⻑期感染の実態と攻撃証跡の分析 - ipa · 「ファイルレス攻撃」...

⻑期感染の実態と攻撃証跡の分析〜サイバーレスキュー隊(J-CRAT)の活動を通じて〜

2017年10⽉12⽇独⽴⾏政法⼈情報処理推進機構

技術本部セキュリティセンター情報セキュリティ技術ラボラトリーサイバーレスキュー隊釜⾕誠

Copyright © 2017 独立行政法人情報処理推進機構

本⽇お話すること

• 標的型攻撃の実際• 攻撃証跡を⾒分けるポイント

2

https://www.ipa.go.jp/security/J-CRAT/report/20170127.html

本⽇の内容は「サイバーレスキュー隊分析レポート2016」からの記載が主となっています。レポートからの引⽤部分は

と表記しています。レポート

標的型攻撃の実際レスキュー活動での事例をベースに


標的型マルウェア感染２つのポイント

4

攻撃者

標的組織

③送付

①ウイルス作成

②メール作成・宛先・⽂⾯

④感染＋永続化

⑤C2サーバ通信

⑥情報収集・メールデータ・PCログインID/Pass・ファイルサーバデータ窃取・AD管理者権限

⑦横移動

C2サーバ

RAT（Remote Access Tool）を使いC2（Command and Controll）

サーバと通信する

攻撃拡⼤のため、攻撃者は組織内ネットワークを横移動していく

RAT

マルウェアは感染後、永続化（⾃動実⾏）する


標的型攻撃の実際

5

このPCは何年も前から感染しています

このPCは複数のマルウェアに感染しています

標的型攻撃は業界単位でもおこなわれます

標的型攻撃は個⼈単位でもおこなわれます

メール乗っ取りで攻撃に加担してしまった

Win10化やPC更新でも感染継続したまま

標的型攻撃は何度もやってきますファイルレス攻撃が増えています


⻑期感染

6

標的型マルウェアに感染したまま、⻑期間放置されているケースが⾮常に多い

攻撃者は必ずしも活動完了後に、その痕跡をキレイに消していくわけではない

感染PCとC2サーバの定期通信（ビーコン）が残された状態が継続されている

レポート


複数のマルウェア

7

ダウンローダー RAT 権限奪取ツール（複数）カスタマイズツール（複数）カスタマイススクリプト（複数） Microsoft管理ツール

レポート

フォルダ名ファイル名

¥ProgramData taskeng.exe¥ProgramData¥F3 googleUpdate.exe

goopdate.dllgoopdate.dll.mapNVSmart.hlp

¥ProgramData¥SxS bug.log¥Users¥Public¥Videos wce.EXE

gsecdump.exeTIOR64.exeWin7Elevate64.exeWin7ElevateDll64.dlltior.exedomain.exess.vbsu.batss.batserver.vbsh.bat

¥Users¥＜ユーザー名＞¥AppData¥Local¥Temp

1.exe

¥Windows PSEXESVC.EXE ウイルス対策ソフトの有効性

標的型マルウェア感染している場合は、ツールも含めて複数のマルウェアに感染していることが多い。

ツール類は広く出回っているものもあるため、ウイルス対策ソフトで検知されるケースもある。

１台のPCに16個のマルウェアとツールが設置


：オペレーション

同⼀の攻撃者と思われる標的型攻撃を追跡し、2015年11⽉〜2016年3⽉までに137件の攻撃メールを収集（まとまった攻撃をキャンペーンと呼ぶ）共通点を有する業界団体（8団体）を介して、執拗に攻撃を⾏っている企業等の正規アカウントを乗っ取り、踏み台にして送るケースが殆どである本⽂の類似性の他、ウイルスの添付⽅法、ウイルスの挙動などが同⼀である

このキャンペーンは、16のオペレーションに分割でき、攻撃者の挙動分析を実施。

http://www.ipa.go.jp/security/J-CRAT/report/20160629.html

本キャンペーンで悪⽤された業界団体は主に製造業に関わるは8団体、⼀般企業を狙った40通の内37通は同⼀業界で、ある特定の製造業を狙った攻撃であることが分かった。

宛先メール件数組織数業界団体 86 8企業・製造業 37 27企業・卸売業 2 1企業・ソフトウェア業 1 1個人・フリーメール 9 7不明 2 -総計 137 44

分析レポート2015特定業界を執拗に狙う攻撃キャンペーンの分析


個⼈でも感染・狙われる

• 標的型マルウェアが「個⼈利⽤PC」で発⾒されるケースが散⾒– 背景としては

• 組織メールを⾃宅メールに転送• クラウドサービスによる⾃宅での利⽤

– 個⼈利⽤メールがターゲットになっているケースも• やり取り型のケースも• 個⼈利⽤の場合、組織利⽤に⽐べて、対策や体制が脆弱

9

職歴・所属団体から標的とされた可能性


メール乗っ取りで攻撃に加担

• 標的メールはどんなアドレスから送信されるか– 実在⼈物の名前＋フリーメールは今もある– メールが乗っ取られて送信されているケースも

• クラウド系サービスの乗っ取りも増加

10

分析レポート2015http://www.ipa.go.jp/security/J-CRAT/report/20160629.html

例）サイバー分析レポート2015の事案では、94%が不正利⽤での送付だった。

フリーメールは単発送信、企業メールは⼀⻫送信と使い分けていたと思われる。


何度もやってくる

• 最近の事案から• 1台のPCから3つの標的型マルウェア感染が発⾒された。– 2013年後半にplugxに感染（ウイルス対策ソフト検出）

– 2015年に別のplugxに感染– 2017年1⽉に新型マルウェアに感染

11

plugxは2012年頃から観測されており、現在でも多くの亜種が発⾒されている。新型マルウェアは2016年後半から観測されたもの。

複数の攻撃者グループの活動痕跡が存在したケースも。

plugx（初期型）

plugx（別種）

新種マルウェア


こんな感染例も

12

Windows10へアップグレード後も感染継続していた

Win7 Win10

PCリプレース後も仮想マシンが感染継続していた

旧PC

Win7

新PC

Win7

アップグレード

PCリプレース

仮想マシンを起動したタイミングでC2サーバと通信

永続化した記録を⾒るとWindows7時代に感染

Mac＋Parallesでの感染事例もあり


本当に増えている「ファイルレス攻撃」• ファイルレス攻撃

– マルウェア等の実ファイルを⽣成しない攻撃。スクリプトのリモート実⾏や、攻撃コードをレジストリに保存する等の⼿法を使うことで検知を回避。

– 特にWindowsOS標準スクリプト⾔語Powershellを使った攻撃が増加。

– PowershellベースのRATがリリース、利⽤された攻撃事例も。

今後ますます増加が予測されています

攻撃証跡を⾒分けるポイント攻撃痕跡はどこに残されるか

14


初期攻撃後の共通点

15

マルウェアは永続化する

C2サーバと通信する

が、⾒つけにくい！


⾒つけにくい理由（１）

• ウイルス対策ソフトでの検知を回避する– 従来⼿法では検知しにくい⼯夫がされている

• ⽬⽴たないようマルウェアを永続化する– ⽬⽴たないフォルダ名や隠し属性– 著名ソフトに似せた名前

• ⽬⽴たない外部通信に紛れ込ませる– ⼀般利⽤可能なHTTPやHTTPS通信を使う

16


⾒つけにくい理由（２）

• ⽬⽴たない通信先ドメイン– 正規サイトらしく⾒えるドメイン名

• 著名なソフト名、⼀般名称を⼀部含んだものなど• 正規サイトが改ざんされるケースも

– VPS（仮想専⽤サーバ）やPaaSも

• ⽬⽴たないよう正規ツールを使って攻撃する– Microsoft製管理ツールやWindowsOS標準機能– 強⼒な管理ツールを攻撃に悪⽤– 管理⽤ツールはウイルス対策ソフトでは検知されない

17


痕跡はどこに

18

Firewall

プロキシサーバ

感染PC

DNSサーバ

永続化

C2サーバ通信

• 永続化は感染PCの設定が変更される• C2サーバ通信はプロキシサーバやFirewallといった外部通信へのインフラのログに記録されている


痕跡を⾒分けるには

⼤量のデータ

⽂字列検索と抽出

SIEMが有効な理由のひとつ（Security Infomation and Event Management）

共通点

技法通常時との⽐較

ポイント狙われやすい箇所を重点的にインディケーターを活⽤


永続化の設定箇所

• WindowsOSでの主な永続化設定– ⾃動起動レジストリ

• スタートアップレジストリ• サービスレジストリ

– スタートアップフォルダ– ログオンスクリプト– タスクスケジューラ

20

コンピュータ単位ユーザー単位


マルウェア永続化の例

21

永続化設定された３つのプログラムはすべてマルウェア。配置されたフォルダは、ファイル名があらわすアプリケーションでは通常、利⽤されない。

配置されているフォルダとファイル名に注⽬する

レポート

HKEY_CURRENT_USER¥Software¥Microsoft¥Windows¥CurrentVersion¥Runtaskeng REG_SZ "C:¥ProgramData¥taskeng.exe" F3 REG_SZ "C:¥ProgramData¥F3¥googleUpdate.exe" 200 0AYCais REG_SZ C:¥ProgramData¥AYCai¥AYCRunSC.exe


感染によく使われるフォルダ

22

これらのフォルダはユーザー権限で利⽤可能なフォルダ。ただし、通常のアプリケーションでも利⽤する場合がある。

レポート

環境変数等実フォルダ例

%TEMP% C:¥Users¥ユーザー名¥AppData¥Local¥Temp%PROGRAMDATA%%ALLUSERPROFILE%

C:¥ProgramData

%PUBLIC% C:¥Users¥Public%APPDATA% C:¥Users¥ユーザー名¥AppData¥Roaming%LOCALAPPDATA% C:¥Users¥ユーザー名¥AppData¥Local%USERPROFILE%¥Appdata C:¥Users¥ユーザー名¥Appdataスタートアップフォルダ（ユーザー）

C:¥Users¥ユーザー名¥AppData¥Roaming¥Microsoft¥Windows¥Start Menu¥Programs¥Startup

スタートアップフォルダ C:¥ProgramData¥Microsoft¥Windows¥Start Menu¥Programs¥Startup


不審な永続化を⾒つけるには

• ⼤量の設定箇所– 永続化箇所は⼤量にあるため、初⾒で不審点を発⾒するのは⼤変困難• スタートアップ系レジストリ出⼒例：数⼗〜百程度• サービス系レジストリ出⼒例：数百〜数千

– 実⾏形式の記述のみ抽出しても数百は普通

• ⾒つけるには「変更前情報」が現実的– 設定出⼒結果の⽐較で、差異＝意図しない設定変更を抽出

23

毎⽇変わるものではないのでPCセットアップ時の出⼒が有効


設定出⼒コマンド例

24

よく利⽤されるレジストリの例。Windows標準コマンドで出⼒することができる。

レポート

取得コマンド例とレジストリ

reg query “レジストリ名” /sで取得する

スタートアップ系レジストリ"HKLM¥SOFTWARE¥Microsoft¥Windows¥CurrentVersion¥Run" /s"HKCU¥Software¥Microsoft¥Windows¥CurrentVersion¥Run" /s

サービスレジストリ"HKLM¥SYSTEM¥currentControlSet¥services"

HKEY_LOCAL_MACHINE¥SYSTEM¥currentcontrolset¥services¥AdobeARMserviceType REG_DWORD 0x10Start REG_DWORD 0x2ErrorControl REG_DWORD 0x0ImagePath REG_EXPAND_SZ "C:¥Program Files¥Common Files¥Adobe¥ARM¥1.0¥armsvc.exe"DisplayName REG_SZ Adobe Acrobat Update ServiceObjectName REG_SZ LocalSystemDescription REG_SZ Adobe Acrobat Updaterはアドビソフトウェアを最新の状態に保ちます。

「⽂字列検索による抽出」と「変更前情報」との⽐較が現実的


取得レジストリ例参考資料

取得コマンド例とレジストリreg query “レジストリ名” /sで取得するスタートアップ系レジストリ"HKLM¥SOFTWARE¥Microsoft¥Windows¥CurrentVersion¥Run" /s"HKLM¥Software¥Microsoft¥Windows¥CurrentVersion¥RunOnce" /s"HKLM¥Software¥Microsoft¥Windows¥CurrentVersion¥RunOnceEx" /s"HKLM¥Software¥Microsoft¥Windows¥CurrentVersion¥policies¥Explorer¥Run" /s"HKLM¥Software¥Microsoft¥Windows NT¥CurrentVersion¥Winlogon¥Userinit" /s"HKLM¥Software¥Microsoft¥Windows NT¥CurrentVersion¥Winlogon¥Shell" /s"HKLM¥Software¥Microsoft¥Windows NT¥CurrentVersion¥Winlogon¥Shell" /s"HKLM¥Software¥Microsoft¥Windows NT¥CurrentVersion¥Windows" /v "Load""HKLM¥Software¥Microsoft¥Windows NT¥CurrentVersion¥Windows" /v "Run""HKLM¥Software¥Microsoft¥Windows NT¥CurrentVersion¥Windows¥Appinit_Dlls" /s"HKLM¥Software¥Microsoft¥Command Processor¥AutoRun" /s"HKLM¥Software¥Microsoft¥Windows¥CurrentVersion¥RunServices" /s"HKLM¥Software¥Microsoft¥Windows¥CurrentVersion¥RunServicesOnce" /s"HKCU¥Software¥Microsoft¥Windows¥CurrentVersion¥Run" /s"HKCU¥Software¥Microsoft¥Windows NT¥CurrentVersion¥Windows" /v "Load""HKCU¥Software¥Microsoft¥Windows NT¥CurrentVersion¥Windows" /v "Run""HKCU¥Software¥Microsoft¥Windows NT¥CurrentVersion¥Windows¥Run" /s"HKCU¥Software¥Microsoft¥Windows¥CurrentVersion¥RunOnce" /s"HKCU¥Software¥Microsoft¥Windows¥CurrentVersion¥Explorer¥AppKey¥18¥ShellExecute" /s"HKCU¥Software¥Microsoft¥Command Processor¥AutoRun" /s"HKCU¥Software¥Microsoft¥Windows¥CurrentVersion¥policies¥Explorer¥Run" /s"HKCU¥Software¥Microsoft¥Windows¥CurrentVersion¥RunServices" /s"HKCU¥Software¥Microsoft¥Windows¥CurrentVersion¥RunServicesOnce" /s"HKU¥.DEFAULT¥Software¥Microsoft¥Windows¥CurrentVersion¥Run" /s"HKCU¥Software¥Microsoft¥Windows¥CurrentVersion¥Explorer¥User Shell Folders" /v "Startup""HKLM¥Software¥Microsoft¥Windows¥CurrentVersion¥Explorer¥User Shell Folders" /v "Common Startup"サービスレジストリ"HKLM¥SYSTEM¥currentControlSet¥services"

レポート


C2サーバ通信確⽴

• C2サーバの通信を発⾒するには– 正常通信を記録しておく– PCからのリクエストを捕捉できるところ

• 着眼点– FQDN、IP、URL、通信時間、頻度などから分析

26

Firewall


DNSサーバ

PC

C2サーバ通信


インディケーターIndicator of Compromise（IOCs）• 攻撃を⽰唆するデータのこと• 脅威情報の情報共有として提供されることも

27

C2サーバとの通信情報 • FQDN• IPアドレス• 通信ポート

攻撃メールの要素 • 件名• 送信者アドレス• 送信ホスト• 添付ファイル名• ハッシュ値

感染時に⽣成 • 永続化箇所• ファイル名• ハッシュ値

例）


インディケーター例

28

セキュリティベンダー等の公開情報から

http://blog.jpcert.or.jp/2017/04/redleaves---malware-based-on-open-source-rat.html

※C2サーバ情報

※2017/5時点での情報です


インディケーター活⽤例（１）攻撃・感染の確認

29

Firewall


PC

DNSサーバ

C2サーバ通信

メールサーバ

C2サーバへの名前解決がおこなわれているか

C2サーバへの通信がないか

C2サーバへのリクエストがないか

永続化・派⽣ファイル

攻撃メール

攻撃メールが送られてないか

永続化設定や同件のファイルはないか


インディケーター活⽤例（２）防御

30

Firewall


PC

DNSサーバ

永続化・派⽣ファイル

C2サーバ通信

メールサーバ

攻撃メール

C2サーバへの名前解決を無害化

C2サーバへの通信をブロック・検知

攻撃メールホストをブロック

C2サーバをブラックリストでブロック


ウイルス対策ソフトの履歴の⾒⽅知っていますか？• 攻撃の兆候

– 標的型マルウェア感染の前後で、何らかの不審ファイルや不審通信、不審動作をウイルス対策ソフトが検知していたケースは多い

• 対策– 管理者通知の確実な実施– 利⽤者が履歴ログを確認する⽅法を知っておく– 危険な検知名を知っておく


危険な検知名

単語想定される内容

Trojan トロイの木馬。略字でTROJなど。

Backdoor バックドア、RAT。略字でBKDRなど。

Downloader マルウェアをダウンロードさせるタイプ。

Rootkit 攻撃ツールのセット。

Plugx 標的型攻撃利用マルウェア。別名Korplug、Destroyなど。Poisonivy 標的型攻撃利用マルウェア。略字PIVYなど。

Daserf 標的型攻撃利用マルウェア。

Zacom 標的型攻撃利用マルウェア。別名Nflogなど。

Emdivi 標的型攻撃利用マルウェア。

Elirks 標的型攻撃利用マルウェア。別名 Klurpなど。

PWDump7 ハッキングツール。パスワード奪取ツール。

mimikatz ハッキングツール。パスワード奪取ツール。

WCE ハッキングツール。パスワード奪取ツール。

gsedump ハッキングツール。パスワード奪取ツール。

PsExec リモート管理ツールだが攻撃にも利用される。同種にPsExeSvc。Microsoftの正規リリース。

参考資料

レポート


バージョンで違うPowershellのイベントログ• PowerShellのバージョンによって残せるイベントログに⼤きな違いがある。– Windows7（PS2.0）では、Powershellが動作した程度のログしか残らないが、Windows10（PS5.0）では、PowerhShellのコマンドレベルのログが残せる。

– デフォルトでもある程度残せるが、Windows10⽤管理⽤テンプレート（ADMX）の適⽤でより多くを取得可能。

パスやコマンドが詳しく記録される

最後に


?標的型攻撃メールかな？と思ったら・・・

IPAへご相談ください！

http://www.ipa.go.jp/security/tokubetsu/

情報提供が攻撃対策となります〜サイバー空間利⽤者みんなの⼒をあわせて対抗⼒を〜

35

標的型サイバー攻撃特別相談窓⼝電話 03-5978-7599

(対応は、平⽇の10:00〜12:00 および13:30〜17:00)

E-mail [email protected]※このメールアドレスに特定電⼦メールを送信しないでください。

・不審な⽇本語・差出⼈とメールアドレスが不審・不審な添付ファイルやリンク

組織内での情報共有に加えて

⻑期感染の実態と攻撃証跡の分析 - ipa · 「ファイルレス攻撃」...

Documents