感 染 状 況 レポート 2016 年 Q1( 第 一 四 半 期 )
2 目 次 多 様 性 がサイバー 犯 罪 のスパイス 非 居 留 型 マルウェア:Pony Loader...3 証 拠 隠 滅 型 マルウェア:Destover...5 手 頃 で 簡 易 なマルウェア vs 高 度 なマルウェア...5 まとめ...6 について...6
3 多 様 性 こそがサイバー 犯 罪 のスパイス サ イバ ー 犯 罪 の 手 口 を 追 求 す る こ と は 決 して 容 易 で は あ り ま せ ん 攻 撃 側 には C&C (command and control) インフラから 何 でも 購 入 し また 借 りることができる 地 下 組 織 があり 高 度 なエクスプロイトキットから 純 粋 なマルウェアまで 何 でも 手 に 入 れることができます このため セキュ リティに 関 わる 専 門 家 は 先 入 観 を 捨 て 新 しい 考 え 方 で 取 り 組 むことが 必 要 となります 2016 年 Q1( 第 1 四 半 期 )の 感 染 状 況 報 告 書 では のThreat Discovery Centerが 過 去 数 ヶ 月 間 追 いかけてきた いくつかのテーマに つ い て ご 紹 介 し ま す す べ て に 共 通 して 言 え る の は 脅 威 主 体 者 が 何 を 望 んで いるかについては 知 ることができないという 点 です では 共 通 テクニックを 浮 き 彫 りにすることで 皆 様 がこれまでのセキュリティ 管 理 の 在 り 方 を 見 直 すきっかけを 創 出 できればと 考 えています 非 居 留 型 マルウェア : 犯 人 側 は 防 御 側 が 常 に 不 利 な 立 場 になるように そのインフラを 移 動 し 続 けます 例 :Pony Loader 証 拠 隠 滅 型 マルウェア : 痕 跡 を 消 し 去 るワ イピ ン グ マル ウェアは 数 ヶ 月 以 上 も 追 跡 から 逃 れることができます 例 :Destover 手 頃 で 簡 易 なマルウェア vs 高 度 なマルウェア : もっと 楽 なのは 何 もしない マルウェアになりすますことです 例 : MegalodonHTTP 非 居 留 型 マルウェア : Pony Loader こ の 手 の 犯 人 は 検 知 を 逃 れ る た め に 頻 繁 に イ ン フ ラ の 移 動 を 繰 返 し ま す ド メ イ ン が 数 日 間 あ る い は 数 時 間 オ ン ラ イ ン な だ け で は 防 御 側 がブラックリストや 既 知 の 痕 跡 情 報 に 依 存 したセキュリティツールを 適 用 できません のThreat Discovery C e n t e r で は 8 ヶ 月 間 にわたってPony Loaderマルウェアを 観 察 しましたが データ 分 析 の 結 果 として これが 非 居 留 型 のマルウェアであることを 明 らかにし ています デバイスがPony Loaderマルウェア に 感 染 ドロッパーがインス トールされて 活 動 を 開 始 マルウェアがC&Cサーバーと ダウンロードサイトをコールバック して 暗 号 化 されたバイナリを 受 信 D y r e V a w t r a c k N y u m a i m など 他 のマルウェアがダウン ロードされホストデバイスが 感 染 犯 人 は プロバイダー 毎 にいくつかのIPを 使 用 することで 追 跡 を 逃 れ 捕 まってしまう 機 会 を 低 減 します がPonyの 観 察 を 開 始 し て 以 来 犯 人 は 2 8 1 の ド メ イ ン と1 0 0 の 異 な る I S P で 1 2 0 以 上 の I P を 使 用 し て い ま す 1 ヶ 月 あ た り の ド メ イ ン 使 用 数 は 当 初 2 1( 5 月 )で し た が 最 大 で は 4 5( 7 月 )と な り ま し た 犯 人 は 5 月 と7 月 に 自 身 のインフラとプロセスを 立 ち 上 げ Ponyの 配 布 を 開 始 しました IP 数 は7 月 と8 月 に 減 少 しましたが 一 方 でドメイン 数 が 以 前 に 比 べて 急 増 し 7 月 には45 8 月 には39となりました ドメインは7 月 に12 以 上 のIP 8 月 には6 以 上 のIPが 割 り 当 てられ 8 月 のドメイン 数 対 IP 数 の 比 は6.5となり 7 月 の 倍 になっています この 増 加 傾 向 は 年 間 を 通 した 時 期 的 な 影 響 によるものによると 考 えられます 7 月 8 月 は 欧 州 の 休 暇 シーズンです インフラを 維 持 するた め に は 新 し い I P を 確 保 し 別 の I S P で 新 し い サ ー バ ー を 準 備 す る 必 要 が あ り ま す が 利 用 で き る リ ソ ー ス が 少 な け れ ば 仲 間 が 休 暇 か ら 戻 る までの 間 手 元 にあるIPを 使 い 回 すことになるためです
4 非 居 留 型 マルウェア: Pony Loader ( 前 ページからの 続 き) 9 月 に 入 ってPonyは 再 び 勢 いを 取 り 戻 しました 犯 人 は45のドメインで16のIPを 使 用 し ドメイン 数 対 IP 数 の 比 率 は2.81になりました 10 月 も 数 値 は 高 く 26のIPが45のドメインに 割 り 当 てられ 比 率 は1.73でした IPの 数 が1だったISPは2 社 未 満 だったことは 注 意 に 値 します P o n y は 休 暇 シ ーズ ン が 近 づ くと 再 び 活 動 を 低 下 さ せ て い ま す 犯 人 は 11 月 に 3 9 の ド メ イ ン を 作 成 し 1 7 の I P を 割 り 当 て ド メ イ ン 数 対 I P 数 の 比 率 は 2. 2 9 に な って い ま す 1 2 月 は 2 7 ド メ イ ン I P は 1 0 で 比 率 は 2. 7 と な って い ま す こ れ は や は り 休 暇 シ ーズ ン に 入 っ た こ と が 原 因 と 思 わ れ ま す 繰 り 返 される 継 続 的 な 変 化 Pony Loaderの 背 後 にいる 犯 人 は インフラを 乗 り 換 えるだけでなくマルウェア 自 体 も 変 化 させています 5 月 時 点 でPonyは 銀 行 を 標 的 にしたトロイの 木 馬 Dyreをダウンロードするような 作 りになっていましたが 9 月 には 同 じく 銀 行 を 標 的 にした 別 のトロイの 木 馬 Vawtrak をダウンロードするように 変 更 されています Vawtrakは 12 月 2 日 にランサムウェアの 一 種 であるNymaimに 変 更 され 12 月 14 日 には Vawtrakに 戻 されています P o n y の 背 後 の 犯 人 グ ル ープ は 非 常 に 巧 妙 に 組 織 さ れ て い ま す 組 織 の 規 模 を 拡 大 し な が ら 定 常 的 に 新 し い ド メ イ ン と イ ン フ ラ ス ト ラ ク チャーを 作 成 して 捜 査 を 逃 れており ほとんどのセキュリティ 製 品 が 新 しいPonyマルウェアを 検 知 きません 犯 人 は 鉄 壁 なホストや 捜 査 に 非 協 力 的 な 国 のプロバイダーを 使 用 することで 長 期 にわたりオンライン 状 態 を 継 続 し プロバイダーを 変 えながら 秘 密 を 維 持 しています 結 論 ドメインが 数 日 間 あるいは 数 時 間 オンラインなだけの 状 態 では 犯 人 によるC&Cとの 通 信 を 長 期 間 にわたり 検 知 することができません 防 御 側 が 持 つブラックリストや 既 知 の 痕 跡 情 報 に 依 存 したセキュリティツールでは このようなタイプの 攻 撃 を 発 見 することは 不 可 能 です セキュリティ 対 応 チームは ネットワーク 内 部 から 発 生 するC&C 通 信 を 検 出 し 外 部 とのやり 取 りをブロックする 必 要 があります D A M B A L L A F a i l s a f e の お 客 様 の 場 合 に は T C P リ セ ット 機 能 を 稼 動 さ せ る か エ ン ド ポ イ ン ト と プ ロ キ シ テ クノ ロ ジ ー の 連 携 機 能 を1つある いは 複 数 作 動 させてください
5 証 拠 隠 滅 型 マルウェア: Destover 高 度 な 攻 撃 者 は 自 らの 痕 跡 を 調 査 から 隠 し 通 す 技 術 に 長 けていま す そのテクニックの1つに マルウェアを 使 用 してドロッパーを 削 除 することですべての 証 拠 を 削 除 したり 逆 に 曖 昧 な 手 がかりを 残 して おくような 証 拠 隠 滅 手 法 があります Destoverがその 一 例 です Destoverは Sony Pictures Entertainment やSaudi Aramco な ど に 甚 大 な 被 害 を 与 え ま し た こ の ワ イパ ー マ ル ウ ェ ア は 感 染 し たデバイスのファイルを 消 去 したり 内 容 を 意 味 のないものに 書 き 換 えてしまうというものです 攻 撃 者 は 発 見 されないままネットワーク 上 に 居 座 り 続 け 間 口 を 広 げながらテラバイト 規 模 で 機 密 データを 盗 み 出 します のThreat Discovery CenterがDestoverの 新 しい サンプルを 調 査 すると アンチウィルス 製 品 で 識 別 される 包 括 的 シ グ ネ チ ャ を 持 つ 2 つ の フ ァ イ ル に 辿 り 着 き ま し た さ ら に 分 析 す る と setmftとafsetという2つのユーティリティがdestover と 深 い 関 わ り を 持 つ こ と が 判 明 し ま し た こ れ ら の ユ ー テ ィ リ テ ィ は 検 知 から 逃 れるためだけでなく 攻 撃 対 象 を 広 げるためにネットワーク 内 を 横 方 向 に 移 動 し 続 けます 攻 撃 者 は ドロッパーではなくコマンドラインを 使 ってsetMFTと の 間 でやり 取 りを 行 います setmftは timestomping(タイム ス タ ン プ の 改 竄 ) と い う テ ク ニ ッ ク を 使 っ て ソ ー ス フ ァ イ ル の タ イム ス タ ン プ を 対 象 ソ ー ス に コ ピ ー し ま す 類 似 し た フ ァ イル 名 とtimestompingを 組 み 合 わせ 同 じディレクトリに 存 在 する 正 常 な ファイルの 中 に 紛 れ 込 ませます セキュリティ 担 当 者 が 特 定 の 日 付 以 降 に 作 成 されたファイルを 対 象 に 不 審 なファイルを 検 索 したりスキャン し た りして も こ れ を 発 見 す る こ と は で き な い で しょ う レコ ー ド デ ー タ との 矛 盾 やログファイルの 徹 底 的 なフォレンジック 検 査 を 行 なわなけれ ば timestompingされたファイルを 特 定 することはできません afsetもまたファイルのtimestompingに 使 用 されます また 一 定 の 基 準 (IDや 時 刻 )でMicrosoft Windowsログを 消 去 したり PEのビルド 時 刻 とチェックサムを 書 き 換 えることが 出 来 るほか ユー ザーがファイルの 特 定 のタイムスタンプ (SIA FNA)しか 設 定 で きないようにします こうしたtimestompingやログ 消 去 機 能 を 実 現 するため afsetでは 同 じ 冗 長 性 を 持 つライセンスキーを 使 って RawDiskドライバを 使 用 します afsetは 標 的 となるシステムでイン タ ラ ク テ ィ ブ に 使 用 さ れ ま す 攻 撃 者 は ネ ット ワ ー ク 内 を 移 動 す る こ と で 発 見 さ れ る こ と な く 痕 跡 を 隠 滅 し ま す シ ス テ ム の 完 全 な フ ォ レ ン ジ ッ ク 分 析 に よ っ て a f s e t の 存 在 やロギングの 欠 損 を 発 見 できる こ と も あ り ま す が 初 期 的 な 活 動 に ついては 発 見 が 困 難 で 危 険 な 感 染 が 放 置 されたままになる 猶 予 を 与 えてしまいます セキュリティ 担 当 者 は... 何 も 発 見 できない 状 況 に 等 し いのです レコードデータとの 矛 盾 やログファイルの 徹 底 的 な フォレンジック 検 査 を 行 なわな ければ timestomping された ファイルを 特 定 することはでき ません 結 論 セキュリティチームが 攻 撃 者 の 存 在 を 検 知 するために 使 用 している 多 くのツールや 方 式 は setmftやafsetのようなツールセットには 効 果 がありません 敵 はログファイルを 消 去 したりリダイレクトすることが 可 能 で 正 常 な シ ス テ ム フ ァ イ ル の 中 に 紛 れ 込 んで い ま す ま た 既 存 のツールのアップデートには 限 界 があるため 新 しい 攻 撃 側 の 手 段 を アンチウィルス 製 品 が 発 見 するまで 時 間 がかかります セキュリティ チームが 常 に 脅 威 に 関 係 するビヘイビアを 監 視 し 続 けるソリューション を 使 用 しない 限 り これらの 攻 撃 を 見 逃 すことになります 手 頃 で 簡 易 なマルウェア vs 高 度 なマルウェア 高 度 で APTのような サイバー 攻 撃 がよくニュースに 取 り 上 げられる 一 方 で そ の 他 の 多 くの サ イバ ー 攻 撃 は 手 頃 に 入 手 で き 容 易 に 実 装 することが 可 能 なマルウェアの 組 み 合 わせで 作 られており 1 日 もあ れ ば 準 備 す る こ と が で き ま す 高 度 な マ ル ウ ェ ア は 攻 撃 の 先 導 役 で はく 独 自 に1 度 だけ 実 行 に 成 功 すればよいのです の Threat Discovery Centerでは このような マ ル ウェ ア の1つ で リ モ ー トアク セ ス 型 ト ロ イの 木 馬 で あ る MegalodonHTTPと 呼 ばれるマルウェアを2015 年 11 月 に 調 査 し ました HackForumやbin4ry.comから35ドルから100ドルで 販 売 されているこの 簡 単 なマルウェアには 犯 罪 に 利 用 できる 様 々な 機 能 が 含 まれています:
6 手 頃 で 容 易 に 実 現 可 能 なマルウェア vs 高 度 なマルウェア ( 前 ページからの 続 き) バイナリのダウンロード 実 行 機 能 7 種 類 のDDoS 攻 撃 手 段 他 のネットワーク 上 のコンピュータのユーザーに 成 りすまして コマンドを 実 行 するリモートシェル 機 能 処 理 能 力 を 浪 費 する 暗 号 解 析 アンチウィルスキラー のThreat Discovery Centerは 1 月 に MegalodonHTTP の 作 成 者 を 特 定 する 作 業 を 欧 州 刑 事 警 察 機 構 (Europol)と 共 同 で 実 施 ノルウェーの 警 察 当 局 の 犯 人 逮 捕 に 協 力 しました 結 論 エ ン タ ープ ラ イ ズ ネットワ ー ク の 防 御 に あ た って は 往 々 に して 細 部 に こ だ わ り す ぎ て 全 体 を 見 落 とし が ち な 傾 向 が あ り ま す 攻 撃 は カ ス タ マイズされたマルウェアから 簡 易 的 ではあるが 巧 妙 なものまで 様 々な 形 態 が 見 られます マルウェアの 使 用 を 避 ける 攻 撃 主 体 さえ 存 在 しま す 内 部 に 侵 入 してくるマルウェアファイルにばかり 気 を 取 られていて は 攻 撃 を 完 全 に 防 ぐこ と は で き ま せ ん エ ン タ ープ ラ イ ズ の セ キ ュリ ティチームは セキュリティ 攻 撃 を 再 調 査 し マルウェアに 関 係 なく 攻 撃 を 検 知 できるようにする 必 要 があります まとめ 本 感 染 状 況 報 告 書 では のThreat Discovery Centerが 注 目 したものとして セキュリティの 専 門 家 を 翻 弄 させる 攻 撃 主 体 が 様 々 なツールを 用 いて 行 う3つの 攻 撃 手 法 についてご 紹 介 しました アンチウィルス 製 品 やファイアウォール サンドボックスが 防 御 手 段 として 有 効 で あることに 変 わりはありませんが 現 状 ではいっそう 堅 牢 な 防 御 と 対 応 が 必 要 なことは 明 らかです について は インターネットからの 標 的 型 の 脅 威 活 動 に 関 する 高 度 なインテリジェンスによってインシデントレスポンスの 自 動 化 を 提 供 します D A M B A L L A は 境 界 防 御 を す り 抜 け 業 務 リス クと な る 脅 威 主 体 を 検 知 し 攻 撃 目 標 や コ ン ピ ュ ー タ デ バ イ ス の タ イ プ O S な ど に 関 わ ら ず リ ア ル タイムに 機 能 し 続 けます 攻 撃 主 体 の 多 くは 潜 伏 し 姿 を 現 すまでに 時 間 がかかりますが 一 度 姿 を 現 せばはその 実 態 を 明 らかにし て 対 策 を 講 じることができます の 特 許 取 得 済 みソリューションは 世 界 のインターネットトラフィック 全 体 の15%から 構 成 されるビッグデータを 利 用 し 脅 威 活 動 を 検 知 の 上 で 自 動 的 にデバイスの 感 染 を 判 定 します 判 定 結 果 をインシデントレスポンスに 迅 速 に 繋 げることで 貴 重 なデータの 盗 難 を 防 止 し 業 務 停 止 を 最 小 限 に 抑 え 一 連 の 対 応 に 必 要 な 時 間 とリ ソ ー ス を 最 小 化 で き ま す ま た D A M B A L L A は P C M a c i O S A n d r o i d 組 み 込 み シ ス テムなど デバイスやOSを 問 わず 脅 威 を 検 知 することができます に 関 する 詳 細 は website www.damballa.com/ja をご 覧 いただくか japan@damballa.comにご 連 絡 ください Twitterについては @DamballaInc でフォローいただけます