Upload
code-blue
View
645
Download
1
Embed Size (px)
Citation preview
Copyright© 2016 SecureBrain Corporation, All rights reserved. Copyright© 2016 SecureBrain Corporation, All rights reserved.
「ネットバンキングウイルス無力化作戦」の裏側と高度化する金融マルウェア 2016.10.20 - 21
CODE BLUE 2016株式会社セキュアブレイン高田 一樹
http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
自己紹介• 名 前 高田一樹• 所 属 株式会社セキュアブレイン• お仕事 ソフトウェアエンジニア
ソフトウェア開発が本業 開発の傍らリサーチ ( 最近逆転気味 )
2
http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
背景
3
http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
Question
4
この数字は?
3073000000
http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
Answer
5
2015 年中のインターネットバンキングに関わる不正送金の被害額
\3,073,000,000
https://www.npa.go.jp/cyber/pdf/H280303_banking.pdf
http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
日本における不正送金被害額
6
2013 年 2014 年 2015 年
29 億 1000 万円30 億 7300 万円
14 億 600 万円
https://www.npa.go.jp/cyber/pdf/H280303_banking.pdf
http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
IPA 情報セキュリティ 10 大脅威 2016
• 総合的な 10 大脅威の第 1 位に
7
http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
ネットバンキングウィルス無力化作戦の概要
8
http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
ネットバンキングウィルス無力化作戦
9http://www.keishicho.metro.tokyo.jp/haiteku/haiteku/haiteku504.htm
http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
ネットバンキングウィルス無力化作戦
10
感染 PC
C&C サーバ 警視庁
無力化情報を配布
金融機関正規サーバ安全に利用可能
http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
標的は、『 VAWTRAK 』
11https://www.flickr.com/photos/arenamontanus/2125942630
※ 別名 Neverquest, Snifula など
http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
VAWTRAK
12
http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
What’s VAWTRAK ?
• 2014 年に、日本で流行• MITB 攻撃で、通信内容を改ざんする
– IE, Firefox, Chrome 等のブラウザに Injection して動作する• オンラインバンキングでの取引において
– ログイン情報・認証情報の詐取– 半自動不正送金を行う
13
http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
MITB 攻撃とは
14
MITB
Man In The Browser
ブラウザVAWTRAK
感染 PC
Injection サイト改ざん偽画面の表示… etc
Webサーバ
http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
何が起きているのか?
15
VAWTRAK
ユーザ PC
レジストリ感染
コンフィグ情報
C&Cサーバ マニピュレーションサーバ 金融機関正規サーバ
http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
何が起きているのか?
16
VAWTRAK
ユーザ PC
<html><head>
<title>Internet Banking</title>
コンテンツのリクエスト
Injection<script src=“….”>
正規コンテンツ
C&Cサーバ マニピュレーションサーバ 金融機関正規サーバ
http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
何が起きているのか?
17
VAWTRAK
ユーザ PC 不正 JavaScript のリクエスト不正 JavaScript の本体を取得・実行
<html><head>
<title>Internet Banking</title><script src=“….”>
C&Cサーバ マニピュレーションサーバ 金融機関正規サーバ
http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
何が起きているのか?
18
VAWTRAK
ユーザ PC
暗証番号の入力
送信
ユーザ情報の送信
*******
C&Cサーバ マニピュレーションサーバ 金融機関正規サーバ
http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
無力化作戦
19
http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. 20
協力するきっかけ
http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
半自動不正送金
21
ABCダイレクト メインメニュー
Copyright ABC Bank Co.,Ltd All Right Reserved
お客様番号
ワンタイムパスワード
プログレスバーでユーザ操作を抑止する間に感染 PC 自身から振り込みの手続きが行われる
http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
リクエストフロー
22
感染 PC
ログイン操作銀行サーバ マニピュレーションサーバ
ログイン情報
ログイン処理ログイン画面
アカウント情報画面残高情報を盗聴 残高情報
送金先情報 & 送金額
送金手続き処理
プログレスバー
必要に応じてOTP 等の入力画面を表示
http://www.slideshare.net/MasataNishida/avtokyo2014-obsevation-of-vawtrakja
http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
不正 JavaScript と同じリクエストを送ると…
23
送金先口座情報
送金額 ( 上限 / 下限 )
http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
警視庁との情報連携• マニピュレーションサーバとの通信実験で得られた送金先口座情報を警視庁に情報提供• 不正利用されている口座を閉塞し、不正送金を未然に防ぐ
24
警視庁と相互協力協定を結ぶ
http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
警視庁との連携• 警視庁では、 C&C サーバのドメインを入手• ドメインは、正規の手続きで入手• 入手したドメインを利用し、 VAWTRAK の通信を監視• 世界で 8 万 2000 台、うち国内では 4 万 4000 台の感染端末を特定
25
ドメインを利用し、 VAWTRAK に対し無力化情報を送信するサーバ構築を検討
http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
技術概要
26
感染 PC
C&C サーバ 警視庁
無力化情報を配布
金融機関正規サーバ安全に利用可能
無力化情報を生成するツールの提供ドメインを入手し管理下に
http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
技術分担警視庁• C&C サーバを管理下に置き、コンフィグ情報を配信する環境を構築・運用• 評価セキュアブレイン• 解読技術を用いて、コマンドおよびコンフィグ情報を生成するためのツールを開発する• 無力化すると考えられるコンフィグ情報の解明
27
http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
無力化技術の開発
28
http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
無力化に利用可能な VAWTRAK(BOT) の特徴
29
C&C サーバ
感染 PC
1分毎に C&Cサーバに Polling
有効なコマンドを返却すると他の C&C サーバへは通信に行かない
http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
コマンド20種類のコマンドを特定• コンフィグ情報指定• ファイルのダウンロードと実行• システムの終了• Cookie の窃取• 証明書ストアの窃取• Socks サーバ起動 , 終了• VNC サーバ起動 , 終了• 検体の Update• レジストリの操作 ...etc
30
http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
コンフィグ情報
31
マニピュレーションサーバへ接続するための書き換え情報
解読したコンフィグ情報攻撃対象 URL
挿入するコード
http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
コンフィグの構成要素
32
名称 意味inject type インジェクションの種別browser 対象ブラウザpattern match URL のパターンマッチ種別URL 対象 URLstring2 条件文字列string3 置換文字列string4 挿入する文字列
http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
inject type
18種類の種別を特定• 通信終了• スクリーンキャプチャ• 前に挿入• 後ろに挿入• URL置換• ホスト置換• 文字置換 ...etc
33
http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
browser / pattern
ブラウザInternet Explorer
Firefox
Chrome
34
browser
種別 意味strstr strstr 関数strcmp strcmp 関数regexp 正規表現
pattern
http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. 35
もう一度、コンフィグ情報を見返してみる
http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
コンフィグ情報
36
種別 意味inject type insert before
browser IE, Firefox, chrome
URL 対象 URL( 正規表現 )string2 条件文字列string3 -
string4 挿入される JavaScript
http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
コンフィグ情報
37
種別 意味inject type replace URL
browser IE, Firefox, chrome
URL 対象 URLstring2 条件文字列string3 置換 URLstring4 -
http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
コマンド & コンフィグ生成ツール• 動作確認環境
– Linux系 OS– Python 2.7.x
• コマンド情報、コンフィグ情報を入力として VAWTRAKが認識可能なバイナリ形式のデータを出力する• 出力データを C&C サーバに設定し、 VAWTRAK に読み込ませることでコマンド、コンフィグを書き換えることが可能
38
http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
コンフィグ生成フロー
39
Encryption process (XOR)
Raw configure data (JSON format)
CRC32 from raw configure data
Compression process (aPLib)
Encrypted configure data (Binary)
http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
デモ• Control of VAWTRAK
40
http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
実験サンドボックス環境
41
DummyC&C Server
Mac OSX
VM Ware
Victim PC
Internet
Host machine Mac OSX 10.10
Dummy C&C Ruby 2.0 + Sinatra
Victim PC Various Windows(After XP)
Browser Internet ExplorerChromeFirefox
http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
無力化データの正体
42
http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
無力化作戦の効果
43
https://www.npa.go.jp/cyber/pdf/H280303_banking.pdf
http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
考察• 2013 年中頃から拡大傾向であった VAWTRAK による被害が無力化作戦以降、減少。• 警察等の行政機関が主導でテイクダウンをすることで、技術的有効性に加えて、攻撃者の心理的ハードルが上がると考えられる。• ドメインを予め入手する必要があるなどの問題点がある
44
http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
高度化する金融マルウェア
45
http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
2016 年に不正送金に多く用いられているマルウェア
46
ROVNIX
URLZONE
VAWTRAK (New)
URSNIF
別名 Cidox など
別名 Gozi など
別名 Shiotob, Beblohbd など
別名 Neverquest ,Snifula など
http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. 47=不正 JavaScript
ROVNIX
target 30
Group A Group B=不正 JavaScript
URLZONEVAWTRAK(New)
target 30
http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. 48
MITB 攻撃の基本的な方法は変わらない
http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. 49
何が変化しているのか ?
http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
ポイント• C&C サーバとの通信改ざん防止
– 対称鍵暗号 (Serpent) で使用する共通鍵を非対称鍵暗号 (RSA-2048) で暗号化している
– ROVNIX では、通信内容を署名 (RSA-2048) している• 頻繁なマルウェア本体のアップデート
– パターンマッチングでの検出がより困難– 最新のブラウザにも Injection が可能
• 様々な通信方式の採用– コンフィグ情報の通信に HTTP 、 UDP P2P の 2つを利用している
• 不正 JavaScript の高機能化50
http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
不正 JavaScript の高機能化 (1)
51
http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
リクエストフロー
52
感染 PC
ログイン操作銀行サーバ マニピュレーションサーバ
ログイン情報
ログイン処理ログイン画面
送金手続き処理
決済情報の要求
セキュリティソフト導入の偽画面
決済情報必要に応じてOTP 等の入力画面を表示
http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
考察
53
通信内容の改ざん防止通信経路の多重化秘匿すべき情報はサーバで処理
攻撃活動を維持するためのセキュリティ強化
http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
まとめ
54
http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
まとめ• 警察が主導でテイクダウンを行った事の意義は非常に大きい• 攻撃者が攻撃方法を切り替える速度は非常に迅速であり、常に次の対策を用意しておく必要がある• 高度化する金融マルウェアに無力化作戦をそのまま適用するのは難しいと考えられる
55
http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.
効率的なテイクダウンは。。。
56
https://www.flickr.com/photos/hackaday/4658391708
http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. 57
政府、警察、司法、企業が連携することが不可欠