Microsoft PowerPoint _A4_予稿(最終)

Size: px

Start display at page:

Download "Microsoft PowerPoint _A4_予稿(最終)"

こうしょきせんばる
4 years ago
Views:

1 Page 1 A-4. 標的型サイバー攻撃金城学院大学西松高史このセッションの目的 Page 2 標的型サイバー攻撃の流れを理解する攻撃者が目的とする情報を入手するまでの手順を確認標的型サイバー攻撃で用いるマルウェア及び各種侵入拡大ツールの動作検証標的型サイバー攻撃を受けた時の被害や影響範囲について的確な想定ができる

Page 3 情報セキュリティ 10 大脅威 2017 出展 :IPA( 独立行政法人情報処理推進機構 ) https://www.ipa.

html Page 4 情報セキュリティ 10 大脅威 2017 組織向け脅威 1. 標的型攻撃による情報流出 2.

内部不正による情報漏洩とそれに伴う業務停止 6. ウェブサイトの改ざん 7. ウェブサービスへの不正ログイン 8.

2 Page 3 情報セキュリティ 10 大脅威 2017 出展 :IPA( 独立行政法人情報処理推進機構 ) Page 4 情報セキュリティ 10 大脅威 2017 組織向け脅威 1. 標的型攻撃による情報流出 2. ランサムウェアによる被害 3. ウェブサービスからの個人情報の窃取 4. サービス妨害攻撃によるサービスの停止 5. 内部不正による情報漏洩とそれに伴う業務停止 6. ウェブサイトの改ざん 7. ウェブサービスへの不正ログイン 8.IoT 機器の脆弱性の顕在化 ( けんざいか ) 9. 攻撃のビジネス化 10. インターネットバンキングやクレジットカード情報の不正利用出展 :IPA( 独立行政法人情報処理推進機構 )

情報セキュリティ 10 大脅威 2017 第 1 位標的型攻撃による情報流出 Page 5 企業や民間団体や官公庁等特定の組織に対してメールの添付ファイルやウェブサイトを利用して PC にウイルスを感染させその PC を遠隔操作して別の PC に感染を拡大し最終的に個人情報や業務上の重要情報を窃取する標的型攻撃による被害が引き続き発生している出典 :IPA(

3 情報セキュリティ 10 大脅威 2017 第 1 位標的型攻撃による情報流出 Page 5 企業や民間団体や官公庁等特定の組織に対してメールの添付ファイルやウェブサイトを利用して PC にウイルスを感染させその PC を遠隔操作して別の PC に感染を拡大し最終的に個人情報や業務上の重要情報を窃取する標的型攻撃による被害が引き続き発生している出典 :IPA( 独立行政法人情報処理推進機構 ) 情報セキュリティ10 大脅威第 1 位標的型攻撃による情報流出侵入経路電子メールからばらまき型やりとり型ウェブから水飲み場型事例旅行会社 JTB から個人情報流出 (678 万件 ) 取引先になりすましメールの添付ファイルを開かせた遠隔操作で個人情報を保管しているサーバへ侵入富山大学から研究成果が流出 Page 6 個人情報や原子力発電所の汚染水処理に関する研究成果が流出非常勤の研究者のPCから感染

4 電子メールの信憑性確認怪しいメールという判断知らない人からのメール知った人からでもアドレスがいつもと違う (gmail などのフリーメールを利用していることが多い ) メール送信者と署名 ( シグネチャ ) が違う言い回しが不自然な日本語日本語では使用しない漢字あえて正式名称を一部に含むような URL Page 7 標的型サイバー攻撃の流れ Page 8 1 計画立案 2 攻撃準備標的となる組織の情報を収集準備を行う攻撃者 C&C サーバ 3 初期潜入標的型メール等でウィルス ( 主に ) を送信感染 SNS や USB メモリを使う場合も 12 計画立案攻撃準備 3 初期潜入 4 基盤構築経由で各種ハッキングツールを送信 4 基盤構築 5 内部侵入調査標的側組織 6 目的遂行 5 内部侵入調査 4 のツールを用いてさらに内部システムの侵入を行い調査を進める感染情報漏洩破壊 6 目的遂行 7 再侵入最終目的の達成

5 Page 9 初期潜入 Page 10 初期潜入方法代表的な潜入方法メールからの潜入 ( ばらまき型やりとり型 ) 不審なファイルを添付したメールを送信不審なURLリンクが本文に記載されたメールを送信 USBメモリからの潜入 Webからの潜入 ( 水飲み場型 ) 添付ファイルを実行または URL リンク先にアクセスさせた後に ( 遠隔操作ウィルス ) を使って次の段階 ( 基盤構築 ) に進む

6 Page 11 メールからの潜入例 : 以下のメールを受信した Page 12 とは = Remote Admin Tool (?) Remote Access Trojan(?) バックドア通信を行うウイルスの総称インターネット上の攻撃側サーバ (C&Cサーバ) からの指示によりウイルスの拡散や情報収集の足がかりに ( 例 ) Bozok H-Worm 感染ルータ /Firewall コントローラ指示応答感染側攻撃側サーバ (C&C サーバ ) 仮想的な通信路学内ネットワークインターネット

Page 13 の特徴 (1) 攻撃側への着呼型もともと内部ネット外部ネットへ通信可能なサービスを模して感染 PC~ 攻撃 PC 間の通信路を確立通常の通信と通信の見分けが困難ポート番号 : 80/tcp(http) とか 443/tcp(https) とか攻撃側 C&C サーバ 1 コントローラへ接続要求ルータ /Firewall

7 Page 13 の特徴 (1) 攻撃側への着呼型もともと内部ネット外部ネットへ通信可能なサービスを模して感染 PC~ 攻撃 PC 間の通信路を確立通常の通信と通信の見分けが困難ポート番号 : 80/tcp(http) とか 443/tcp(https) とか攻撃側 C&C サーバ 1 コントローラへ接続要求ルータ /Firewall 感染側感染側学内ネットワーク攻撃側インターネット 2 接続応答 3 通信路を確立指示応答の特徴 (2) Page 14 出口対策が困難 Proxy サーバに対応しているもある感染 PC からインターネットへブラウザでアクセス可能ならば攻撃側 PC から感染 PC のコントロールが可能感染側攻撃側 C&C サーバインターネット Proxy サーバ学内ネットワーク Web サーバ

8 実習管理者 Web ページへのアクセスオートコンプリートを使ってパスワードを記憶を使った初期潜入を体験の感染の操作で何ができるのかどんな機能があるのか確認情報窃取デスクトップ上にあるファイルを窃取内部ネットワークの調査同じネットワークに接続している PC を探すパスワードの解析オートコンプリートを使った場合のパスワードを解析する Page 15 実習概要 Page 16 sjk-pc 実習 1 攻撃側 PC を使った初期潜入を体験実習 2 情報窃取実習 3 内部ネットワークの調査実習 4 パスワードの解析 sjk-victim 実習 0 感染側 PC 管理者 Web ページへアクセス sjk-db Web サーバ Web ページへのアクセス PC 教室 LAN

9 Page 17 実習 1 を使った初期潜入を体験マルウェア感染感染側 PCで添付ファイル ( 取材のお願い.jpg) を開くその結果 PCはマルウェアに感染感染側 PCから攻撃側 PCのC&Cサーバに接続 Page 18 攻撃側 PC 感染側 PC コントローラー (C&C サーバ ) 1 メールの添付ファイルを解凍し開く 2 接続

10 攻撃側 PC からの操作 Page 19 感染側 PC から攻撃側 PC の C&C サーバに接続されると遠隔での操作が可能となる攻撃側 PC 感染側 PC コントローラー (C&C サーバ ) 指示 / 応答 Page 20 基盤構築

11 Page 21 基盤構築初期潜入に成功すると攻撃者は次に潜入先の内部情報を窃取するための基盤構築を行う基盤構築の段階では内部情報を窃取するためのツールを送り込みインストールされる現在の標的型サイバー攻撃は潜伏型と速攻型の2 種類に大別できる潜伏型 : 重要情報窃取を果たすまで活動する潜入してから実際に攻撃を開始終了までの期間が長いもの ( 平均 5か月 ) 潜入後攻撃 ( 情報窃取 ) のための基盤を拡大する攻撃終了の際には痕跡も消していく速攻型 : 重要情報窃取に向けた最低限の情報を入手する潜入してから攻撃が終了するまでの期間が数時間 ~1 日程度潜入後の基盤拡大痕跡消去は行わない基盤構築今回は以下のツールを前もって準備し感染側 PC にインストールを行った圧縮ツール (7-zip) ネットワーク調査ツール (nmap) パスワード解析ツール (IE PassView) Page 22

12 Page 23 実習 2 情報窃取 Page 24 情報窃取感染側 PC のデスクトップ上に保存してあるフォルダを攻撃側 PC へコピーする対象フォルダの確認ファイル圧縮作業圧縮されたファイルを攻撃側 PC へコピー

13 Page 25 内部侵入調査内部侵入調査 Page 26 内部ネットワークの調査標的組織の内部ネットワークシステムを把握 nmap 等端末間での侵害拡大他端末のアクセス権限を入手他端末へ侵害パスワードの窃取 (IE PassView など ) pwdump7, Gsecdump ( ハッシュ値入手 ) Pshtoolkit, Metasploit PSEXEC module ( 偽装アクセス ) サーバへの侵入ユーザ端末からサーバへのリモート操作 PsTools など

14 Page 27 ネットワーク調査ツール nmap 指定したホストやネットワークに対してポートスキャンをするためのツールコマンド (nmap) と様々なオプションを組み合わせることで内部ネットワークに接続されているコンピューターの情報を調査することが可能 OSを推定することも可能オプション例 -A:OS とサーバーアプリケーションのバージョンを調査 -O:OS のバージョンを調査 -P0:ping スキャンを行わない -F: 限定したポートのみ調べる Page 28 実習 3 内部ネットワークの調査

15 Page 29 端末間での侵害拡大他端末へ攻撃外部からコントロールできる端末を複数台確保する主な手法 Pass the Hash 攻撃オートコンプリート機能による保存パスワードの盗用ネットワークモニタリング C&C サーバ基盤拡大用端末潜伏用端末攻撃者感染指令用端末侵入拡大 (ID/PW の盗用 ) 情報送信用端末情報収集用端末 Pass the Hash 攻撃 ( アクセス権限の入手 ) Page 30 Windowsの認証を回避しユーザIDとパスワードのハッシュ値のみを使い不正アクセスする手法生のパスワードが分からなくてもアクセスできるドメイン管理の場合 1 台の PC がやられると全ての PC が被害にあう恐れがある Windows ドメイン攻撃者 C&C サーバ 2 ユーザ ID+ パスワードハッシュを用いて近隣端末へ不正アクセス (keimpx, metasploit) ドメイン管理者権限が取られればドメイン配下の全ての PC は制圧ユーザ ID + ハッシュ 1 ユーザ ID とパスワードハッシュを入手 (wce, lslsass, gsecdump) 感染

16 Page 31 Pass the Hash のしくみファイル共有やプリンタ共有の機能を悪用している SMB 通信プロトコルを使用アプリケーション層ファイル共有 / プリンタ共有サービス SMB トランスポート層インターネット層ネットワークインタフェース層 TCP/IP ネットワークインタフェース Page 32 オートコンプリート機能で保存されたパスワードの盗用オートコンプリートキーボードからの入力を補助する機能一度ブラウザから入力したユーザID+パスワードを次回のアクセスからは自動入力に PC 内部に保存されているパスワードは ( ツールで ) 読み取り可能パスワードの保存ツールで読み取り可能 ( 例 :IE PassView)

17 Page 33 実習 4 パスワードの解析 Page 34 ネットワークモニタリングネットワーク上を流れる情報をモニタリング暗号化されていないユーザID/ パスワードを入手可能ツールで読み取り可能 ( 例 :Sniffpass) ユーザ ID/PW

18 Page 35 サーバへの侵入感染端末を足掛かりとしてサーバへの侵入を試みサーバ上の重要情報にアクセスする主な手法 PsTools 攻撃者 C&C サーバ指令用端末基盤拡大用端末侵入済サーバへの侵入 ( 盗用したユーザ ID/PW の利用 ) (PsTools の利用 ) サーバサーバ感染基盤拡大用端末侵入済 Page 36 PsTools(PsExec) Windows 管理ユーティリティ Microsoft がフリーで配布コマンド PsExec リモートでプロセスの実行を行う PsKill リモートでプロセスの強制終了を行う PsShutdown リモートでシステムのシャットダウンを行うサーバ側でファイル共有サービスが動いていれば動作 SMB のプロセス間通信機能を使用感染端末と同じドメインであればパスワードも不要

19 Page 37 まとめメールの信憑性調査 ( すべてのメールに対して ) 通報メール自体が標的型サイバー攻撃の場合があるメール本文ヘッダー情報から信頼できるものかを判断する添付ファイルがある場合は更に慎重に調査する標的型サイバー攻撃の手法初期潜入メールの添付ファイルやURLリンクを使ってを送信感染させる基盤構築経由で内部情報を窃取するためのツールを送り込む内部侵入調査内部ネットワークシステムの調査把握他端末のアクセス権を入手して侵害拡大サーバーに侵入

Page 1 A-2. 標的型攻撃を受けているらしいとの連絡があった時の調査と対応東海大学東永祥公益社団法人私立大学情報教育協会

Page 1 A-2. 標的型攻撃を受けているらしいとの連絡があった時の調査と対応東海大学東永祥 Page 2 このセッションの目的標的型サイバー攻撃を受けているとメール連絡を受けた時の信憑性調査と標的型サイバー攻撃の手法を実習を通して学ぶ (1) メールヘッダーの見方を理解し通報メールの信憑性を判断できる (2) 標的型サイバー攻撃の流れ手法を理解する Page 3 標的型サイバー攻撃の流れ