2.3 1 RIG Exploit Kit (4) 4 Exploit Kit 2.2 RIG Exploit Kit RIG Exploit Kit 1 5 (1) Web Web (2) RIG Exploit Kit URL (3) URL iframe RIG Exploit Kit (4)

Similar documents
Drive-by Download RIG Exploit Kit

Drive-by Download 攻撃に おけるRIG Exploit Kitの 解析回避手法の調査

Flash Player ローカル設定マネージャー


オンラインによる 「電子申告・納税等開始(変更等)届出書」 提出方法


07_経営論集2010 小松先生.indd

ORCA (Online Research Control system Architecture)

2 [2] Flow Visualizer 1 DbD 2. DbD [4] Web (PV) Web Web Web 3 ( 1) ( 1 ) Web ( 2 ) Web Web ( 3 ) Web DbD DbD () DbD DbD DbD 2.1 DbD DbD URL URL Google

FileMaker Server Getting Started Guide

FileMaker Server 9 Getting Started Guide

untitled


FileMaker Server Getting Started Guide

山梨県ホームページ作成ガイドライン

Microsoft Word - 11_thesis_08k1131_hamada.docx

untitled

untitled

Adobe AIR のセキュリティ

e-learning e e e e e-learning 2 Web e-leaning e 4 GP 4 e-learning e-learning e-learning e LMS LMS Internet Navigware

H H H H H H H H Windows IC USB WindowsXP+FZ1360 WindowsXP+FZ1350 J2SE Runtime Environment 5.0 Window

PX-1004

ACDSee-Press-Release_0524



マルウェアレポート 2018年1月度版

e-Taxソフト操作マニュアル

事前準備マニュアル

(O) (N) (V) (N) kuins-pptp (N) 2

untitled

JSAC2019

改版履歴 版数 日付 内容 担当 V /03/27 初版発行 STS V /01/27 動作条件のオペレーティングシステムに Windows 7 STS を追加 また 動作条件のブラウザに Internet Explorer 8 を追加 V /0

EPSON Offirio SynergyWare PrintDirector 取扱説明書 導入ガイド

untitled

Cosminexus Application Designer操作ガイド

NW-E062 / E063 / E062K/ E063K

FirePass Edge Client TM Edge Client LAN Edge Client 7.0 Edge Client Edge Client Edge Client Edge Client Edge Client Edge Client LAN Edge Client VPN Wi

Mac OS X Windows...15 Mac OS X...16 Windows /...24 /...24 / Windows...2

PC Link Tool PC Link Tool PC Link Tool PC Link Tool


セットアップカード

LAPLINK ヘルプデスク 導入ガイド

OmniTrust

FUJITSU Network Si-R Si-R Gシリーズ Webユーザーズガイド

ohp.mgp

AlertCon SOC SOC IBM X-Force SOC SOC

flashplayer確認手順_ xls

untitled

迷惑メールフィルタリングサービス コントロールパネル利用者マニュアル

経営論集2011_07_小松先生.indd

立ち読みページ

ActionScript Flash Player 8 ActionScript3.0 ActionScript Flash Video ActionScript.swf swf FlashPlayer AVM(Actionscript Virtual Machine) Windows

IBM Internet Security Systems NTFS ファイルシステム必須 一覧の 以後にリリースされた Service Pack (Release 2 等は除く ) は特に記載の無い限りサポートいたします メモリ 最小要件 512MB 推奨要件 1GB 最小要件 9GB 推奨要件

11 Windows XP IP WEP (Web )


ColdFusion Builder インストール

注意事項 (1)Windows 10 を使用する場合 注意事項 1 注意事項 3 注意事項 4 についてご対応をお願いします (2)Windows 8.1 を使用する場合 注意事項 2 注意事項 3 注意事項 4 についてご対応をお願いします (3)Windows 7 上で Internet Exp

untitled

Express5800/53Xg, Y53Xg インストレーションガイド(Windows編)

Web 設計入門

I

2.2 Reflected XSS 攻撃攻撃者の用意した悪意のあるリンクとターゲットサーバが同じホストである場合の Reflected XSS 攻撃を, 本稿では Reflected XSS 攻撃と呼ぶ. 例えば, サーバ A の target.php に Reflected XSS 脆弱性があった

untitled

Transcription:

StarC Drive-by Download 1 2017 4 Web Web Drive-by Download [1] Driveby Download Web Web Web Drive-by Download Exploit Kit Exploit Kit Web Exploit Kit Drive-by Download Exploit Kit RIG Exploit Kit [2][3][4] RIG Exploit Kit IP IP URL URL 1 IP RIG Exploit Kit RIG Exploit Kit Drive-by Download Exploit Kit Department of Frontier Media Science, School of Interdisciplinary Mathematical Science, Meiji University, Kikuchi Laboratory. RIG Exploit Kit RIG Exploit Kit IP RIG Exploit Kit RIG Exploit Kit [5] 2 Drive-by Download Exploit Kit 2.1 Drive-by Download Drive-by Download 4 (1) Web Web Web Web SNS URL Web Web Web Web Web (2) Web User-Agent (3) Web

2.3 1 RIG Exploit Kit (4) 4 Exploit Kit 2.2 RIG Exploit Kit RIG Exploit Kit 1 5 (1) Web Web (2) RIG Exploit Kit URL (3) URL iframe RIG Exploit Kit (4) RIG Exploit Kit Web JavaScript Web (5) RIG Exploit Kit RIG Exploit Kit RIG Exploit Kit URL URL Drive-by Download Exploit Kit as a Service Exploit Kit Exploit Kit as a Service Exploit Kit Exploit Kit Exploit Kit Exploit Kit Web Drive-by Download [7] RIG Exploit Kit Web RIG Exploit Kit RIG Exploit Kit [6] NTT RIG Exploit Kit URL IP RIG Exploit Kit [8] 3 Drive-by Download 3 1. Drive-by Download Web 2. Web RIG Exploit Kit RIG Exploit Kit IP 2 3. RIG Exploit Kit Seamless 4. RIG Exploit Kit IP RIG Exploit Kit RIG Exploit Kit

3.1 (1) Drive-by Download 2017 2 24 4 10 Alexa Top 1 Million Web Web Exploit Kit Web Exploit Kit 1 3.1.2 pseudo-darkleech pseudo-darkleech 2017 4 pseudo-darkleech 2 Exploit Kit 3.1.1 2 2 pseudo-darkleech html body 1 top span Exploit Kit iframe Afraidgate /position:absolute; top:-([0-9]3,4)px/ IP EITest /var ([a-za-z]4,8) = iframe / HTTP Status Code 500 GoodMan /div style=ẃidth:1px; height:1px; pos ition:absolute; left:-500px; top:-500px;/ IP pseudo-darkleech /span style= position:absolute; top:-([0-9]3,4)px; width:([0-9]3)px; height:([0-9]3)px; / 3.1.3 RIG Exploit Kit Seamless /iframe width= 0 scrolling= no RIG Exploit Kit height= 0 frameborder= 0 JavaScript src=.+ seamless= seamless / JavaScript 3 2 Afraidgate 0 0% EITest 164 4.9% GoodMan 19 0% pseudo-darkleech 562 3.9% Seamless 0 0% 3 JavaScript 4 eval() eval() 5 Base64

StarC Drive-by Download 4 JavaScript 7 5 eval() Base64 6 Web 6 CVE-2016-0189 Web User-Agent User-Agent 3 CVE-2015-2419 CVE-2016-0189 Microsoft Internet Explorer JScript 3.2 (2) (1) Drive-by Download Web 3.2.1 7 StarC VirtualBox 4 5 StarC URL OpenVPN URL OpenVPN VPN VPN Fiddler Wireshark URL URL Internet Explorer 3 Fiddler Wireshark Windows Downloads temp Drive-by Download IP VPN IP Fiddler HTTPS Wireshark HTTP/HTTPS

3 User-Agent Windows CVE-2014-6332 CVE-2015-2419 CVE-2016-0189 SWF Vulnerability Internet Explorer 8 XP 32 Bit Internet Explorer 8 XP 64 Bit Internet Explorer 8 Vista 32 Bit Internet Explorer 8 Vista 64 Bit Internet Explorer 8 7 32 Bit Internet Explorer 8 7 64 Bit Internet Explorer 9 7 32 Bit Internet Explorer 9 7 64 Bit Internet Explorer 10 8 32 Bit Internet Explorer 10 8 64 Bit Internet Explorer 11 8.1 32 Bit Internet Explorer 11 8.1 64 Bit Internet Explorer 11 10 32 Bit Internet Explorer 11 10 64 Bit 4 StarC OS CentOS 6.9 Software VirtualBox 5.1 PHP 7.1 5 StarC OS Windows 7 Professional 32bit Software Internet Explorer 9 Adobe Flash Player 20 Java Runtime Environment 7 Fiddler 4 Wireshark 2.4 6 Campaign Count Fobos 43 Ngay 34 Motors 27 Rulan 14 Seamless 2 13 7 Exploit Kit Exploit Kit Count RIG 127 KaiXin 4 Terror 2 3.2.2 2017 6 21 12 13 Drive-by Download Web StarC 133 6 Exploit Kit 7 3.2.3 Fobos Campaign Fobos Campaign 2017 3 Web (Malvertising) RIG Exploit Kit StarC Fobos Campaign 8 Fobos Campaign RIG Exploit Kit Decoy

表 8 Ngay Campaign で用いられるドメイン ngay18.tk campngay16.tk 図 8 StarC で観測した Fobos Campaign Web サイトと Gate と呼ばれる Web サイトを経由する 広告ネットワークから Decoy サイトへリダイレクトさ れると Decoy サイトはアクセス元の IP アドレスが過 去に Fobos Campaign へアクセスしたことがあるか判定 する アクセスしたことがある場合は 無害な Web サ イトが表示されるが そうではない場合は Gate へ繋が る iframe を読み込む Gate は RIG Exploit Kit へ繋がる iframe を読み込み RIG Exploit Kit で攻撃が行われる Fobos Campaign の Decoy サイトは不規則に変化し 多くがカジノやギャンブルに関する Web サイトとなっ ていた StarC で観測した Decoy サイトの一例を図 9 に 示す testcamp20.ga へ誘導する iframe が読み込まれる Ngay Campaign の 特徴として Gate で使用されるドメインが Freenom と 呼ばれる無料ドメインを用いていることが挙げられる そのため 非常に多くのドメインを用いており 移り変 わりも激しい ドメインには ngay や camp day な どといった文字列が使用されることが多い StarC で観 測した Ngay Campaign の Gate のドメインの一例を表 8 に示す 3.3 (3)RIG Exploit Kit の追跡実験 RIG Exploit Kit には難読化以外の解析妨害としてア クセス制御機能が存在する 同一の IP アドレスで連続 的に RIG Exploit Kit にアクセスを行った場合 2 度目以 降は HTTP の Location ヘッダによって無害な Web サイ トへリダイレクトされる これによって連続的なアクセ スは行われなくなり RIG Exploit Kit にアクセスしたに も関わらず Exploit Kit として意図した動作が行われな くなり RIG Exploit Kit の振舞いについて解析する際に 障害となっている 図 11 は初めて RIG Exploit Kit にア クセスした時の HTTP レスポンスで 図 12 は 2 度目の アクセスの時のものを示している 2 度目のアクセスで 図 9 Fobos Campaign の Decoy サイトの例 は Location ヘッダによって他のサイトへリダイレクト されていることが分かる 3.2.4 Ngay Campaign Ngay Campaign は 2017 年 8 月頃から観測報告があ る攻撃キャンペーンで Fobos Campaign と同じように RIG Exploit Kit を用いる Malvertising 系の攻撃キャン ペーンである StarC で観測した Ngay Campaign のト ラフィックを図 10 に示す 図 11 1 度目のアクセスの HTTP レスポンス 図 10 StarC で観測した Ngay Campaign 同一の IP アドレスで 2 回以上連続的に RIG Exploit Kit へアクセスした場合に発生するリダイレクトによる Ngay Campaign は広告ネットワークから誘導されて 解析妨害は永続的なものなのか そうではない場合はど くると Gate を経由して RIG Exploit Kit へ誘導する れくらいの期間有効なのか 調査するために次の実験を Gate では解析妨害等は一切なく 単純に RIG Exploit Kit 行った

12 2 HTTP 9 Seamless URL http://194.58.38.31/signup1.php http://194.58.38.50/signup1.php http://194.58.38.51/signup1.php http://194.58.39.179/signup1.php http://194.58.46.209/signup1.php http://194.58.47.235/signup1.php http://194.58.58.70/signup1.php 13 14 2017 7 20 8 19 RIG Exploit Kit 10 RIG Exploit Kit URL Seamless Seamless URL 9 3.3.1 13 14 2 UTC 6 18 RIG Exploit Kit 9 UTC 6 18 5 0 12 3.4 (4) RIG Exploit Kit RIG Exploit Kit 2017 7 29 8 3 1 RIG Exploit Kit IP xx.xx.34.231 xx.xx.35.135 2 RIG Exploit Kit URL Seamless 3.4.1 xx.xx.34.231 xx.xx.35.135 RIG Exploit Kit RIG Exploit Kit RIG Exploit Kit 15 16 RIG Exploit Kit IP RIG Exploit Kit IP Web 15 RIG Exploit Kit

RIG Exploit Kit Exploit Kit 16 RIG Exploit Kit RIG Exploit Kit JavaScript Drive-by Download xx.xx.35.135 xx.xx.35.137 xx.xx.35.147 RIG Exploit Kit xx.xx.35.135 RIG Exploit Kit IP RIG Exploit Kit 4 RIG Exploit Kit Drive-by Download IP RIG Exploit Kit 5 RIG Exploit Kit RIG Exploit Kit 1 IP 12 RIG Exploit Kit IP RIG Exploit Kit RIG Exploit Kit IP [1] NTT (https://www.nttsecurity.com/docs/librariesprovider3/defaultdocument-library/jp 20170815 v1 2018 1 ) [2] RIG- EK (https://www.jc3.or.jp/topics/op rigek.html 2018 1 ) [3] (https://www.npa.go.jp/cyber/policy/pdf/rig.pdf 2018 1 ) [4] LAC CYBER GRID VIEW Vol.3 RIG Exploit Kit (https://www.lac.co.jp/lacwatch/pdf/20170202 cgview vol3 f001t.pdf 2018 1 ) [5] RSA SHADOWFALL (https://www.rsa.com/enus/blog/2017-06/shadowfall 2018 1 ) [6] RIG Exploit Kit 78 2017 [7] Exploit Kit Web 2013 pp. 603-610 2010 [8] NTT RIG (https://www.nttsecurity.com/- /media/nttsecurity/files/resource-center/what-wethink/rigek-analysis-report.pdf 2018 1 )

2026 © docsplayer.net プライバシー | 利用規約 | フィードバック