重要インフラがかかえる潜在型攻撃によるリスク

Size: px

Start display at page:

Download "重要インフラがかかえる潜在型攻撃によるリスク"

れいがとどろき
4 years ago
Views:

1 2009 年 2 月 20 日重要インフラがかかえる潜在型攻撃によるリスク騙しのテクニックソーシャルエンジニアリングとセキュリティ脆弱性を巧みに利用した標的型攻撃独立行政法人情報処理推進機構セキュリティセンター情報セキュリティ技術ラボラトリー研究員鵜飼裕司 1

2 アジェンダ発表概要 IPA を語った標的型攻撃の事例本攻撃の手口本攻撃で想定される被害本攻撃の対策攻撃のトレンドと今後脅威対策のためのアプローチ

3 はじめに騙しのテクニックソーシャルエンジニアリングセキュリティ脆弱性これらを巧みに利用した標的型攻撃が日本国内で次々と発生 2008 年 4 月 IPA セキュリティセンターを騙った標的型攻撃が発生メール差出人を IPA 職員に偽装現実の職員メール本文が信憑性のある文章ソーシャルエンジニアリング通常危険性が無い PDF ファイルが添付セキュリティ専門家でも攻略されかねない PDF 近年攻撃が相次いだソーシャルエンジニアリング + 脆弱性攻略による巧妙な標的型攻撃の事例と手口を解説今時の標的型攻撃への対抗策と分析技術の現状を解説 3

4 なりすましメール 1 メール受信者が興味を持つ件名 2 信頼できそうな組織 3 件名に関わる本文 4 本文に合った添付ファイル 5 安全とされる文書ファイル 6 2 に対応した署名 IPA を偽装した攻撃 IPA が 2008 年 3 月 18 日に公開した近年の標的型攻撃に関する調査研究に関する内容添付ファイルはそのプレスリリース全文にマルウェアを仕掛けたもの

5 本攻撃の特徴と傾向当該プレスリリースを公表後およそ 1 ヵ月後メールの受信者は攻撃の存在を推測することが非常に困難攻撃は OS の脆弱性を狙ったものからアプリケーションの脆弱性を狙ったものにソーシャルエンジニアリングを巧みに利用攻撃成功の確度を上げる試み

類似例コンピュータセキュリティシンポジウム (CSS)2008 においても確認 CSS : ( 社 ) 情報処理学会コンピュータセキュリティ研究会主催コンピュータセキュリティに関する研究会 CSS からの CFP( 論文募集 ) を装ったメールマルウェアが仕掛けられた PDF ファイルが添付一貫して CSS からの CFP 配布を偽装

6 類似例コンピュータセキュリティシンポジウム (CSS)2008 においても確認 CSS : ( 社 ) 情報処理学会コンピュータセキュリティ研究会主催コンピュータセキュリティに関する研究会 CSS からの CFP( 論文募集 ) を装ったメールマルウェアが仕掛けられた PDF ファイルが添付一貫して CSS からの CFP 配布を偽装メールから攻撃を推測することは困難攻撃偽装のための一次情報が現実に即している点で共通 CSS の Web にて CFP を公開した約 16 日後に発生 Hitachi Incident Response Team CSS2008 の CFP を騙ったウイルスメールに関する情報

7 攻撃の流れ攻撃者が PDF ファイルを送付 PDF ユーザーが開く PDF 脆弱性攻略マルウェアに感染 PDF 圧縮された悪意の JavaScript コードマルウェア代替 PDF ファイル悪意の JavaScript コードがマルウェアを生成脆弱性の存在する Adobe Reader CVE (JVNDB ) PDF マルウェア代替 PDF ファイル通常の文書が表示攻撃のカムフラージュ実行悪意の PDF ファイル

8 マルウエアの動作 OS のバージョン言語 ID コンピュータ名 IP アドレス gethostbyname( コンピューター名 ) Proxy の設定 HKEY_CURRENT_USER SOFTWARE Microsoft Windows CurrentVersion Internet Settings ProxyEnable => 0( 無効 )/1( 有効 ) ProxyServer => :80 攻撃者用制御サーバーと通信しコマンドを受信

9 攻撃の特徴 (1) ~ HTTP 経由で攻撃者用制御サーバーとの通信ボットなど従来マルウェアの多くは IRC (6667/tcp) や独自プロトコルで通信本マルウェアは HTTP(80/tcp) を利用内部ネットワークから外部ネットワークに対する HTTP の通信は多くの場合許可外向き通信が適切にフィルタリングされていても本マルウェアの通信はブロック困難

10 攻撃の特徴 (2) ~ HTTP Proxy サーバーへの対応 IPA にて 2008 年 3 月公開した近年の標的型攻撃に関する調査研究制御サーバーと通信するマルウェアへの対策 HTTP Proxy サーバーの導入が有効と報告しかし本マルウェアは HTTP Proxy サーバーが利用されていた場合それを利用して攻撃者用制御サーバーと通信 HTTP Proxy サーバーで脅威低減は困難

11 想定される被害攻撃者用制御サーバーから受信したコマンドに応じて以下の処理を実行任意のプログラムの実行攻撃者用制御サーバーから指定された任意のプログラムを実行結果を攻撃者用制御サーバーに送信ファイルの一覧取得ファイルの一覧を取得結果を攻撃者用制御サーバーに送信ファイルの送受信指定されたファイルを攻撃者用制御サーバーに送信攻撃者用制御サーバーから送信されたファイルを受信任意のファイルの削除指定された任意のファイルを削除プログラム実行が可能であるため二次マルウエア感染などあらゆる攻撃が可能

エンドユーザー向けの対策最新版ソフトウェアの利用攻撃に利用されている Adobe Reader の脆弱性は 2008 年 2 月に報告されたものベンダーは既に修正バージョンを公開ソフトウェアを最新版にアップデート http://get.adobe.

12 エンドユーザー向けの対策最新版ソフトウェアの利用攻撃に利用されている Adobe Reader の脆弱性は 2008 年 2 月に報告されたものベンダーは既に修正バージョンを公開ソフトウェアを最新版にアップデートハードウェア DEP の利用 Microsoft Windows XP SP2 以降ではハードウェア DEP (Data Execution Prevention) と呼ばれるセキュリティ機構が OS に搭載 OS およびプロセッサの両方がこれに対応している必要があるハードウェア DEP を利用することで本攻撃などメモリ破壊起因の脆弱性攻撃の多くを防止可能

13 エンドユーザー向けの対策つづき不要な機能の無効化本攻撃は Adobe Reader の JavaScript エンジンに実装されている特定関数の脆弱性を利用 Adobe Reader において JavaScript サポートが不要の場合は機能を無効化

14 システム管理者向けの対策 HTTP Proxy サーバーのログの確認下記のドメイン名を持つ攻撃者用制御サーバーと通信 haiyo.sunsharp.net haiyo.livecheck.org HTTP Proxy サーバーのログを確認自組織内のマルウェア感染端末を確認

15 システム管理者向けの対策つづき認証付き HTTP Proxy サーバーの導入本マルウェアと攻撃者用制御サーバーの通信をブロック可能一般的には認証付き HTTP Proxy による対策を回避することも技術的には可能過信は禁物!!

16 攻撃のトレンドと今後今回の IPA を騙った攻撃 : ソーシャルエンジニアリング + 脆弱性攻略既知の脆弱性攻略であったため意識の高いパッチ適用者は攻撃を免れたしかし未知脆弱性を利用したケースも既に存在 2006 年 8 月一太郎の 0-day 脆弱性を利用した攻撃発生が報道されている (Symantec 社の発表ただし出所や攻撃手法の詳細は不明 ) ソーシャルエンジニアリング + 未知脆弱性攻略もはやセキュリティ専門家でも防御困難深刻な脅威トレンド対策手法の研究が望まれる

17 脅威対策のためのアプローチ近年の攻撃の解析を継続手口を詳細に把握しノウハウを蓄積本質的な対策手法の研究しかし多重難読化独自 API (Application Program Interface) テーブル多数の無駄コード挿入アンチデバッギングアンチリバースエンジニアリングアンチサンドボックスマルチスレッド圧縮されたコードの展開他プロセスへのインジェクトリモートホストからの部分コード受信と実行 - コードサイズも大きく大半で IDA(HexRay 社の高機能ディスアセンブラ ) が利用不可 - 迅速な解析を行うためには熟練した解析技術が必要近年の標的型攻撃マルウエアは解析が非常に困難

18 マルウエア解析手法動的解析プログラムの挙動に着目実際に実行しファイルアクセスや通信等を監視挙動を容易に把握できるが仕様や実行されていない処理の解析が困難静的解析プログラムの構造および仕様に着目逆アセンブルし 1 命令ずつ解析プログラムの仕様を完全に把握全容を正確に分析することができるが熟練技術と時間が必要近年の攻撃では動的解析と静的解析に対して解析を困難にするための様々な耐解析機能を有す 18

19 IPA では脆弱性を利用した標的型攻撃のための解析ツールを開発デバッガ検出対策シェルコード展開ツール実行パスアナライザーツール群 IAT リビルダー API 名前解決ツール難読化解除ツール - セクションパッキング - データパッキング - シェルコードデコーダプロセス毎パケットモニターコアエンジン - インストラクショントレーサ - 逆アセンブラ - PE ビルダー API トレーサ - API コールトレーシング - ハンドルトレーシング - メモリトレーシング API プロトタイプ DB マルウエアサーバエミュレータレポートエンジンやり直しとバックトレース支援 - XML レポートジェネレータ - HTML フォームカーネルモードインジェクショントレーサーユーザーモードインジェクショントレーサー

20 セキュリティ研究者 IT 管理者に有用な情報を出力さまざまな対解析技術を回避多くのケースで分析が正確簡単迅速に

さいごに監視調査分析の継続今後の新たな脅威についても調査分析を継続して実施対策を発表 IPA では不審メール 110 番相談窓口を設置している http://www.ipa.go.

21 さいごに監視調査分析の継続今後の新たな脅威についても調査分析を継続して実施対策を発表 IPA では不審メール 110 番相談窓口を設置している脆弱性を利用した標的型攻撃のための解析ツールをリリース近年の脅威に対する解析基盤の整備セキュリティ研究者にとって有用な情報の発信対策手法に関する研究成果の発表新たな脅威に対して多方面から対策を推進する

脆弱性を狙った脅威の分析と対策について Vol 年 7 月 21 日独立行政法人情報処理推進機構セキュリティセンター (IPA/ISEC) 独立行政法人情報処理推進機構 ( 略称 IPA 理事長 : 西垣浩司 ) は 2008 年度における脆弱性を狙った脅威の一例を分析し対策をまと

脆弱性を狙った脅威の分析と対策について Vol 年 7 月 21 日独立行政法人情報処理推進機構セキュリティセンター (IPA/ISEC) 独立行政法人情報処理推進機構 ( 略称 IPA 理事長 : 西垣浩司 ) は 2008 年度における脆弱性を狙った脅威の一例を分析し対策をまと脆弱性を狙った脅威の分析と対策について Vol.2 2009 年 7 月 21 日独立行政法人情報処理推進機構セキュリティセンター (IPA/ISEC) 独立行政法人情報処理推進機構 ( 略称 IPA 理事長 : 西垣浩司 ) は 2008 年度における脆弱性を狙った脅威の一例を分析し対策をまとめました同じ攻撃手法で異なる攻撃内容攻撃者はマルウェア作成にツールを利用 ~ 不審メール 110