スライド 1

Size: px

Start display at page:

Download "スライド 1"

まれあすえがら
5 years ago
Views:

1 マルウェア解析の最前線と企業がとるべき対策 ~ 脆弱性攻撃とマルウェア脅威 ~ Fourteenforty Research Institute, Inc. Fourteenforty Research Institute, Inc. 株式会社フォティーンフォティ技術研究所

2 IT インフラとハッカーアンダーグラウンドの歴史 1990 年代ハッカーアンダーグラウンドが本格化国内外で多数のハッカーチーム結成情報セキュリティの意識広がる情報不足でありセキュリティ技術者もアンダーグラウンドも情報技術をかき集めたセキュリティ技術者とアンダーグラウンドが同じ場所で情報交換 Full Disclosure 時代ハッカーアンダーグラウンドの動機は知的好奇心や悪戯自己顕示欲 2000 年 ~2003 年 Web 書き換え全盛ネットワークワーム全盛脅威が目に見えて増加情報が溢れ共有されるセキュリティ技術もアンダーグラウンドも急拡大 2

3 2003 年 ~2005 年国内は Winny 情報漏洩時代悪戯や自己顕示欲目的の攻撃は世界的に減少 bot 全盛時代ハッカーアンダーグラウンドのクローズド化ビジネスに関与 2005 年 ~2008 年見えない攻撃標的型攻撃の本格化アンダーグラウンド技術の軍事目的利用の兆候サイバー諜報活動の本格化そして 3

4 情報セキュリティ脅威の現状情報セキュリティを取り巻く環境は次のステージに移行ハッカーアンダーグラウンドが本格化して十数年よやく実用段階に攻撃が見えない対策が難しい 0-day 利用などの高度攻撃アンダーグラウンド技術が実用化されれば当然の流れ短期的にはこの流れが加速 4

5 ハッカーアンダーグラウンド技術の実用化途上国にとってクリーンかつ収益性の高い仕事途上国でも十分な力を持つことができる一人でも優秀な技術者が居れば既存の社会システムを使って強大な力や財力を得ることができるこの現象は今に始まったことではない表面化しなかった理由は先進国の人間にその発想は無いまたは活用できる既存の社会システムが無いあるいは敷居が高い近年途上国の IT 技術が急激に成長アンダーグラウンド技術が高度化 5

6 近年の脅威の流れ Bot / Mass 型マルウエア無差別大量攻撃により得られた複数のマシンから構成される Bot net SPAM DoS 踏み台電子商取引パスワード取得 etc 標的型攻撃特定の対象を狙った攻撃情報搾取目的に特化諜報活動 etc 6

7 標的型攻撃とは特定の目標 ( 標的 ) に対し一般的には - 経済的利益あるいは安全保障に影響を与えるなどの意図を持って - 情報を搾取する活動あるいは情報搾取のための偵察活動 - ソーシャルエンジニアリングや脆弱性攻撃などのテクニックを組み合わせ - 標的に対してマルウェアを送信し - リモート制御しながら情報搾取や偵察を行う DDoS や大量の個人情報搾取 Web 改ざん Bot 不特定多数への未知マルウェア攻撃などが近年相次ぐが標的型攻撃はその背景が明確に異なる標的型攻撃は単純なウイルス攻撃ではなく特定の標的を狙ったハッキング行為標的型攻撃に対抗するためには標的型攻撃に特化した戦略を進める必要がある 7

8 一般的な標的型攻撃のプロセス C&C サーバ 4 インターネット 1 7 PDF 脆弱性攻撃 PDF 2 FW / ゲートウェイマルウェア生成 3 5 調査偵察 6 1 標的型攻撃メール作成送付 2 添付ファイルを開く本体マルウェア ( バックドア ) 生成 3 C&C サーバに接続 4 バックドアコマンド発行 5 バックドア命令受信 6 調査偵察情報搾取活動 7 機密情報搾取上記プロセス中一か所でも遮断できれば被害は発生しない 8

高度なソーシャルエンジニアリングによるメール文面は特徴的ポイント 2 : 基本的にメールをパターン型アンチウイルスで到達前に弾く事は非常に困難標的型攻撃検体のシグネチャは無いメールが到達し添付ファイルが開かれる事はほぼ避けられない 2.

9 標的型攻撃における各プロセスの特徴 1. 標的型攻撃メール作成送付 - 高度なソーシャルエンジニアリングによるメール文面 - データファイル (PDF Office 文書 ) による脆弱性攻撃 - ツール群を利用する事も簡単に未知マルウェアを作成可能 - 未知セキュリティ脆弱性を利用する事もポイント 1 : 同様の手法は Bot などでも見られるが高度なソーシャルエンジニアリングによるメール文面は特徴的ポイント 2 : 基本的にメールをパターン型アンチウイルスで到達前に弾く事は非常に困難標的型攻撃検体のシグネチャは無いメールが到達し添付ファイルが開かれる事はほぼ避けられない 2. 添付ファイルを開く本体マルウェア ( バックドア ) 生成 - メールや添付ファイルは本体マルウェアの単なる発射台本体マルウェアが実際に偵察や情報搾取を実施 - メール添付ファイル本体マルウェアともパターンファイルに依存したアンチウィルス技術では検知困難 - リアルタイムのパッチ適用など脆弱性攻撃対策を徹底する事は多くの組織で困難 0-day の利用も 3. C&C サーバに接続 4. バックドアコマンド発行 5. バックドア命令受信 6. 調査偵察情報搾取活動 7. 機密情報搾取 - 攻撃者の指令を受信し調査偵察情報搾取を行う長期間潜伏する事も - C&C サーバは攻撃毎に変化する事が多く接続先をシグネチャで検知する事は困難 - バックドア通信は暗号化 HTTP 通信に紛れる事が多く正常通信との区別がつきにくいシグネチャベースの技術や通信ログの分析で通信を遮断する事も困難 9

10 標的型攻撃と通常のウィルス対策の違い標的型攻撃はマルウェアを使ったハッキング行為マス型マルウェアなど通常のウィルス対策手法などは効果が限定的マルウェアが添付されたメールが到達し開かれる事を防ぐのはほぼ避けられない標的型攻撃対策のポイント : 添付されたマルウェアが開かれてから実際に情報が流出するまでのどこかのポイントで攻撃を遮断する多少防御でリスクを緩和防御ポイント防御ポイント 1 標的型攻撃メール作成送付 2 添付ファイルを開く本体マルウェア ( バックドア ) 生成 3 C&C サーバに接続 4 バックドアコマンド発行 5 バックドア命令受信 6 調査偵察情報搾取活動 7 機密情報搾取 10

11 一般的な標的型攻撃のプロセスと対抗ポイント対抗ポイント対抗ポイント 1 標的型攻撃メール作成送付 2 添付ファイルを開く本体マルウェア ( バックドア ) 生成 3 C&C サーバに接続 4 バックドアコマンド発行 5 バックドア命令受信 6 調査偵察情報搾取活動 7 機密情報搾取 [ 対策 ] パッチマネジメント PDF ビューア起動 PDF 脆弱性攻撃発動 Web ブラウザ掌握 2-3 コードインジェクション 2-5 Webブラウザのコンテキストで外部とHTTP 通信 [ 対策 ] Proxyサーバ ( 認証付 Proxyサーバがベター ) [ 対策 ] HIPS 6 シェルコード [ 対策 ] 脆弱性攻撃緩和技術 [ 対策 ] 権限確認ポリシーの見直し脆弱性対策など 2-4 本体マルウェア生成 & 実行 [ 対策 ] ヒューリスティック検知 11

12 三菱重工業の事例 (1/3) / 報道情報ベース 2011 年 9 月 19 日読売新聞朝刊にてサイバー攻撃を受けたとの報道夕刻第三者による攻撃を受けていたことを関係者が発表攻撃の詳細はマルウェア感染によるもの防衛産業や原子力関係の生産開発拠点に攻撃が集中 11 拠点のコンピュータ83 台 (PC38 台 / サーバ45 台 ) が感染外部からの侵入および情報抜きとりの痕跡も見つかっている流出したのはコンピュータのシステム情報とされる ( 1) キーロガーにより一部サーバのパスワードが流出した可能性 ( 2)

13 三菱重工業の事例 (2/3) / 報道情報ベース 2009 年 7 月ごろ標的型メールによる攻撃が開始される 2011 年 8 月 11 日一部コンピュータへのマルウェアの感染を確認民間セキュリティ会社へ調査を依頼 2 年 2011 年 9 月 19 日読売新聞朝刊にてサイバー攻撃を受けたとの報道夕刻第三者による攻撃を受けていたことを関係者が発表攻撃の詳細はマルウェア感染によるもの防衛産業や原子力関係の生産開発拠点に攻撃が集中 11 拠点のコンピュータ83 台 (PC38 台 / サーバ45 台 ) が感染外部からの侵入および情報抜きとりの痕跡も見つかっている流出したのはコンピュータのシステム情報とされる ( 1) キーロガーにより一部サーバのパスワードが流出した可能性 ( 2) 13

14 三菱重工業の事例 (3/3) / 報道情報ベース 2011 年 10 月 25 日サイバー情報共有イニシアティブ (J-CSIP) が発足三菱重工 IHI 川崎重工富士重工等の計 10 社が参画 IPAをハブとした攻撃情報の収集共有 14

RSA 攻撃事例 2011-03-15 に contagio blog にて確認 Flash Exploit を含む xls ファイルが添付されたメールを確認詳細不明だが日本の原発を利用して添付ファイルを開くよう誘導した可能性がある添付ファイルのハッシュ 4bb64c1da2f73da11f331a96d55d63e2 4031049fe402e8ba587583c08a25221a

15 RSA 攻撃事例に contagio blog にて確認 Flash Exploit を含む xls ファイルが添付されたメールを確認詳細不明だが日本の原発を利用して添付ファイルを開くよう誘導した可能性がある添付ファイルのハッシュ 4bb64c1da2f73da11f331a96d55d63e fe402e8ba587583c08a25221a D8aefd8e3c96a56123cd5f07192b7369 7ca4ab177f b f CVE Adobe Flash Player ZeroDay Update 15

RSA の攻撃に利用されたファイル F-Secure の分析により以下のファイルが利用と判明 1e9777dc70a8c6674342f1796f5f1c49(MSGファイル )

16 RSA の攻撃に利用されたファイル F-Secure の分析により以下のファイルが利用と判明 1e9777dc70a8c f1796f5f1c49(MSGファイル ) fe402e8ba587583c08a25221a(XLSファイル ) 3 月の段階でセキュリティ研究者の間で話題になっている攻撃が利用された模様我々が RSA のハッキングで使用されたファイルを発見した方法 16

17 RSA 標的型攻撃マルウエアの攻撃モデル検体.xls を読み込み検体.xls Excel オブジェクト埋め込みにより Flash が自動的に起動 Flash Player Exploit Flash の脆弱性を突き Backdoor をドロップし実行外部サーバ Backdoor(RAT) 外部サーバからコントロールされてしまう 17

18 RAT(Remote Administration Tool) Poison Ivy Device Manager 管理者がリモートのマシンをあたかも物理アクセスできるかのように管理する為ツールクライアントソフトウェアは定期的にサーバからコマンドを受信実行する Firewall などからは通常の HTTP 通信に見える右の図のような商用ソフトウェア並の管理機能を持っている攻撃ツールもある Poison ivy 18

19 RSA 標的型攻撃マルウエアの特徴 xls ファイルに Flash がオブジェクト埋め込みされているメールの添付ファイルは xls だが Flash が攻撃される RAT(Remote Administration Tool) により外部サーバからコントロールされてしまう情報収集 ( マシン名 OS バージョンユーザ名など ) ファイルのアップロードファイルの列挙 ( 検索 ) タスクの強制終了コマンドの実行 AV 機能の強制終了機密情報の検索とアップロードなどが可能に 19

20 Duqu Duqu とは 10 月に報告された新種のマルウェア Windows カーネルの 0-day 脆弱性を用いて感染感染 PC の情報収集攻撃者のサーバーに送信攻撃者のサーバーから新たなマルウェアコードをダウンロードして実行 Stuxnet との関連性 Stuxnet のソースコードが流用されている 0-day 脆弱性を用いて感染するデバイスドライバには有効なデジタル署名が付与されている現時点では失効済み標的型攻撃に用いられた 20

21 Duqu の感染シーケンス doc ファイル 1 読み込まれ Exploit 発動インストール完了後にはこちら側のファイルのみが残りほかのマルウェアファイルは削除される winword.exe Shellcode 2 作成 3 作成実行 Installer.dll 6 実行 8 実行 7 作成 DuquMain.dll 10 コード注入 11 実行 explorer.exe 4 痕跡を消去 USER KERNEL services.exe 5 コード注入 9 サービスに登録 Installer.sys Startup.sys 攻撃者が用意したサーバ 21

22 Windows 再起動時の再感染シーケンス Startup.sys 1Windows 起動時の早い段階で自動的に開始 KERNEL USER 2 プロセスの起動を監視 services.exe Injected Code New Entry Point 3 特定のプロセスが起動したらコードを注入しエントリーポイントを変更 4 実行 5 コード注入 DuquMain.dll 6 実行 explorer.exe 攻撃者が用意したサーバ 22

23 感染後の動作情報窃取 explorer.exe 画面キーストローク LAN 内の端末情報 DuquMain.dll Rc302.dll zdata.dll 1 マルウェアコードをファイルを介せず直接メモリに展開して実行する機能をもつ DLL を作成読込 2 攻撃者のサーバと対話する機能をもつ DLL を作成読込情報マルウェアコード 3HTTP(80)/HTTPS(443) /SMB で通信をするダウンロードしたマルウェアコードはファイルにせずに直接メモリに展開して実行する攻撃者が用意したサーバ 23

24 Duqu の特徴検出や解析を困難にする細工が多いたとえばカーネルデバッガーの検知感染後一定日数が経過すると自身を完全に削除マルウェアコードをファイルを使わずオンメモリで実行多数のアンチウイルス製品に対する検出回避処理攻撃者サーバーとの通信は HTTP/HTTPS を使用正常な HTTP 通信の末尾に暗号化されたデータを付与して正常な通信に見せかける通信内容の例 f 31 2e f 4b 0d HTTP/ OK a 43 6f 6e e 74 2d a Content-Type: i d f 6a d 0a 4c d mage/jpeg..last d 6f a 20 4d 6f 6e 2c Modified: Mon, ff d8 ff e a JFIF ff db C a 0a 09 0b 0d 16 0f 0d 0c 0c 0d 1b c3 8a f bc b7 e2 d3 4d 75 eb 56..VY!/.A3...Mu.V c c2 a6 0c ae f1 b1 df fe d5.s...q b1 a7 f1 9e ff 00 6b 6b cb bb 94 a0 73 1c b kk...s..t a 6c d3 f1 45 dc 9f 2c a4 5e 1f 86 bc cb e8 4d.l..E..,.^...M HTTP メッセージヘッダー ( 正常 ) Jpeg ファイルデータ ( 正常 ) Duqu 独自のデータ ( 圧縮暗号化済 ) 24

25 Duqu の特徴コンポーネント化されておりカスタマイズ性や状況に適用させる能力が高いたとえば C&C サーバーと対話するためのコンポーネント (zdata.dll) ダウンロードしたコードを実行するためのコンポーネント (Rc302.dll) 情報窃取のためのコンポーネント (keylogger) さらに設定ファイルを与えることで動作が変更可能攻撃者サーバーからの指示に応じて柔軟に活動可能マルウェアの実装技術に加えアーキテクチャがさらに洗練されてきているたとえば Allow Insecure Zone Allow P2P 方式で攻撃者サーバに到達可能攻撃者が用意したサーバ Block Secure Zone 25

26 まとめ標的型攻撃への技術的対策多層防御でリスクを緩和現状を可視化し適切な戦略立案を場当たり的対策にならないようにトレーニング標的型攻撃は識別が難しいがトレーニングを徹底すれば事故率は低下インシデント対応事故前提で緊急対応できるスキームを構築アンチウイルスベンダーの情報に頼らない証拠性の高い分析を行い被害調査と適切な対策を実施する 26

27 ご清聴ありがとうございました Fourteenforty Research Institute, Inc. 株式会社フォティーンフォティ技術研究所 27

感染条件感染経路タイプウイルス概要前のバージョン Adobe Reader and Acrobat より前のバージョン Adobe Reader and Acrobat before より前のバージョン Adobe Flash Player before

感染条件感染経路タイプウイルス概要前のバージョン Adobe Reader and Acrobat より前のバージョン Adobe Reader and Acrobat before より前のバージョン Adobe Flash Player before 1. PDF-Exploit-m 情報 1.1 PDF-Exploit-m の流行情報 2011 年 9 月に日本の防衛産業メーカーの 1 社が標的型のサイバー攻撃被害に遭い複数のサーバやパソコンが本ウイルスに感染する被害が発生したと報じられた ( 被害に遭ったのは同年 8 月 ) 今回解析する PDF-Exploit-m はそのウイルスの亜種と思われる PDF ファイルであるこの標的型攻撃は