Copyright © 2018 独立行政法人情報処理推進機構
標的型攻撃の実際と初動調査の紹介~WindowsOS標準コマンドで調べる攻撃痕跡~
2018年10月18日独立行政法人情報処理推進機構
セキュリティセンター標的型攻撃対策グループサイバーレスキュー隊
Copyright © 2018 独立行政法人情報処理推進機構Copyright © 2018 独立行政法人情報処理推進機構
サイバーレスキュー隊の活動イメージ
公的機関
業界団体社団・財団
重要産業関連企業
重要産業取引先
標的型サイバー攻撃特別相談窓口
公開情報の分析・収集
サイバーレスキュー隊 (J-CRAT)サイバーレスキュー活動
公開情報
JPCERT/CC
レスキュー支援
アンチウイルスベンダ
技術連携リサーチャ
別機関等
支援内容検体解析
攻撃・被害の可視化
攻撃・被害の把握
関連情報追跡
情報提供
情報提供相談
相談者
情報発信
ケース1
ケース2
ケース3
着手アプローチ
ケース1: 標的型サイバー攻撃特別相談窓口に寄せられた支援対象組織からの相談ケース2: 受付した相談から、連鎖的な被害(の可能性のある)組織が推定された場合ケース3: 公開情報の分析、収集により被害(の可能性のある)組織が推定された場合
2
Copyright © 2018 独立行政法人情報処理推進機構Copyright © 2018 独立行政法人情報処理推進機構
本日お話すること
• 標的型攻撃の実際– レスキュー活動から実例を紹介
• 初動調査の紹介– インシデント発生時におこなうべき調査=初動調査– 初動調査の概要を解説
<https://www.ipa.go.jp/security/J-CRAT/report/20180329.html>
後半は「サイバーレスキュー隊技術レポート2017」からの記載が主となっています。
3
Copyright © 2018 独立行政法人情報処理推進機構Copyright © 2018 独立行政法人情報処理推進機構
標的型攻撃の実際レスキュー活動での事例をベースに
4
Copyright © 2018 独立行政法人情報処理推進機構Copyright © 2018 独立行政法人情報処理推進機構
標的型攻撃の進み方例
攻撃者
標的となった組織
③送付
①ウイルス作成
②メール作成・宛先・文面
④感染+永続化
⑤C2サーバ通信
⑥情報収集・メールデータ・PCログインID/Pass・ファイルサーバデータ窃取・AD管理者権限 ⑦横移動C2サーバ
RAT(Remote Access Tool)を使いC2(Command and Controll)
サーバと通信する攻撃拡大のため、攻撃者は
組織内ネットワークを横移動する
RAT
マルウェアは感染後、永続化(自動実行)する
5
Copyright © 2018 独立行政法人情報処理推進機構Copyright © 2018 独立行政法人情報処理推進機構
標的型攻撃の実際
このPCは何年も前から感染しています
このPCは複数のマルウェアに感染しています
標的型攻撃は業界単位でもおこなわれます
標的型攻撃は個人単位でもおこなわれます
メール乗っ取りで攻撃に加担してしまった
Win10化やPC更新でも感染継続したまま
標的型攻撃は何度もやってきます +ファイルレス攻撃が増えています!
6
Copyright © 2018 独立行政法人情報処理推進機構Copyright © 2018 独立行政法人情報処理推進機構
長期感染 標的型マルウェアに感染したまま、長期間放置されているケースが非常に多い
攻撃者は必ずしも活動完了後に、その痕跡をキレイに消していく
わけではない
感染PCとC2サーバの定期通信(ビーコン)が残された状態が継
続されている
7
<http://www.ipa.go.jp/security/J-CRAT/report/20170127.html>参考)分析レポート2016 長期感染の実態
Copyright © 2018 独立行政法人情報処理推進機構Copyright © 2018 独立行政法人情報処理推進機構
複数のマルウェア
ダウンローダー RAT 権限奪取ツール(複数) カスタマイズツール(複数) カスタマイズスクリプト(複数) Microsoft管理ツール
フォルダ名 ファイル名
¥ProgramData taskeng.exe¥ProgramData¥F3 googleUpdate.exe
goopdate.dllgoopdate.dll.mapNVSmart.hlp
¥ProgramData¥SxS bug.log¥Users¥Public¥Videos wce.EXE
gsecdump.exeTIOR64.exeWin7Elevate64.exeWin7ElevateDll64.dlltior.exedomain.exess.vbsu.batss.batserver.vbsh.bat
¥Users¥<ユーザー名>¥AppData¥Local¥Temp
1.exe
¥Windows PSEXESVC.EXEウイルス対策ソフトの有効性
標的型マルウェア感染している場合は、ツールも含めて複数のマルウェアに感染していることが多い。
ツール類は広く出回っているものもあるため、ウイルス対策ソフトで検知されるケースもある。
1台のPCに16個のマルウェアとツールが設置
8
Copyright © 2018 独立行政法人情報処理推進機構Copyright © 2018 独立行政法人情報処理推進機構
:オペレーション
同一の攻撃者と思われる標的型攻撃を追跡し、2015年11月~2016年3月までに137件の攻撃メールを収集(まとまった攻撃をキャンペーンと呼ぶ) 共通点を有する業界団体(8団体)を介して、執拗に攻撃を行っている 企業等の正規アカウントを乗っ取り、踏み台にして送るケースが殆どである 本文の類似性の他、ウイルスの添付方法、ウイルスの挙動などが同一である
このキャンペーンは、16回のオペレーションで構成
<http://www.ipa.go.jp/security/J-CRAT/report/20160629.html>
本キャンペーンで悪用された業界団体は主に製造業に関わるは8団体、一般企業を狙った40通の内37通は同一業界で、ある特定の製造業(44組織)を狙った攻撃であることが分かった。
宛先 メール件数 組織数業界団体 86 8企業・製造業 37 27企業・卸売業 2 1企業・ソフトウェア業 1 1個人・フリーメール 9 7不明 2 -総計 137 44
業界単位で行われる攻撃
9
参考)分析レポート2015特定業界を執拗に狙う攻撃キャンペーンの分析
Copyright © 2018 独立行政法人情報処理推進機構Copyright © 2018 独立行政法人情報処理推進機構
個人でも感染・狙われる
• 標的型マルウェアが「個人利用PC」で発見されるケースが散見– 背景としては
• 組織メールを自宅メールに転送• クラウドサービスによる自宅での利用
– 個人利用メールがターゲットになっているケースも• やり取り型のケースも• 個人利用の場合、組織利用に比べて、対策や体制が脆弱
職歴・所属団体から標的とされた可能性
10
Copyright © 2018 独立行政法人情報処理推進機構Copyright © 2018 独立行政法人情報処理推進機構
メール乗っ取りで攻撃に加担
• 標的メールはどんなアドレスから送信されるか– 実在人物の名前+フリーメールは今もある– メールが乗っ取られて送信されているケースも
• クラウド系サービスの乗っ取りも増加
分析レポート2015より<http://www.ipa.go.jp/security/J-CRAT/report/20160629.html>
例)サイバー分析レポート2015の事案では、94%が不正利用での送付だった。
フリーメールは単発送信、企業メールは一斉送信と使い分けていたと思われる。
11
Copyright © 2018 独立行政法人情報処理推進機構Copyright © 2018 独立行政法人情報処理推進機構
何度もやってくる
• 1台のPCから3つの標的型マルウェア感染が発見された例– 2013年後半にPlugxに感染(ウイルス対策ソフト検出)
– 2015年に別のPlugxに感染– 2017年1月に新型マルウェアに感染
• 何度も攻撃されるケースは大変多い
Plugxは2012年頃から観測されており、現在でも多くの亜種が発見されている。新型マルウェアは2016年後半から観測されたもの。Plugx(初期型)
Plugx(別種)新種マルウェア
12
Copyright © 2018 独立行政法人情報処理推進機構Copyright © 2018 独立行政法人情報処理推進機構
こんな感染例も
Windows10へアップグレード後も感染継続していた
Win7 Win10
PCリプレース後も仮想マシンが感染継続していた
旧PC
Win7
新PC
Win7
アップグレード
PCリプレース
仮想マシンを起動したタイミングでC2サーバと通信
永続化した記録を見るとWindows7時代に感染
Mac+Parallesでの感染事例もあり
13
稼動しているOS=感染する可能性
Copyright © 2018 独立行政法人情報処理推進機構Copyright © 2018 独立行政法人情報処理推進機構
本当に増えている「ファイルレス攻撃」• ファイルレス攻撃
– マルウェア等の実ファイルを生成しない攻撃。スクリプトのリモート実行や、攻撃コードをレジストリに保存する等の手法を使うことで検知を回避。
– 特にWindowsOS標準スクリプト言語Powershellを使った攻撃が増加。• PowershellベースのRATがリリース、利用された攻撃事例も。• リモートリポジトリを利用するケースも増加。
今後ますます増加が予測されています
14
Copyright © 2018 独立行政法人情報処理推進機構Copyright © 2018 独立行政法人情報処理推進機構
参考)バージョンで違うPowershellのイベントログ• PowerShellのバージョンによって残せるイベントログに大きな違いがある。– Windows7(PS2.0)では、Powershellが動作した程度のログしか残らないが、Windows10(PS5.0)では、PowerhShellのコマンドレベルのログが残せる。
– デフォルトでもある程度残せるが、Windows10用管理用テンプレート(ADMX)の適用でより多くを取得可能。
パスやコマンドが詳しく記録される
15
Copyright © 2018 独立行政法人情報処理推進機構Copyright © 2018 独立行政法人情報処理推進機構
初動調査の紹介インシデント発生時に何をすればよいか
16
Copyright © 2018 独立行政法人情報処理推進機構Copyright © 2018 独立行政法人情報処理推進機構
標的型攻撃調査の難しさ
17
感染拡大は「どこまで」なのかわからない必ずしも全台拡大、全サーバ侵害とは限らない
このPCは感染したの? or
Copyright © 2018 独立行政法人情報処理推進機構Copyright © 2018 独立行政法人情報処理推進機構
標的型攻撃調査全体例
18
多い
Copyright © 2018 独立行政法人情報処理推進機構Copyright © 2018 独立行政法人情報処理推進機構
調査とフェーズ
19
境界線
初動調査
Copyright © 2018 独立行政法人情報処理推進機構Copyright © 2018 独立行政法人情報処理推進機構
一般的なPC調査と対処の例
イベントログ
アプリケーションログ
フルスキャン
ネットワーク抜線
初期化
ディスクフォレンジック
ディスク保全
起動プロセス
ウイルス検知ログ
最近はファストフォレンジックライブフォレンジックも
対処
調査
20
時間の経過
調査の粒度
時間と粒度にギャップがある
Copyright © 2018 独立行政法人情報処理推進機構Copyright © 2018 独立行政法人情報処理推進機構
初動調査の位置付け
イベントログ
初期化
ディスクフォレンジック
ディスク保全
起動プロセス
21
時間の経過
調査の粒度
初動調査
ライブフォレンジックの手法+標的型攻撃の特性を
取り入れた調査ギャップを埋めて効率的な調査に
アプリケーションログ
フルスキャン
ウイルス検知ログ
ネットワーク抜線対処
調査
Copyright © 2018 独立行政法人情報処理推進機構Copyright © 2018 独立行政法人情報処理推進機構
標的型攻撃マルウェアの感染特性は4つ+1
マルウェアを自動的に起動する設定
場所や名称を正規のものに偽装
する
感染や攻撃に使いやすい箇所が
ある
マルウェアはC2サーバと通信を行う
22
感染契機
マルウェア感染には「契機」が必要
ご注意)全ての標的型攻撃にあてはまるわけではありません。
重要永続化 偽装外部
通信
感染頻出箇所
Copyright © 2018 独立行政法人情報処理推進機構Copyright © 2018 独立行政法人情報処理推進機構
WindowsOSには実行痕跡を残す機能が豊富
23
実行痕跡
感染の契機やツールの実行痕跡
レジストリ
キャッシュ
アプリケーションログ
エラー処理感染契機
マルウェア感染には「契機」が必要
タイムスタンプ
イベントログ
Copyright © 2018 独立行政法人情報処理推進機構Copyright © 2018 独立行政法人情報処理推進機構
初動調査=標的型攻撃の特性と実行痕跡を収集し評価する
永続化
偽装
外部通信
感染頻出箇所
24
レジストリ レジストリ
ファイル一覧
タスクスケジューラ
ファイル一覧キャッシュ
接続状況タスクスケジューラ
4つの情報をそれぞれ適した方法で収集し、偽装や不審な点がないかを評価する
実行痕跡
Windows OS標準コマンドで情報収集
Copyright © 2018 独立行政法人情報処理推進機構Copyright © 2018 独立行政法人情報処理推進機構
情報収集(1)永続化と外部通信
設定箇所 内容スタートアップ起動プログラム OS起動時に自動起動されるプログラムサービス起動プログラム OS起動時にサービスとして起動されるプログラムスタートアップフォルダ ユーザーがログオン時に自動起動されるプログラムタスクスケジューラ 設定された時間に自動起動されるプログラム
25
代表的な永続化設定箇所
外部通信情報が残る箇所収集対象 内容
DNSキャッシュ PCのDNSリゾルバのキャッシュネットワーク接続情報 現在のネットワーク接続状態
Copyright © 2018 独立行政法人情報処理推進機構Copyright © 2018 独立行政法人情報処理推進機構
情報収集(2)実行痕跡
実行痕跡 内容と方法Prefetch Files アプリケーション起動時の各種情報をファイルとして保持。C:¥Windows¥Prefetchフォルダ
にファイル名-フルパスハッシュ値.pfとして作成される。ファイル名取得と更新日による実行判断と実行日付が推測できる。さらに、pfファイルそのものを解析すると、起動時の読み込みファイルや実行回数等を確認できる。128個保存される。
最近使ったファイル エクスプローラー経由で「使った」ファイル名からC:¥Users¥%USERNAME%¥AppData¥Roaming¥Microsoft¥Windows¥Recentフォルダにファイル名.lnkファイルが作成される。開封判断に利用できる。
最近使ったOfficeドキュメント
Officeドキュメントを「使った」ファイル名から、C:¥Users¥%USERNAME%¥AppData¥Roaming¥Microsoft¥Office¥Recentフォルダにファイル名.lnkファイルが生成される。
AppCompatCache アプリケーション実行時のキャッシュ情報としてレジストリに保持している。フルパスを含む実行ファイル名、最終更新日、サイズ、ファイルの実行可否が記録される。1024個保存される。
UserAssist エクスプローラー経由で実行したプログラム情報をレジストリに保持している。RunMRU 「ファイル名を指定して実行」で実行したプログラム情報をレジストリに保持している。TypedURLs InternetExplorerでアクセスした直近のURLが保持されている。25個から50個が保存される。
26
代表的な実行痕跡箇所
Copyright © 2018 独立行政法人情報処理推進機構Copyright © 2018 独立行政法人情報処理推進機構
実行痕跡はこんな形で残る
A.XLSXを開いた
PreFetch
最近使ったファイル
C:¥Windows¥PrefetchフォルダにEXCEL.PFが生成・更新
27
タイムスタンプ
C:¥Users¥%USERNAME%¥AppData¥Roaming¥Microsoft¥Office¥RecentフォルダにA.LNKが生成
タイムスタンプ
例)Excelファイルを開いた
ファイルとして生成される痕跡
Copyright © 2018 独立行政法人情報処理推進機構Copyright © 2018 独立行政法人情報処理推進機構
情報収集(3)感染頻出箇所
環境変数等 実フォルダ例%TEMP% C:¥Users¥%USERNAME%¥AppData¥Local¥Temp%PROGRAMDATA%%ALLUSERSPROFILE% C:¥ProgramData
%APPDATA% C:¥Users¥%USERNAME%¥AppData¥Roaming%LOCALAPPDATA% C:¥Users¥%USERNAME%¥AppData¥Local%PUBLIC% C:¥Users¥Public
28
代表的な感染頻出箇所
管理者権限でなくてもファイル配置が可能な箇所が狙われやすいC:¥ドライブ直下にあるフォルダもツール置き場としてよく使われる
このような標的型攻撃マルウェアが痕跡を残しやすい「設定」「状態」「場所」等の情報を収集していきます
Copyright © 2018 独立行政法人情報処理推進機構Copyright © 2018 独立行政法人情報処理推進機構
情報収集の例(1)永続化設定
29
コマンド例reg query HKLM¥SYSTEM¥currentControlSet¥services /s
実行例HKEY_LOCAL_MACHINE¥system¥CurrentControlSet¥Services¥AdobeARMservice
Type REG_DWORD 0x10Start REG_DWORD 0x2ErrorControl REG_DWORD 0x0ImagePath REG_EXPAND_SZ "C:¥Program Files¥Common
Files¥Adobe¥ARM¥1.0¥armsvc.exe"DisplayName REG_SZ Adobe Acrobat Update ServiceObjectName REG_SZ LocalSystemDescription REG_SZ Adobe Acrobat Updaterはアドビソフトウェアを最新の状態に保ちます。
コマンド例schtasks /fo CSV /query /v
実行例"TESTPC","¥Adobe Acrobat Update Task","2018/01/28 12:00:00","不明","対話型/バックグラウンド","2018/01/27 17:11:44","0","Adobe Systems Incorporated","C:¥Program Files¥Common Files¥Adobe¥ARM¥1.0¥AdobeARM.exe ","N/A","This task keeps your Adobe Reader and Acrobat applications up to date with the latest enhancements and security fixes","有効","無効","バッテリモードで停止, バッテリで開始しない","INTERACTIVE","有効","72:00:00","スケジュールデータをこの形式で使用することはできません。","ログオン時","N/A","N/A","N/A","N/A","N/A","N/A","N/A","N/A","N/A"
「どのファイル」をサービスとして起動させているか
「どのファイル」をスケジュール起動さ
せているか
Copyright © 2018 独立行政法人情報処理推進機構Copyright © 2018 独立行政法人情報処理推進機構
情報収集の例(2)実行痕跡
30
コマンド例(ファイル作成日でソート)dir /od /tc C:¥Windows¥PreFetch¥
実行例(ファイル作成日でソート)dir /od /tc C:¥Windows¥PreFetch¥
2015/11/10 17:24 9,778 CMD.EXE-4A81B364.pf 2015/11/30 13:14 15,424 DEFRAG.EXE-588F90AD.pf
コマンド例dir C:¥Users¥%USERNAME%¥AppData¥Roaming¥Microsoft¥Office¥Recent
ファイル例C:¥Users¥user01¥AppData¥Roaming¥Microsoft¥Office¥Recent のディレクトリ
2018/03/22 18:25 <DIR> .2018/03/22 18:25 <DIR> ..2018/03/22 18:25 1,165 Templates.LNK2018/03/22 18:24 1,051 TEST-PPT.LNK2018/03/22 18:25 1,056 TEST-WORD.LNK2018/03/22 18:25 905 デスクトップ.LNK
過去に実行したファイル名の一覧
過去に開いたOfficeドキュメントの一覧
ご注意)全ての実行が記録されているわけではありません。
Copyright © 2018 独立行政法人情報処理推進機構Copyright © 2018 独立行政法人情報処理推進機構
評価の手順(1)解析・抽出・絞込み
収集した情報 解析抽出
要確認情報
公開情報との比較
不審点
収集した情報を解析(可読化)して要確認情報を抽出
要確認情報を公開情報や既知情報との比較、またはその他情報から類推されることから不審点を抽出
その他情報から類推
既知情報との比較
特性を考慮して抽出 比較と類推で絞込む
31
感染頻出箇所や不審ファイルはないか?
Copyright © 2018 独立行政法人情報処理推進機構Copyright © 2018 独立行政法人情報処理推進機構
評価の手順(2)不審点を起点に見直し
収集した情報 解析抽出
要確認情報
公開情報との比較
不審点
その他情報から類推
既知情報との比較
不審点を起点に情報を見直す
32
不審点と同じ時間帯や同じ場所に不審なものはないか?
不審点から類推
不審点が抽出されると、その内容や時間情報などから、関係のありそうな情報を類推し、さらなる不審点の抽出や不審点の確実性を高めていく
Copyright © 2018 独立行政法人情報処理推進機構Copyright © 2018 独立行政法人情報処理推進機構
評価の例 永続化設定の場合
33
HKEY_CURRENT_USER¥Software¥Microsoft¥Windows¥CurrentVersion¥Runtaskeng REG_SZ "C:¥ProgramData¥taskeng.exe"
"taskeng.exe"はWindowsOS標準のファイルで、スケジュールされたタスクの実行をおこなう。配置場所は"C:¥Windows¥System32"
"C:¥ProgramData"は「感染頻出箇所」 (要確認情報として抽出)
"C:¥ProgramData"の直下にファイルが置かれる例は少ない
公開情報から
特性・知見から
収集した情報
評価
知見から
この永続化設定は偽装している可能性が高いので「不審」
自動的に外部通信をおこなっていないか?この永続化設定はいつおこなわれたか?
同じ設定が他のPCにないか?
Copyright © 2018 独立行政法人情報処理推進機構Copyright © 2018 独立行政法人情報処理推進機構
参考)攻撃遷移と実行痕跡の例
34
①攻撃メール受信
②添付ファイル実行A.zip
B.txt.lnk
C.hta
D.job
③ダウンロード
⑥永続化(RAT)
④RAT実行⑤リモートスクリプト実行
①16:30受信2017/8/24
②16:39実行
16:40実行
③16:40ダウンロードと実行④16:46~実行⑤16:48~実行
⑥23:14タスクスケジューラ登録
実行するとリンクファイルが生成
実行するとC.htaをダウンロードし実行
赤:Powershell
Recent(最近使ったファイル)
UserAssist
Prefetch
(イベントログ)
タスクスケジューラ
実行痕跡
Copyright © 2018 独立行政法人情報処理推進機構Copyright © 2018 独立行政法人情報処理推進機構
まとめ
35
標的型攻撃マルウェアの感染には特性がある「永続化」「外部通信」 「偽装」 「感染頻出箇所」
これらを組み合わせて調査すると感染や痕跡を発見できる可能性がある
WindowsOSは多くの種類の「実行痕跡」を残す機能がある
<https://www.ipa.go.jp/security/J-CRAT/report/20180329.html>くわしくは「サイバーレスキュー隊技術レポート2017」をどうぞ
Copyright © 2018 独立行政法人情報処理推進機構Copyright © 2018 独立行政法人情報処理推進機構
最後に
36
Copyright © 2018 独立行政法人情報処理推進機構Copyright © 2018 独立行政法人情報処理推進機構
http://www.ipa.go.jp/security/tokubetsu/
情報提供が攻撃対策に~サイバー空間利用者みんなの力をあわせて対抗力を~
• 標的型攻撃を受けた可能性がある場合はぜひ「標的型サイバー攻撃特別相談窓口」へご相談ください。
• 対応済みの過去の標的型攻撃でも重要な情報である可能性があります。ぜひ情報提供をお願いします。
37
標的型サイバー攻撃特別相談窓口電話 03-5978-7599
(対応は、平日の10:00~12:00 および13:30~17:00)E-mail [email protected]
J-CRATへご相談ください!
Copyright © 2018 独立行政法人情報処理推進機構Copyright © 2018 独立行政法人情報処理推進機構 38