2.3 1 RIG Exploit Kit (4) 4 Exploit Kit 2.2 RIG Exploit Kit RIG Exploit Kit 1 5 (1) Web Web (2) RIG Exploit Kit URL (3) URL iframe RIG Exploit Kit (4)

Size: px

Start display at page:

Download "2.3 1 RIG Exploit Kit (4) 4 Exploit Kit 2.2 RIG Exploit Kit RIG Exploit Kit 1 5 (1) Web Web (2) RIG Exploit Kit URL (3) URL iframe RIG Exploit Kit (4)"

まいかにばし
7 years ago
Views:

1 StarC Drive-by Download Web Web Drive-by Download [1] Driveby Download Web Web Web Drive-by Download Exploit Kit Exploit Kit Web Exploit Kit Drive-by Download Exploit Kit RIG Exploit Kit [2][3][4] RIG Exploit Kit IP IP URL URL 1 IP RIG Exploit Kit RIG Exploit Kit Drive-by Download Exploit Kit Department of Frontier Media Science, School of Interdisciplinary Mathematical Science, Meiji University, Kikuchi Laboratory. RIG Exploit Kit RIG Exploit Kit IP RIG Exploit Kit RIG Exploit Kit [5] 2 Drive-by Download Exploit Kit 2.1 Drive-by Download Drive-by Download 4 (1) Web Web Web Web SNS URL Web Web Web Web Web (2) Web User-Agent (3) Web

2 2.3 1 RIG Exploit Kit (4) 4 Exploit Kit 2.2 RIG Exploit Kit RIG Exploit Kit 1 5 (1) Web Web (2) RIG Exploit Kit URL (3) URL iframe RIG Exploit Kit (4) RIG Exploit Kit Web JavaScript Web (5) RIG Exploit Kit RIG Exploit Kit RIG Exploit Kit URL URL Drive-by Download Exploit Kit as a Service Exploit Kit Exploit Kit as a Service Exploit Kit Exploit Kit Exploit Kit Exploit Kit Web Drive-by Download [7] RIG Exploit Kit Web RIG Exploit Kit RIG Exploit Kit [6] NTT RIG Exploit Kit URL IP RIG Exploit Kit [8] 3 Drive-by Download 3 1. Drive-by Download Web 2. Web RIG Exploit Kit RIG Exploit Kit IP 2 3. RIG Exploit Kit Seamless 4. RIG Exploit Kit IP RIG Exploit Kit RIG Exploit Kit

3.1 (1) Drive-by Download 2017 2 24 4 10 Alexa Top 1 Million Web Web Exploit Kit Web Exploit Kit 1 3.1.2 pseudo-darkleech pseudo-darkleech 2017 4 pseudo-darkleech 2 Exploit Kit 3.

([a-za-z]4,8) = iframe / HTTP Status Code 500 GoodMan /div style=ẃidth:1px; height:1px; pos ition:absolute; left:-500px; top:-500px;/ IP

3 RIG Exploit Kit Seamless /iframe width= 0 scrolling= no RIG Exploit Kit height= 0 frameborder= 0 JavaScript src=.

3 3.1 (1) Drive-by Download Alexa Top 1 Million Web Web Exploit Kit Web Exploit Kit pseudo-darkleech pseudo-darkleech pseudo-darkleech 2 Exploit Kit pseudo-darkleech html body 1 top span Exploit Kit iframe Afraidgate /position:absolute; top:-([0-9]3,4)px/ IP EITest /var ([a-za-z]4,8) = iframe / HTTP Status Code 500 GoodMan /div style=ẃidth:1px; height:1px; pos ition:absolute; left:-500px; top:-500px;/ IP pseudo-darkleech /span style= position:absolute; top:-([0-9]3,4)px; width:([0-9]3)px; height:([0-9]3)px; / RIG Exploit Kit Seamless /iframe width= 0 scrolling= no RIG Exploit Kit height= 0 frameborder= 0 JavaScript src=.+ seamless= seamless / JavaScript 3 2 Afraidgate 0 0% EITest % GoodMan 19 0% pseudo-darkleech % Seamless 0 0% 3 JavaScript 4 eval() eval() 5 Base64

StarC Drive-by Download 4 JavaScript 7 5 eval() Base64 6 Web 6 CVE-2016-0189 Web User-Agent User-Agent 3

15-2419 16-0189 Microsoft Internet Explorer JScript 3.2 (2) (1) Drive-by Download Web 3.2.1 7 StarC

4 StarC Drive-by Download 4 JavaScript 7 5 eval() Base64 6 Web 6 CVE Web User-Agent User-Agent 3 CVE CVE Microsoft Internet Explorer JScript 3.2 (2) (1) Drive-by Download Web StarC VirtualBox 4 5 StarC URL OpenVPN URL OpenVPN VPN VPN Fiddler Wireshark URL URL Internet Explorer 3 Fiddler Wireshark Windows Downloads temp Drive-by Download IP VPN IP Fiddler HTTPS Wireshark HTTP/HTTPS

5 3 User-Agent Windows CVE CVE CVE SWF Vulnerability Internet Explorer 8 XP 32 Bit Internet Explorer 8 XP 64 Bit Internet Explorer 8 Vista 32 Bit Internet Explorer 8 Vista 64 Bit Internet Explorer Bit Internet Explorer Bit Internet Explorer Bit Internet Explorer Bit Internet Explorer Bit Internet Explorer Bit Internet Explorer Bit Internet Explorer Bit Internet Explorer Bit Internet Explorer Bit 4 StarC OS CentOS 6.9 Software VirtualBox 5.1 PHP StarC OS Windows 7 Professional 32bit Software Internet Explorer 9 Adobe Flash Player 20 Java Runtime Environment 7 Fiddler 4 Wireshark Campaign Count Fobos 43 Ngay 34 Motors 27 Rulan 14 Seamless Exploit Kit Exploit Kit Count RIG 127 KaiXin 4 Terror Drive-by Download Web StarC Exploit Kit Fobos Campaign Fobos Campaign Web (Malvertising) RIG Exploit Kit StarC Fobos Campaign 8 Fobos Campaign RIG Exploit Kit Decoy

表 8 Ngay Campaign で用いられるドメイン ngay18.tk campngay16.

そうではない場合は Gate へ繋がる iframe を読み込む Gate は RIG Exploit Kit へ繋がる iframe を読み込み RIG Exploit Kit で攻撃が行われる Fobos Campaign の Decoy サイトは不規則に変化し多くがカジノやギャンブルに関する Web サイトとなっていた StarC で観測した Decoy サイトの一例を図 9 に

ga へ誘導する iframe が読み込まれる Ngay Campaign の特徴として Gate で使用されるドメインが Freenom と呼ばれる無料ドメインを用いていることが挙げられるそのため非常に多くのドメインを用いており移り変わりも激しいドメインには ngay や camp day などといった文字列が使用されることが多い StarC で観測した Ngay

3 (3)RIG Exploit Kit の追跡実験 RIG Exploit Kit には難読化以外の解析妨害としてアクセス制御機能が存在する同一の IP アドレスで連続的に RIG Exploit Kit にアクセスを行った場合 2 度目以降は HTTP の Location ヘッダによって無害な Web サイトへリダイレクトされるこれによって連続的なアクセスは行われなくなり

6 表 8 Ngay Campaign で用いられるドメイン ngay18.tk campngay16.tk 図 8 StarC で観測した Fobos Campaign Web サイトと Gate と呼ばれる Web サイトを経由する広告ネットワークから Decoy サイトへリダイレクトされると Decoy サイトはアクセス元の IP アドレスが過去に Fobos Campaign へアクセスしたことがあるか判定するアクセスしたことがある場合は無害な Web サイトが表示されるがそうではない場合は Gate へ繋がる iframe を読み込む Gate は RIG Exploit Kit へ繋がる iframe を読み込み RIG Exploit Kit で攻撃が行われる Fobos Campaign の Decoy サイトは不規則に変化し多くがカジノやギャンブルに関する Web サイトとなっていた StarC で観測した Decoy サイトの一例を図 9 に示す testcamp20.ga へ誘導する iframe が読み込まれる Ngay Campaign の特徴として Gate で使用されるドメインが Freenom と呼ばれる無料ドメインを用いていることが挙げられるそのため非常に多くのドメインを用いており移り変わりも激しいドメインには ngay や camp day などといった文字列が使用されることが多い StarC で観測した Ngay Campaign の Gate のドメインの一例を表 8 に示す 3.3 (3)RIG Exploit Kit の追跡実験 RIG Exploit Kit には難読化以外の解析妨害としてアクセス制御機能が存在する同一の IP アドレスで連続的に RIG Exploit Kit にアクセスを行った場合 2 度目以降は HTTP の Location ヘッダによって無害な Web サイトへリダイレクトされるこれによって連続的なアクセスは行われなくなり RIG Exploit Kit にアクセスしたにも関わらず Exploit Kit として意図した動作が行われなくなり RIG Exploit Kit の振舞いについて解析する際に障害となっている図 11 は初めて RIG Exploit Kit にアクセスした時の HTTP レスポンスで図 12 は 2 度目のアクセスの時のものを示している 2 度目のアクセスで図 9 Fobos Campaign の Decoy サイトの例は Location ヘッダによって他のサイトへリダイレクトされていることが分かる Ngay Campaign Ngay Campaign は 2017 年 8 月頃から観測報告がある攻撃キャンペーンで Fobos Campaign と同じように RIG Exploit Kit を用いる Malvertising 系の攻撃キャンペーンである StarC で観測した Ngay Campaign のトラフィックを図 10 に示す図 11 1 度目のアクセスの HTTP レスポンス図 10 StarC で観測した Ngay Campaign 同一の IP アドレスで 2 回以上連続的に RIG Exploit Kit へアクセスした場合に発生するリダイレクトによる Ngay Campaign は広告ネットワークから誘導されて解析妨害は永続的なものなのかそうではない場合はどくると Gate を経由して RIG Exploit Kit へ誘導するれくらいの期間有効なのか調査するために次の実験を Gate では解析妨害等は一切なく単純に RIG Exploit Kit 行った

12 2 HTTP 9 Seamless URL http://194.58.38.31/signup1.php http://194.58.38.50/signup1.php http://194.58.38.51/signup1.php http://194.58.39.179/signup1.php http://194.58.46.

3.1 13 14 2 UTC 6 18 RIG Exploit Kit 9 UTC 6 18 5 0 12 3.4 (4) RIG Exploit Kit RIG Exploit Kit 2017 7 29 8 3 1 RIG Exploit Kit IP xx.xx.34.231 xx.xx.35.

7 12 2 HTTP 9 Seamless URL RIG Exploit Kit 10 RIG Exploit Kit URL Seamless Seamless URL UTC 6 18 RIG Exploit Kit 9 UTC (4) RIG Exploit Kit RIG Exploit Kit RIG Exploit Kit IP xx.xx xx.xx RIG Exploit Kit URL Seamless xx.xx xx.xx RIG Exploit Kit RIG Exploit Kit RIG Exploit Kit RIG Exploit Kit IP RIG Exploit Kit IP Web 15 RIG Exploit Kit

RIG Exploit Kit Exploit Kit 16 RIG Exploit Kit RIG Exploit Kit JavaScript Drive-by Download xx.xx.35.

8 RIG Exploit Kit Exploit Kit 16 RIG Exploit Kit RIG Exploit Kit JavaScript Drive-by Download xx.xx xx.xx xx.xx RIG Exploit Kit xx.xx RIG Exploit Kit IP RIG Exploit Kit 4 RIG Exploit Kit Drive-by Download IP RIG Exploit Kit 5 RIG Exploit Kit RIG Exploit Kit 1 IP 12 RIG Exploit Kit IP RIG Exploit Kit RIG Exploit Kit IP [1] NTT ( v ) [2] RIG- EK ( rigek.html ) [3] ( ) [4] LAC CYBER GRID VIEW Vol.3 RIG Exploit Kit ( cgview vol3 f001t.pdf ) [5] RSA SHADOWFALL ( ) [6] RIG Exploit Kit [7] Exploit Kit Web 2013 pp [8] NTT RIG ( /media/nttsecurity/files/resource-center/what-wethink/rigek-analysis-report.pdf )

Drive-by Download RIG Exploit Kit

Drive-by Download RIG Exploit Kit 2017 StarC Drive-by Download 1 1 2 2 2.1 Drive-by Download.................................... 2 2.2 RIG Exploit Kit......................................... 2 2.3.............................................