runner
- Malwareless Island Hopping
- Typing Ghost
「Abusing JIRA Script Runner」の事例では、「Jira Script Runner」と呼ばれる機能が水平展開に使用されたことを説明し、第三者に容易に悪用されないために多要素認証による対策などの必要性について言及しました。 「Malwareless Island Hopping」の事例では、悪性ではないソフトウェアを多用した攻撃キャンペーンについて解説し、多数の子会社への被害があったことからネットワークセグメントの管理と一般ユーザーの権限管理の重要性を共有しました。 「Typing Ghost」の事例では、ソフトウェアアップデート機能が攻撃者に悪用され、マルウェアを実行された例について解説しました。
最後に、サプライチェーン攻撃の多くが認証情報の漏えいや脆弱性の悪用を通して実行されることや特権を持つセキュリティシステムやアカウントが攻撃者に狙われていることなどのサプライチェーン攻撃を通して得られた考察と対策について共有しました。
標的型攻撃者によるVSCodeの武器化
講演者:伊藤忠サイバー&インテリジェンス株式会社 羽鶴 颯、笹田 修平
笹田氏と羽鶴氏は、Visual Studio Codeの「Dev tunnels」機能に着目し、悪用された事例をもとにインシデント発生時の分析手法やハンティング方法について解説しました。
Visual Studio Codeは、Microsoftが提供するコードエディターであり、「Dev tunnels」機能は、Visual Studio CodeをMicrosoftのトンネルサーバー経由でリモートホストに接続することで、ローカルホストからリモートホスト上のソースコードの編集やアプリケーションの実行を可能にする機能です。 この機能は主に、開発者の開発環境の標準化や効率化のために利用されるそうです。 しかし、2023年9月には、「Dev tunnels」機能が悪用され、侵害された端末に対してリモートアクセスを行う目的で利用される事例が観測されたそうです。 この事例で得た知見として「Dev tunnels」機能が悪用された際のアーティファクトの分析方法とネットワークベースとプロセスベースのハンティング方法を解説しました。
最後に、「Dev tunnels」機能の悪用への対策として、「Dev tunnels」機能を使用せずに「SSH tunnels」機能を利用する方法や、ローカルのコンテナへの接続する機能であるDev containerを活用することが望ましいと説明しました。
Analysis of Activities and Tools of Phishing Actors Targeting Japan
講演者:NTTコミュニケーションズ株式会社 益本 将臣、坪井 祐一
益本氏と坪井氏は、フィッシングサイトの被害件数の増加傾向や、フィッシングアクターが専門分業体制を整えている現状を踏まえ、日本を標的にするフィッシングコミュニティーの実態や販売されているフィッシングキットの分析・検知方法について講演しました。
フィッシングコミュニティーは、主にTelegramなどのチャットツールやフィッシングコンテンツを販売するマーケットプレース、情報共有を行うフィッシングフォーラムで活動しており、フィッシングアクターもツール開発からサービス運用、情報の販売までを分業して活動していることを説明しました。 続いて、フィッシングコミュニティーから入手したフィッシングキットの分析から、ユーザーエージェントやリクエストヘッダーを用いたアクセス元情報収集機能、リクエスト時の情報を用いたクローキング機能、クローラー検知機能の実装の詳細について解説しました。 フィッシングキットの分析に関連して、フィッシングキットの検知手法として、オープンソースの検知ルールである「Indicator Of Kit」の活用方法について共有しました。
最後に、フィッシングアクターはフィッシング行為の分業体制を実現しており、結果としてフィッシング報告件数が上昇している現状を鑑みて、防御側も情報共有を促進していくことの重要性を強調しました。
フィッシングサイトに対するDeceptionアプローチ
講演者:株式会社リクルート 猪野 裕司、吉川 允樹
猪野氏と吉川氏は、フィッシングサイトに対する防御アプローチの一種である「Deception」アプローチの実行を通して得られた知見や結果について講演しました。
フィッシングサイトに対するアプローチであるテイクダウンやユーザーへの情報周知は重要である一方で、その効果はプロバイダーやユーザーに依存するため、第三者に依存しないアプローチとして、フィッシングサイトに偽のユーザーデータを送る「Deception」アプローチを採用したと説明しました。 その後、「Deception」アプローチの手順の整理とダミーデータの作成で活用したライブラリとその改良点を説明しました。 これらを踏まえ、特定のフィッシングアクターに対する「Deception」アプローチの実施結果を共有し、その成果として攻撃者からのさまざまなリアクションや自発的なサイト閉鎖といった成果が得られたことに言及しました。
最後に、Deceptionアプローチを実施した知見として、ダミーデータを送付する時に気をつけるべき点やProxy型のフィッシングサイトでは正規のIDと重複しないようにすることなど「Deception」アプローチの要点を共有しました。
ランサムウェア攻撃のアクター特定をすべきこれだけの理由
講演者:一般社団法人JPCERTコーディネーションセンター 佐々木 勇人
佐々木は、ランサムウェアのインシデントが発生後の対応を考える中で、アクターを特定することの重要性について講演しました。
実際のインシデントでアクターの特定を行った事例として、「Thanos」ビルダーを用いてランサムウェアを作成した「Robinhood Leaks」や「HUI Loader」を使用した「DEV-0401」を挙げ、一連のキャンペーンのTTPsの共通点からアクターを特定する観点を共有しました。 その後、インシデント発生時にアクター特定が不十分であったため、初動対応や再発防止策に不備があり、結果としてマルウェアや脆弱性のあるサーバーが放置されていた事例について紹介しました。 上記を踏まえ、ランサムウェア被害におけるアクター特定は、以下の点から重要であると説明しました。
- 初動対応を適切、速やかに、低コスト負担で行うため
- 紛れ込んだAPTアクターを見逃さないため
- ランサムウェアの脅威の封じ込めを目指し、アクターごとに効果的な対抗措置を選択するため
最後に、ランサムウェア攻撃に対してアクターの特定を行い、適切な対応を行うことで、ランサムウェア被害を抑えることができると説明しました。 加えて、ランサムウェア被害が発生し、アクターの特定が難しい場合、JPCERT/CCに相談することで、アクターの特定に関わる分析業務の分担や知見の共有が可能であると言及しました。
Spot the Difference: An Analysis of the New LODEINFO Campaign by Earth Kasha
講演者:トレンドマイクロ株式会社 原 弘明、庄子 正洋、東 結香、Vickie Su、Nick Dai
原氏、庄子氏、東氏、Vickie Su氏、Nick Dai氏は、2023年に「Earth Kasha」が実施したキャンペーンを調査し、大幅に変更されたTTPsや新しいマルウェアについて講演しました。
「Earth Kasha」は、「LODEINFO」を使用するアクターとして2019年から認知されているAPTグループです。 2023年の「Earth Kasha」によるキャンペーンは、従来のキャンペーンから初期侵害手法と対象が変更されたことを説明し、変更された初期侵害手法、C2サーバーへの通信方式、認証情報窃取や水平展開の方法を解説しました。 加えて、「Earth Kasha」によるキャンペーンで用いられたTTPsや対象地域・業界が、「Earth Tengshe」と呼ばれるアクターと類似していることを明らかにしました。
次に、「Earth Kasha」が新キャンペーンで使用したローダーや新バージョンの「LODEINFO」、新規バックドアである「NOOPDOOR(別名:HiddenFace)」とローダーである「NOOPLDR(別名:FakeXInjector)」について、変更点や特徴的な機能について解説しました。 続いて、「LODEINFO」を用いたAPTグループの帰属についてダイヤモンドモデルによる比較を行い、新キャンペーンは「Earth Kasha」が実施したとする分析やマルウェアの共通性はないものの「Earth Tengshe」と「Earth Kasha」のTTPsが類似していることに言及しました。 さらに、「Earth Tengshe」や「Earth Kasha」が関連していると推測されるキャンペーンについても言及しました。
最後に、「Earth Kasha」が初期侵害手法を変更していることから、アタックサーフェスとなり得るIT資産の再確認と「Earth Kasha」の新キャンペーンの中で発見されたIoCを用いたハンティングを実施することを推奨しました。
Unmasking HiddenFace: MirrorFace’s most complex backdoor yet
講演者:ESET Dominik Breitenbacher
Dominik Breitenbacher氏は、「APT10」に関連するAPTグループ「MirrorFace(別名:Earth Kasha)」の新しいバックドアである「HiddenFace(別名:NOOPDOOR)」の機能と特徴について解説しました。
「MirrorFace」は中国系の攻撃グループであり、特徴として標的が日本であることや、「LODEINFO」を使用することが挙げられます。 Breitenbacher氏は、「MirrorFace」が2023年から日本の学術機関を対象に「HiddenFace」を用いたキャンペーンを実施したと述べました。
「HiddenFace」の内容について最初に、「HiddenFace」の実行フロー、起動時の実行内容や特徴について解説しました。 続いて、「HiddenFace」の特徴として、モジュラーシステムを採用していることやアクティブ・パッシブ通信の双方が可能であることを挙げ、外部モジュールの仕様と実行方式や通信の暗号化方式とコマンドの内容についても言及しました。 さらに、「HiddenFace」の構造化データのデータ構造とその内容について解説しました。
最後に、「HiddenFace」は「MirrorFace」に帰属するバックドアの中でも複雑で特徴的な技術を用いていることに言及し、攻撃対象の環境やキャンペーンの目的に合わせた機能の追加が可能であること等を明らかにしました。
おわりに
今回はJSAC2024の2日目に行われた講演について紹介しました。 次回のJPCERT/CC Eyesでは引き続き、2日目に行われたワークショップについて紹介します。
インシデントレスポンスグループ 亀井 智矢