標的型攻撃の実例と初動調査支援の紹介 - ipa業界団体 86 8 企業・製造業 37...

Copyright © 2018 独立行政法人情報処理推進機構

標的型攻撃の実例と初動調査支援の紹介

～サイバーレスキュー隊（J-CRAT）の活動を通じて～

2018年5月9日,10日,11日

独立行政法人情報処理推進機構

技術本部セキュリティセンター

情報セキュリティ技術ラボラトリー

サイバーレスキュー隊

1

Copyright © 2018 独立行政法人情報処理推進機構Copyright © 2018 独立行政法人情報処理推進機構

本日お話すること

• 標的型攻撃の実例

– レスキュー活動から実際の例を紹介

• 初動調査支援の紹介

– インシデント発生時におこなうべき調査＝初動調査

– 初動調査の概要を解説

<https://www.ipa.go.jp/security/J-CRAT/report/20180329.html>

後半は「サイバーレスキュー隊技術レポート2017」からの記載が主となっています。

2


標的型攻撃の実例レスキュー活動での事例をベースに

3


標的型攻撃の進み方例

攻撃者

標的組織

③送付

①ウイルス作成

②メール作成・宛先・文面

④感染＋永続化

⑤C2サーバ通信

⑥情報収集・メールデータ・PCログインID/Pass・ファイルサーバデータ窃取・AD管理者権限

⑦横移動

C2サーバ

RAT（Remote Access Tool）を使いC2（Command and Controll）

サーバと通信する

攻撃拡大のため、攻撃者は組織内ネットワークを横移動する

RAT

マルウェアは感染後、永続化（自動実行）する

4


標的型攻撃の実例

このPCは何年も前から感染しています

このPCは複数のマルウェアに感染しています

標的型攻撃は業界単位でもおこなわれます

標的型攻撃は個人単位でもおこなわれます

メール乗っ取りで攻撃に加担してしまった

Win10化やPC更新でも感染継続したまま

標的型攻撃は何度もやってきます＋ファイルレス攻撃が増えています！

5


長期感染

標的型マルウェアに感染したまま、長期間放置されているケースが非常に多い

攻撃者は必ずしも活動完了後に、その痕跡をキレイに消していくわけではない

感染PCとC2サーバの定期通信（ビーコン）が

残された状態が継続されている

6

<http://www.ipa.go.jp/security/J-CRAT/report/20170127.html>

参考）分析レポート2016 長期感染の実態


複数のマルウェア

ダウンローダー RAT 権限奪取ツール（複数）カスタマイズツール（複数）カスタマイズスクリプト（複数） Microsoft管理ツール

フォルダ名ファイル名

¥ProgramData taskeng.exe

¥ProgramData¥F3 googleUpdate.exe

goopdate.dll

goopdate.dll.map

NVSmart.hlp

¥ProgramData¥SxS bug.log

¥Users¥Public¥Videos wce.EXE

gsecdump.exe

TIOR64.exe

Win7Elevate64.exe

Win7ElevateDll64.dll

tior.exe

domain.exe

ss.vbs

u.bat

ss.bat

server.vbs

h.bat

¥Users¥＜ユーザー名＞¥AppData¥Local¥Temp

1.exe

¥Windows PSEXESVC.EXEウイルス対策ソフトの有効性

標的型マルウェア感染している場合は、ツールも含めて複数のマルウェアに感染していることが多い。

ツール類は広く出回っているものもあるため、ウイルス対策ソフトで検知されるケースもある。

１台のPCに16個のマルウェアとツールが設置

7


：オペレーション

同一の攻撃者と思われる標的型攻撃を追跡し、2015年11月～2016年3月

までに137件の攻撃メールを収集（まとまった攻撃をキャンペーンと呼ぶ）

共通点を有する業界団体（8団体）を介して、執拗に攻撃を行っている

企業等の正規アカウントを乗っ取り、踏み台にして送るケースが殆どである

本文の類似性の他、ウイルスの添付方法、ウイルスの挙動などが同一である

このキャンペーンは、16のオペレーションで構成

<http://www.ipa.go.jp/security/J-CRAT/report/20160629.html>

本キャンペーンで悪用された業界団体は主に製造業に関わるは8団体、一般企業を狙った40通の内37通は同一業界で、ある特定の製造業（44組織）を狙った攻撃であることが分かった。

宛先メール件数組織数業界団体 86 8

企業・製造業 37 27

企業・卸売業 2 1

企業・ソフトウェア業 1 1

個人・フリーメール 9 7

不明 2 -

総計 137 44

業界単位で行われる攻撃

8

参考）分析レポート2015特定業界を執拗に狙う攻撃キャンペーンの分析


個人でも感染・狙われる

• 標的型マルウェアが「個人利用PC」で発見されるケースが散見

– 背景としては

• 組織メールを自宅メールに転送

• クラウドサービスによる自宅での利用

– 個人利用メールがターゲットになっているケースも

• やり取り型のケースも

• 個人利用の場合、組織利用に比べて、対策や体制が脆弱

職歴・所属団体から標的とされた可能性

9


メール乗っ取りで攻撃に加担

• 標的メールはどんなアドレスから送信されるか

– 実在人物の名前＋フリーメールは今もある

– メールが乗っ取られて送信されているケースも

• クラウド系サービスの乗っ取りも増加

分析レポート2015より<http://www.ipa.go.jp/security/J-CRAT/report/20160629.html>

例）サイバー分析レポート2015の事案では、94%が不正利用での送付だった。

フリーメールは単発送信、企業メールは一斉送信と使い分けていたと思われる。

10


何度もやってくる

• 1台のPCから3つの標的型マルウェア感染が発見された例

– 2013年後半にPlugxに感染（ウイルス対策ソフト検出）

– 2015年に別のPlugxに感染

– 2017年1月に新型マルウェアに感染

• 何度も攻撃されるケースは大変多い

Plugxは2012年頃から観測されており、現在でも多くの亜種が発見されている。新型マルウェアは2016年後半から観測されたもの。Plugx（初期型）

Plugx（別種）

新種マルウェア

11


こんな感染例も

Windows10へアップグレード後も感染継続していた

Win7 Win10

PCリプレース後も仮想マシンが感染継続していた

旧PC

Win7

新PC

Win7

アップグレード

PCリプレース

仮想マシンを起動したタイミングでC2サーバと通信

永続化した記録を見るとWindows7時代に感染

Mac＋Parallesでの感染事例もあり

12


本当に増えている「ファイルレス攻撃」

• ファイルレス攻撃

– マルウェア等の実ファイルを生成しない攻撃。スクリプトのリモート実行や、攻撃コードをレジストリに保存する等の手法を使うことで検知を回避。

– 特にWindowsOS標準スクリプト言語Powershellを使った攻撃が増加。

• PowershellベースのRATがリリース、利用された攻撃事例も。

• リモートリポジトリを利用するケースも増加。

今後ますます増加が予測されています

13


参考）バージョンで違うPowershellのイベントログ

• PowerShellのバージョンによって残せるイベントログに大きな違いがある。

– Windows7（PS2.0）では、Powershellが動作した程度のログしか残らないが、Windows10（PS5.0）では、PowerhShellのコマンドレベルのログが残せる。

– デフォルトでもある程度残せるが、Windows10用管理用テンプレート（ADMX）の適用でより多くを取得可能。

パスやコマンドが詳しく記録される

14


初動調査支援の紹介インシデント発生時に何をすればよいか

15


調査とフェーズ

16

境界線

初動調査


一般的なPC調査と対処の例

イベントログ

アプリケーションログ

フルスキャン

ネットワーク抜線

初期化

ディスクフォレンジック

ディスク保全

起動プロセス

ウイルス検知ログ

最近はファストフォレンジックライブフォレンジックも

対処

調査

17

時間の経過

調査の粒度

時間と粒度にギャップがある


初動調査の位置付け

イベントログ

初期化

ディスクフォレンジック

ディスク保全

起動プロセス

対処

調査

18

時間の経過

調査の粒度

初動調査

ライブフォレンジックの手法＋標的型攻撃の特性を

取り入れた調査

ギャップを埋めて効率的な調査に


フルスキャン

ウイルス検知ログ

ネットワーク抜線


参考）感染が判明した場合は同件調査に使える

実行痕跡

感染が判明

同じ痕跡はないか？効率的な調査ができる

感染が判明＝実行痕跡や生成ファイル、通信先が判明

インディケータ

初動調査

生成ファイル

通信先

19


標的型攻撃マルウェアの感染特性は4つ+1

永続化偽装外部通信感染頻出箇所

マルウェアを自動的に起動する設定

場所や名称を正規のものに偽装

する

感染や攻撃に使いやすい箇所が

ある

マルウェアはC2サーバと通信を行う

20

感染契機

マルウェア感染には「契機」が必要

ご注意）全ての標的型攻撃にあてはまるわけではありません。


WindowsOSには実行痕跡を残す機能が豊富

21

実行痕跡

感染の契機やツールの実行痕跡

レジストリ

キャッシュ


エラー処理感染契機

マルウェア感染には「契機」が必要

タイムスタンプ

イベントログ


初動調査＝標的型攻撃の特性と実行痕跡を収集し評価する

永続化

偽装

外部通信

感染頻出箇所

22

レジストリレジストリ

ファイル一覧

タスクスケジューラ

ファイル一覧キャッシュ

接続状況タスクスケジューラ

4つの情報をそれぞれ適した方法で収集し、偽装や不審な点がないかを評価する

実行痕跡

Windows OS標準コマンドで情報収集


情報収集（１）永続化と外部通信

設定箇所内容

スタートアップ起動プログラム OS起動時に自動起動されるプログラム

サービス起動プログラム OS起動時にサービスとして起動されるプログラム

スタートアップフォルダユーザーがログオン時に自動起動されるプログラム

タスクスケジューラ設定された時間に自動起動されるプログラム

23

代表的な永続化設定箇所

外部通信情報が残る箇所収集対象内容

DNSキャッシュ PCのDNSリゾルバのキャッシュ

ネットワーク接続情報現在のネットワーク接続状態


情報収集（２）実行痕跡

実行痕跡内容と方法

Prefetch Files アプリケーション起動時の各種情報をファイルとして保持。C:¥Windows¥Prefetchフォルダにファイル名-フルパスハッシュ値.pfとして作成される。ファイル名取得と更新日による実行判断と実行日付が推測できる。さらに、pfファイルそのものを解析すると、起動時の読み込みファイルや実行回数等を確認できる。128

個保存される。最近使ったファイルエクスプローラー経由で「使った」ファイル名から

C:¥Users¥%USERNAME%¥AppData¥Roaming¥Microsoft¥Windows¥Recentフォルダにファイル名.lnkファイルが作成される。開封判断に利用できる。

最近使ったOfficeドキュメント Officeドキュメントを「使った」ファイル名から、

C:¥Users¥%USERNAME%¥AppData¥Roaming¥Microsoft¥Office¥Recentフォルダにファイル名.lnkファイルが生成される。

AppCompatCache アプリケーション実行時のキャッシュ情報としてレジストリに保持している。フルパスを含む実行ファイル名、最終更新日、サイズ、ファイルの実行可否が記録される。1024個保存される。

UserAssist エクスプローラー経由で実行したプログラム情報をレジストリに保持している。

RunMRU 「ファイル名を指定して実行」で実行したプログラム情報をレジストリに保持している。

TypedURLs InternetExplorerでアクセスした直近のURLが保持されている。25

個から50個が保存される。24

代表的な実行痕跡箇所


実行痕跡はこんな形で残る

A.XLSXを開いた

PreFetch

最近使ったファイル

C:¥Windows¥PrefetchフォルダにEXCEL.PFが生成・更新

25


C:¥Users¥%USERNAME%¥A

ppData¥Roaming¥Microsoft¥Office¥Recentフォルダに

A.LNKが生成


例）Excelファイルを開いた

ファイルとして生成される痕跡


情報収集（３）感染頻出箇所

環境変数等実フォルダ例

%TEMP% C:¥Users¥%USERNAME%¥AppData¥Local¥Temp

%PROGRAMDATA%

%ALLUSERSPROFILE%C:¥ProgramData

%APPDATA% C:¥Users¥%USERNAME%¥AppData¥Roaming

%LOCALAPPDATA% C:¥Users¥%USERNAME%¥AppData¥Local

%PUBLIC% C:¥Users¥Public

26

代表的な感染頻出箇所

管理者権限でなくてもファイル配置が可能な箇所が狙われやすいC:¥ドライブ直下にあるフォルダもツール置き場としてよく使われる

このような標的型攻撃マルウェアが痕跡を残しやすい「設定」「状態」「場所」等の情報を収集していきます


情報収集の例（１）永続化設定

27

コマンド例

reg query HKLM¥SYSTEM¥currentControlSet¥services /s

実行例

HKEY_LOCAL_MACHINE¥system¥CurrentControlSet¥Services¥AdobeARMservice

Type REG_DWORD 0x10

Start REG_DWORD 0x2

ErrorControl REG_DWORD 0x0

ImagePath REG_EXPAND_SZ "C:¥Program Files¥Common

Files¥Adobe¥ARM¥1.0¥armsvc.exe"

DisplayName REG_SZ Adobe Acrobat Update Service

ObjectName REG_SZ LocalSystemDescription REG_SZ Adobe Acrobat Updaterはアドビソフトウェアを最新の状

態に保ちます。

コマンド例

schtasks /fo CSV /query /v

実行例"TESTPC","¥Adobe Acrobat Update Task","2018/01/28 12:00:00","不明","対話型/

バックグラウンド","2018/01/27 17:11:44","0","Adobe Systems

Incorporated","C:¥Program Files¥Common

Files¥Adobe¥ARM¥1.0¥AdobeARM.exe ","N/A","This task keeps your Adobe

Reader and Acrobat applications up to date with the latest enhancements and security fixes","有効","無効","バッテリモードで停止, バッテリで開始しない","INTERACTIVE","有効","72:00:00","スケジュールデータをこの形式で使用することはできません。","ログオン時

","N/A","N/A","N/A","N/A","N/A","N/A","N/A","N/A","N/A"

「どのファイル」をサービスとして起動させているか

「どのファイル」をスケジュール起動さ

せているか


情報収集の例（２）実行痕跡

28

コマンド例（ファイル作成日でソート）

dir /od /tc C:¥Windows¥PreFetch¥

実行例（ファイル作成日でソート）

dir /od /tc C:¥Windows¥PreFetch¥

2015/11/10 17:24 9,778 CMD.EXE-4A81B364.pf

2015/11/30 13:14 15,424 DEFRAG.EXE-588F90AD.pf

コマンド例

dir C:¥Users¥%USERNAME%¥AppData¥Roaming¥Microsoft¥Office¥Recent

ファイル例C:¥Users¥user01¥AppData¥Roaming¥Microsoft¥Office¥Recent のディレクトリ

2018/03/22 18:25 <DIR> .

2018/03/22 18:25 <DIR> ..

2018/03/22 18:25 1,165 Templates.LNK

2018/03/22 18:24 1,051 TEST-PPT.LNK

2018/03/22 18:25 1,056 TEST-WORD.LNK2018/03/22 18:25 905 デスクトップ.LNK

過去に実行したファイル名の一覧

過去に開いたOfficeドキュメントの一覧

ご注意）全ての実行が記録されているわけではありません。


評価の手順（１）解析・抽出・絞込み

収集した情報解析抽出

要確認情報

公開情報との比較

不審点

収集した情報を解析（可読化）して要確認

情報を抽出

要確認情報を公開情報や既知情報との比較、またはその他情報から類推されることから不審点を抽出

その他情報から類推

既知情報との比較

特性を考慮して抽出比較と類推で絞込む

29


評価の手順（２）不審点を起点に見直す

収集した情報解析抽出

要確認情報

公開情報との比較

その他情報から類推

既知情報との比較

不審点

不審点から類推

不審点が抽出されると、その内容や時間情報などから、関係のありそうな情報を類推し、さらなる不審

点の抽出や不審点の確実性を高めていく

不審点を起点に情報を見直す

30


評価の例永続化設定の場合

31

HKEY_CURRENT_USER¥Software¥Microsoft¥Windows¥CurrentVersion¥Run

taskeng REG_SZ "C:¥ProgramData¥taskeng.exe"

"taskeng.exe"はWindowsOS標準のファイルで、スケジュールされたタスクの実行をおこなう。配置場所は"C:¥Windows¥System32"

"C:¥ProgramData"は「感染頻出箇所」（要確認情報として抽出）

"C:¥ProgramData"の直下にファイルが置かれる例は少ない

公開情報から

特性・知見から

収集した情報

評価

知見から

この永続化設定は偽装している可能性が高いので「不審」

自動的に外部通信をおこなっていないか？この永続化設定はいつおこなわれたか？

同じ設定が他のPCにないか？


参考）攻撃遷移と実行痕跡の例

32

①攻撃メール受信

②添付ファイル実行

A.zip

B.txt.lnk

C.hta

D.job

③ダウンロード

⑥永続化（RAT）

④RAT実行

⑤リモートスクリプト実行

①16:30受信

2017/8/24

②16:39実行

16:40実行

③16:40ダウンロードと実行

④16:46～実行⑤16:48～実行

⑥23:14タスクスケジューラ登録

実行するとリンクファイルが生成

実行するとC.htaをダウンロードし実行

赤：Powershell

Recent(最近使ったファイル）

UserAssist

Prefetch

（イベントログ）

タスクスケジューラ

実行痕跡


まとめ

33

標的型攻撃マルウェアの感染には特性がある「永続化」「外部通信」「偽装」「感染頻出箇所」

これらを組み合わせて調査すると感染や痕跡を発見できる可能性がある

WindowsOSは多くの種類の「実行痕跡」を残す機能がある

<https://www.ipa.go.jp/security/J-CRAT/report/20180329.html>

くわしくは「サイバーレスキュー隊技術レポート2017」をどうぞ


最後に

34


http://www.ipa.go.jp/security/tokubetsu/

情報提供が攻撃対策に～サイバー空間利用者みんなの力をあわせて対抗力を～

• 標的型攻撃を受けた可能性がある場合はぜひ「標的型サイバー攻撃特別相談窓口」へご相談ください。

• 対応済みの過去の標的型攻撃でも重要な情報である可能性があります。ぜひ情報提供をお願いします。

35

標的型サイバー攻撃特別相談窓口

電話 03-5978-7599(対応は、平日の10:00～12:00 および13:30～17:00)

E-mail [email protected]

IPAへご相談ください！

mailto:[email protected]

標的型攻撃の実例と 初動調査支援の紹介 - ipa業界団体 86 8 企業・製造業 37...

Documents

標的型攻撃の実例と初動調査支援の紹介 - ipa業界団体 86 8 企業・製造業 37...