Microsoft PowerPoint - lecture rev02.pptx

Size: px

Start display at page:

Download "Microsoft PowerPoint - lecture rev02.pptx"

せいごろうふじつぐ
5 years ago
Views:

1 ネットワークを介したマルウェアの活動名古屋大学情報基盤センター情報基盤ネットワーク研究部門嶋田創

2 1 概要マルウェア概要ネットワークを介したマルウェアの送り込みメールベースウェブベースネットワークを介したマルウェアの活動スパイウェア系ボットネットクライアント系バックドア系 Remote Administration Trojan 系ランサムウェア ( 末尾に長めに説明 ) 標的型攻撃とそのネットワークを介した活動

3 2 マルウェアとは MALicious software( 悪意のあるソフトウェア ) の略かつてはよくコンピュータウイルスと呼ばれていたが最近はマルウェアと称すことが多いコンピュータウイルスとの違い愉快犯や技術誇示からサイバー犯罪の道具へおおっぴらに感染 / 拡散しない特定のグループ / ネットワークのコンピュータにのみ感染そもそもあまりばらまくと発見される可能性が高くなるおおっぴらに怪しい通信したりしない他の通信にまぎれて通信したりしますおおっぴらに破壊活動をしたりしない発見されると証拠隠滅することはあります

4 3 マルウェアの分類 (1/2) 複数の機能を持っているマルウェアは珍しくない点に注意ドロッパ ( ダウンローダ ) より高度なマルウェアを送り込む他のファイル形式の脆弱性を利用した実行ファイルのカプセル化スパイウェア金融関係情報や各種サービス用ユーザ名 / パスワードの窃取キーロガーやスクリーンショット取得などの機能バックドア作成遠隔で司令を受けて動作可能な口をインターネットに向けて開く独自プロトコルからHTTP 利用 ( ウェブシェル ) まで色々他にも悪用に便利なツールセットをまとめて導入もルートキットボットネットクライアント司令を受けての一斉の外部攻撃などの動作を目的としたマルウェア

5 4 マルウェアの分類 (2/2) RAT(Remote Administration Trojan) トロイの木馬バックドア作成ボットネットクライアントの統合版 Poison Ivy, PlugX, ChChesなどランサムウェアファイルを暗号化して解除キーを脅迫アドウェア広告を大量に表示させることで収益につなげるソフトウェアインストール時に付属ソフトウェアとして入る事例も多い ( 昔ながらのもの ) ワーム : ひたすら他 PCに感染して増殖ウイルス : PCに何らかの異常を発生させる ( デモ画面を出すなど )

6 5 マルウェアの識別バイナリ全体のハッシュ値部分コード列との一致埋め込みデータとの一致 ( 外部通信や感染拡大行動などの挙動 ) まとめてシグネチャにするシグネチャ型 IDS/IPS 一般的なアンチウイルスソフトウェア

7 6 マルウェアの名付けアンチウィルスソフトウェア会社ごとに名付けが違う例 Kaspersky: Trojan-Ransom.Win32.Agent AVG: Trojan.Generic35 それどころかファミリ分けも違う例 AVG Trojan.Win32.Agent Trojan.CoinMiner.AKQ Trojan.Dropper.Generic_r.AF Kaspersky: 全部 Trojan.Inject2.MDE

8 7 VirusTotal によるマルウェアの識別ファイルに対して様々なアンチウィルスの結果を見ることができるサイトマルウェアらしき物をアップロードして結果を見たり検体はサンプルとして利用されるので間違って重要ファイルをアップロードしない URL( ウェブサーバ ) に対しても評価してくれるというかちょこちょこ巡回しているハッシュ値ドメイン IP アドレスなどからの汎用検索も可能

9 VirusTotal にマルウェアを上げた例 8

10 VirusTotal で IP アドレスを評価した例 (1/3) 9

11 VirusTotal で IP アドレスを評価した例 (2/3) 10

12 VirusTotal で IP アドレスを評価した例 (3/3) 11

13 12 マルウェアの送り込み方ウェブからのダウンロードウェブ広告にまぎれて配布改ざん ( されたウェブサイトから配布昔ながらのメールマルウェア本体を含む物は減ってきて本体はウェブからのダウンロードが中心に JavaScript(ZIP 圧縮 PDF など), 悪性マクロ付きMS Office 文書など環境によって送り込み内容を変えることができて嬉しい (by 攻撃者 ) SMSなどに付随するメッセージングサービスも対象標的型攻撃 (APT: Advanced Persistent Threat) 上記を標的に合わせて洗練させた近年話題を攻撃標的 ( 機密情報サーバなど ) にマルウェアを送り込むまでに複数の踏み台 PCを経由することもある応用 : 水飲み場型攻撃

14 13 マルウェア送り込み時の隠蔽テクニック本命マルウェア以外のおとりマルウェアも送り込むアンチウィルスでスキャンした時におとりマルウェアが検出 / 駆除されると人間は安心する OS やブラウザのバージョンによって挙動を変える本命以外がアクセスしてもマルウェアが送り込まれないので対応が後回しにされるかもセキュリティインシデント対応者にとっては面倒

15 信頼性の高い攻撃用メールアカウントの準備 14 従来だったらセキュリティのゆるいフリーメールアドレスを利用するただしあまりにも評判が悪くなると後述のブラックリストで対策される近年ではそこそこメジャーな組織のメールアカウントを乗っ取って送信できればその組織に対して関係が深い組織のメールアドレス知り合いからのメールと見せかければ開封される可能性は数十倍高い部署までやりとりに関係する所があればさらに好ましい多段階でメールアドレス乗っ取りをかけることも

16 15 メールアカウントの乗っ取りウェブメールの認証変わったよ( 移行してね ) なフィッシングメールはよく来る信頼性の低いネットワークでPOP3/IMAP4などのパスワードを暗号化したいプロトコルを使うフリー WiFiなど注意 ( というかいくらでも偽基地局は作れる ) 今一度暗号化されていないプロトコルを使っていないか確認しましょう暗号化されていない通信するのはHTTPS 対応していないページぐらいにしましょう他のサービスとユーザ名とパスワードを共有していて他のサービスでパスワード漏洩が起こる普通はパスワードはハッシュ化した値を保存するが生パスワードを保存しているサービスも多々あると考えておく ( 生パスワード保存の実例あり )

17 16 送り込みメールの実例 2017/4に送られてきたものマルウェアをzip 圧縮ファイルで添付 ---- From: 日本人姓名 Subject: ご注文ありがとうございます各位実在しそうな日本人姓名と政府系を装ったメールアドレスを From 欄で騙る完成しております宜しくお願い致します ---- 内容を長く書かないことでボロを出さないようにしている物が最近多い

18 SNS などのメッセージングサービスを利 17 用した送り込み攻撃者にとってはSNSなどのメッセージングサービスは悪用しやすい攻撃対象者をSNSのコミュニティや対象者の活動から絞りやすいやりとり型攻撃もやりやすいすでに存在するアカウントを悪用しやすいアカウント自体を盗んだりサードパーティアプリからの API 利用を ( 騙して ) 認可させる

19 18 ウェブサイトからのマルウェア送り込み送り込み方ソフトウェア脆弱性の利用 (Adobe Flash Playerなど ) メールや多種メッセージングサービス中のURL HTMLでhref 要素 ( 悪性サイト ) と表示 ( 有名サイト ) を設定 MS OfficeマクロやJavaScriptからのダウンロード処理他のソフトウェア ( フリーウェア等 ) の中にパッキング最近だとアプリストアで有名ソフトウェアに擬態した物も送り込むまでのやり口 ( メールやメッセージングサービス ) マルヴァタイジング (Malvertizing) 水飲み場型攻撃 Drive by Download

20 19 マルヴァタイジング (Malvertizing) MALware + advertizing インターネット広告を使ってマルウェアを送り込むよくAdobe Flashの脆弱性が使われる Adobe Flashは使うならば最新の物にしましょうクリックしないとFlash Playerが動作しないFlash Block 系のアドオンなどを使うのもあり最近だと広告業者がマルウェア配布広告を排除できないならば AdBlock されるのはしかたがないと言われることもでも比較的まともそうな所が利用している広告業者でも稀にマルウェア配布広告がまぎれこむことも

21 20 水飲み場型攻撃特定のユーザがよく見るウェブサイトにマルウェアをしかける水飲み場に集まる装飾動物を狙う肉食動物から由来例 : 特定の業種の入札関係のまとめページ最近ではCMSによるウェブサイト作成が多いため CMSの脆弱性をついて攻撃コンテンツを設置しやすい気がする悪用されたウェブサイト側もインシデント対応や証拠保全で被害を被る個人的な教訓 : あんまり 1 つのウェブサイトに動的コンテンツをまとめすぎると攻撃を受けた時にまとめて証拠保全として動かせなくなる

22 21 Drive by Download 複数のサイトを経由することでマルウェア配布を欺瞞 / 隠蔽ウェブ側のリダイレクタやドロッパ型マルウェアの利用

23 22 キーロガー系以下の物を窃取してネットワークを介して送出認証に関わる入力キー入力画面のスナップショットブラウザのどの欄に入力したか確認可能マウスのクリックをトリガとしてスナップショットを取ることでソフトウェアキーボードなどのどこをクリックしたかを確認可能直接認証情報を取ることもアプリケーションの認証情報保存ファイル認証済みセッションのHTTP Cookie ( サーバだと ) ハッシュ化されたパスワード

24 23 ボットネットクライアント来指令を受け取って攻撃などの動作を取る最近では PCだけでなく組込系やIoT 系のネットワーククライアントも利用される 2016 年秋に話題となったMiraiとその亜種などブロードバンドルータとかはグローバルIPアドレスを持っている組込系なのでよく狙われる ( アップデートしていますか?) 攻撃指令サーバ指令

25 24 バックドア系 PC 等を遠隔操作可能なように裏口を開ける正規に動いているSSHやMicrosoft Remote Desktopを利用することも最近だとウェブサイトにしかけるウェブシェルも PC 等をマルウェア配布サイトやボットネットの司令サーバなどに利用クライアントよりもやることが悪どいので見つかった後の対応がめんどくさい踏み台にしてさらなる悪さをすることもどこぞから盗んだクレジットカードの悪用とか

26 25 RAT(Remote Access Trojan) トロイの木馬バックドアボットネットクライアントの統合版指令を受け取って攻撃自身の更新 / 消去などの動作を取る司令受信には昔は独自プロトコルや Internet Relay Chat 悪用が多かったが最近は HTTP や HTTPS 経由が増えている Twitter, github, gmail( のメールボックス ), slack, なども攻撃更新版更新版配布サーバ指令サーバ指令

27 26 代表的な RAT: Poison Ivy 古くなったので最近は利用されないが機能スクリーンショット音声 Webカメラの画像の取得アクティブなポートの表示キー入力操作情報の収集開いているウィンドウの管理パスワードの管理レジストリプロセスサービスデバイスインストールされているアプリケーションの管理ファイル検索同時に多数のファイル移動の実行リモートシェルの実行サーバの共有自身の更新再起動終了

28 PoisonIvy の遠隔操作画面 27

29 28 RAT を体験してみよう体験用 RAT として ( 会社上層部へのへのデモなど ) マクニカネットワークスの凌さんが ShinoBOT を作って公開している悪用されないよう常に ShinoBOT 動作中のウィンドウがトップに出るし C&C は固定 ShinoSec Suite という脆弱性を利用してマルウェアを送り込むドロッパ作成から体験できる物も脆弱性の監査や Exploit テストでは Metasploit も有名

30 29 標的型攻撃とその進行英語では Advanced Persistent Threat( 高度な執拗な脅威 ) 失敗しても何度も攻撃を試みる代表的な標的型攻撃の進行侵入前に組織の内部構成を調査することもある長いものだと攻撃に数ヶ月かけることもある 1. 組織内部潜入 2. 内部での拡散 3. 外部との通信基盤構築 4. 機密情報窃取 5. 情報送出 , 2.

31 30 標的型攻撃の時間軸長いものだと一連の攻撃に数ヶ月かける

32 31 標的型攻撃の実例三菱重工への標的型攻撃発覚 : 2011/8/11にサーバが再起動を繰り返すため影響範囲サーバー 45 台従業員用 PC 38 台 8 種類のウイルスを発見 11の事業所から発見発端 : 原発のリスク整理という添付ファイル東日本大震災 (2011/3) の直後 Adobe Flashの脆弱性を利用送信元は内閣府実在の人物の名前メールアドレスを騙る三菱重工は原発を作っている ( いた ) ので受け取った人は疑わない

33 32 さらに発展した標的型攻撃やりとり攻撃複数回のメールのやりとりの後にマルウェア送付水飲み場型攻撃ある仕事をしている人が頻繁に見るページにマルウェアを仕掛けることによる特定業種の業社への標的型攻撃例 : 政府のある機関のプレスリリース入札公告ページその機関に関連する会社に対して攻撃さらにIPアドレスを制限する事例もある営業発注仕様書送りますのでこれで見積もりを攻撃者こんな製品あります? ありますよカタログもらえます? カタログ

34 33 ランサムウェア被害の増加 (1/2) ランサムウェア被害は昨年あたりから急増 IPAが2016/3に直近の2ヶ月比数倍の被害数を記録して注意喚起 (*1) ちょうど TeslaCrypt(vvv ウィルス ) の被害が広まった時年間を通しても 2016 年は 2015 年の 3 倍以上の被害報告 (*2) 相談件数被害相談 17 (*1) より引用した 2016 年 1 月から 3 月のランサムウェア相談件数と被害数 /1 2016/2 2016/3 (*1) IPA, " 注意喚起ランサムウェア感染を狙った攻撃に注意," 2016 年 4 月. (*2) トレンドマイクロ, "2016 年国内サイバー犯罪動向速報版," 2017 年 1 月.

35 34 ランサムウェア被害の増加 (2/2) 攻撃者も味を占めたのか多種のランサムウェアが出現 2016 年前半に亜種も含めて多数出現 (*1, スライド5) Android OSやMac OSに感染する物も出現 2017/5 には WannaCry という通信処理の脆弱性を利用した物により爆発的な流行を今まではメール添付ファイルやウェブサイトからの感染脆弱なままのWindowsをネットワークにつなげているだけで感染世界中で20 万件以上の被害 ( 欧州警察機関発表 ) (*2) セキュリティ更新が未適用なWindows 7が多数被害 (*1) IPA, " ランサムウェアの脅威と対策," 2016 年 10 月 (*2) 日本経済新聞, " サイバー攻撃 150 カ国で 20 万件以上被害欧州警察機関," 2016 年 5 月.

36 ランサムウェアの動作 -- ランサムウェアが使う暗号技術共通鍵暗号 : 暗号化と復号に同じ鍵を利用暗号化 / 復号の処理が高速という特徴共通鍵で暗号化共通鍵で復号公開鍵暗号 : 鍵を暗号化のみと復号のみに分割暗号化しかできない鍵は公開する ( 公開鍵 ) 復号しかできない鍵は自分で持つ ( 秘密鍵 ) 公開鍵で暗号化秘密鍵で復号

37 ランサムウェアの動作 -- 感染時の動作共通鍵は暗号化した状態でしかファイルなどに残さないメモリの上のみに残して実行終了や電源断で消滅メモリ内 2. 共通鍵を公開鍵で暗号化 1. 共通鍵を生成 3. 暗号化した共通鍵を攻撃者に送信攻撃者と秘密鍵ディスク内 4. メモリ中の共通鍵でディスク内のファイルを暗号化

38 ランサムウェアの動作 -- 被害範囲被害にあったOSから見えていたドライブ 1. PC 本体のディスク 2. PCに挿していたUSBにメモリやUSB 接続 HDD 3. PCから読み書き可能としていたネットワークドライブこれでファイルサーバ側のデータまでやられた事例あり USB メモリネットワークドライブファイルサーバ本体ディスク

39 38 ランサムウェア対策感染後にできることは確実性が無いので事前に対策日常的なデータのバックアップソフトウェア更新 ( セキュリティ関係 ) の迅速な適用制限ユーザの有効活用怪しいメールを開かない訓練感染を100% 防ぐ方法は無いのでバックアップが最重要感染後にかかるコスト ( もしくは損失 ) を低減させるために適切なコストをかけることを意識する

40 39 日常的なバックアップ (1/2) ランサムウェアにやられて困るデータは日常的にバックアップするバックアップ用メディアを常時接続していると感染時にやられる点に注意どれだけの間隔でバックアップを取るかはデータの重要性とコストの兼ね合いで決めるバックアップ用のメディアも適切に管理バックアップバックアップ用メディアの管理 USB

41 40 日常的なバックアップ (2/2) PC 故障によるデータ損失にも効果があることを考えて実施復旧時に慌てて感染 PCにバックアップメディアを接続してバックアップを破壊されないように注意書き込み禁止処理ができるようなバックアップメディアが好ましい特に重要なデータならばバックアップメディアの多重化や世代バックアップなどを組み合わせる世代バックアップ 5 月第 1 週バックアップメディアの多重化 5 月第 2 週 5 月第 3 週

41 OS 側の設定ソフトウェア更新の迅速な適用 WannaCryは2017/3に出たソフトウェアアップデート (Windows Update) を適用していない所がやられたアップデートが業務用ソフトウェアへ影響することが怖いのであればテスト用の環境を準備しておく

42 41 OS 側の設定ソフトウェア更新の迅速な適用 WannaCryは2017/3に出たソフトウェアアップデート (Windows Update) を適用していない所がやられたアップデートが業務用ソフトウェアへ影響することが怖いのであればテスト用の環境を準備しておくユーザーアカウント制御をちゃんと適用 TeslaCryptなど一旦停止するランサムウェアは存在する右のポップアップが出てはいを選択しなければ動作しないもちろんユーザーアカウント制御を切らないと業務用ソフトウェアがまともに動かないこともあるのでリスクとコストの判断

他の人にも同様のメールが来る可能性もあるので情報共有は重要 Gmail, Yahoo mail などの外部メール閲覧元を確認できるウェブサーバ (*1) NRI セキュア, "

43 42 怪しいメールを開かない訓練の実施種々の防災訓練のように事前の訓練はいざという時に有効訓練回数によって開封率は低下 (*1, スライド7) ただし開封数 0にはならないむしろ 0になるレベルだったら業務に多大な影響が出ているのでは怪しいメールは他の人に相談する文化を作るのも重要 1 人で考えるより複数人で考えた方が抑止力が働く他の人にも同様のメールが来る可能性もあるので情報共有は重要 Gmail, Yahoo mail などの外部メール閲覧元を確認できるウェブサーバ (*1) NRI セキュア, " サイバーセキュリティ傾向分析レポート 2016," 2016 年 8 月.

44 ランサムウェアに感染してしまったら?(1/2) 43 身代金を払っても復旧できるかは攻撃者の方針および共通鍵が攻撃者までちゃんと届いているかに依存 ( 不確実 ) 暗号化した共通鍵が何らかの問題で失われていると攻撃者側でもどうしようもない現時点では確実に回復する方法は無い身代金支払後も鍵を返すつもりのない攻撃者 3. 暗号化した共通鍵を攻撃者に送信ネットワークの途中での消失メモリ内 2. 共通鍵を公開鍵で暗号化 1. 共通鍵を生成

45 ランサムウェアに感染してしまったら?(2/2) 44 緊急性対応コスト確実性を考えて対応を考える前日の終業時のバックアップがあればそこからの1 日分の作業で被害は取り戻せる身代金より確実に安いバックアップからの復旧を考える場合確実にランサムウェアを消すためにOSクリーンインストール後にバックアップから復旧将来的な回復ソフトウェアの提供の可能性を考えて感染 PCはできる限り現状保存を行なうスリープ状態にして保存などランサムウェアの脅迫は写真などで記録バックアップからの復旧 USB

46 45 回復の可能性がある事例非常に運が良いことに復号ツールが出ていた TeslaCryptは犯人が秘密鍵を公開してくれた ESET 社がTeslaCryptDecryptorを公開偽解除ツールなども出てくると考えられるので信頼できる所が公開しているかを確認運が良いことにメモリ上の動作中ランサムウェアから共通鍵を取り出すツールが出ていたメモリ上の共通鍵の破棄処理がいい加減だったりした場合破棄したメモリ領域が上書きされると共通鍵は失われる点に注意 Wannakiwi: WannaCrypt 用ツール感染後 Windowsを再起動していないこと WannaCryptの身代金支払期限 (1 週間 ) を超えていないこと非常に運が良いことにセキュリティ啓発ランサムウェアだった文面を読んでセキュリティ関係の対応をすれば共通鍵を渡してくれる

47 46 ランサムウェア対策まとめランサムウェアに感染後に回復できる可能性は低い攻撃者はあの手この手で感染させようとするので確実に感染を防ぐ方法は無いと考えておく感染リスクを下げるための訓練は行なう被害時の損失や対応コストを減らすためにコストをかけることを意識する日常的なバックアップは PC 故障時の対応コスト削減にもなるのでそのような利点も考慮して実施

Microsoft PowerPoint - lecture rev02.pptx

Microsoft PowerPoint - lecture rev02.pptx 概要 1 ネットワークを介したマルウェアの活動名古屋大学情報基盤センター情報基盤ネットワーク研究部門嶋田創マルウェア概要ネットワークを介したマルウェアの送り込みメールベースウェブベースネットワークを介したマルウェアの活動スパイウェア系ボットネットクライアント系バックドア系 Remote Administration Trojan 系ランサムウェア ( 末尾に長めに説明 ) 標的型攻撃とそのネットワークを介した活動