標的型攻撃の実際と初動調査の紹介 - ipa•...

Copyright © 2018 独立行政法人情報処理推進機構

標的型攻撃の実際と初動調査の紹介～WindowsOS標準コマンドで調べる攻撃痕跡～

2018年10月18日独立行政法人情報処理推進機構

セキュリティセンター標的型攻撃対策グループサイバーレスキュー隊

Copyright © 2018 独立行政法人情報処理推進機構Copyright © 2018 独立行政法人情報処理推進機構

サイバーレスキュー隊の活動イメージ

公的機関

業界団体社団・財団

重要産業関連企業

重要産業取引先

標的型サイバー攻撃特別相談窓口

公開情報の分析・収集

サイバーレスキュー隊 (J-CRAT)サイバーレスキュー活動

公開情報

JPCERT/CC

レスキュー支援

アンチウイルスベンダ

技術連携リサーチャ

別機関等

支援内容検体解析

攻撃・被害の可視化

攻撃・被害の把握

関連情報追跡

情報提供

情報提供相談

相談者

情報発信

ケース１

ケース２

ケース３

着手アプローチ

ケース1：標的型サイバー攻撃特別相談窓口に寄せられた支援対象組織からの相談ケース2：受付した相談から、連鎖的な被害（の可能性のある）組織が推定された場合ケース3：公開情報の分析、収集により被害（の可能性のある）組織が推定された場合

2


本日お話すること

• 標的型攻撃の実際– レスキュー活動から実例を紹介

• 初動調査の紹介– インシデント発生時におこなうべき調査＝初動調査– 初動調査の概要を解説

<https://www.ipa.go.jp/security/J-CRAT/report/20180329.html>

後半は「サイバーレスキュー隊技術レポート2017」からの記載が主となっています。

3


標的型攻撃の実際レスキュー活動での事例をベースに

4


標的型攻撃の進み方例

攻撃者

標的となった組織

③送付

①ウイルス作成

②メール作成・宛先・文面

④感染＋永続化

⑤C2サーバ通信

⑥情報収集・メールデータ・PCログインID/Pass・ファイルサーバデータ窃取・AD管理者権限 ⑦横移動C2サーバ

RAT（Remote Access Tool）を使いC2（Command and Controll）

サーバと通信する攻撃拡大のため、攻撃者は

組織内ネットワークを横移動する

RAT

マルウェアは感染後、永続化（自動実行）する

5


標的型攻撃の実際

このPCは何年も前から感染しています

このPCは複数のマルウェアに感染しています

標的型攻撃は業界単位でもおこなわれます

標的型攻撃は個人単位でもおこなわれます

メール乗っ取りで攻撃に加担してしまった

Win10化やPC更新でも感染継続したまま

標的型攻撃は何度もやってきます＋ファイルレス攻撃が増えています！

6


長期感染標的型マルウェアに感染したまま、長期間放置されているケースが非常に多い

攻撃者は必ずしも活動完了後に、その痕跡をキレイに消していく

わけではない

感染PCとC2サーバの定期通信（ビーコン）が残された状態が継

続されている

7

<http://www.ipa.go.jp/security/J-CRAT/report/20170127.html>参考）分析レポート2016 長期感染の実態


複数のマルウェア

ダウンローダー RAT 権限奪取ツール（複数）カスタマイズツール（複数）カスタマイズスクリプト（複数） Microsoft管理ツール

フォルダ名ファイル名

¥ProgramData taskeng.exe¥ProgramData¥F3 googleUpdate.exe

goopdate.dllgoopdate.dll.mapNVSmart.hlp

¥ProgramData¥SxS bug.log¥Users¥Public¥Videos wce.EXE

gsecdump.exeTIOR64.exeWin7Elevate64.exeWin7ElevateDll64.dlltior.exedomain.exess.vbsu.batss.batserver.vbsh.bat

¥Users¥＜ユーザー名＞¥AppData¥Local¥Temp

1.exe

¥Windows PSEXESVC.EXEウイルス対策ソフトの有効性

標的型マルウェア感染している場合は、ツールも含めて複数のマルウェアに感染していることが多い。

ツール類は広く出回っているものもあるため、ウイルス対策ソフトで検知されるケースもある。

１台のPCに16個のマルウェアとツールが設置

8


：オペレーション

同一の攻撃者と思われる標的型攻撃を追跡し、2015年11月～2016年3月までに137件の攻撃メールを収集（まとまった攻撃をキャンペーンと呼ぶ）共通点を有する業界団体（8団体）を介して、執拗に攻撃を行っている企業等の正規アカウントを乗っ取り、踏み台にして送るケースが殆どである本文の類似性の他、ウイルスの添付方法、ウイルスの挙動などが同一である

このキャンペーンは、16回のオペレーションで構成

<http://www.ipa.go.jp/security/J-CRAT/report/20160629.html>

本キャンペーンで悪用された業界団体は主に製造業に関わるは8団体、一般企業を狙った40通の内37通は同一業界で、ある特定の製造業（44組織）を狙った攻撃であることが分かった。

宛先メール件数組織数業界団体 86 8企業・製造業 37 27企業・卸売業 2 1企業・ソフトウェア業 1 1個人・フリーメール 9 7不明 2 -総計 137 44

業界単位で行われる攻撃

9

参考）分析レポート2015特定業界を執拗に狙う攻撃キャンペーンの分析


個人でも感染・狙われる

• 標的型マルウェアが「個人利用PC」で発見されるケースが散見– 背景としては

• 組織メールを自宅メールに転送• クラウドサービスによる自宅での利用

– 個人利用メールがターゲットになっているケースも• やり取り型のケースも• 個人利用の場合、組織利用に比べて、対策や体制が脆弱

職歴・所属団体から標的とされた可能性

10


メール乗っ取りで攻撃に加担

• 標的メールはどんなアドレスから送信されるか– 実在人物の名前＋フリーメールは今もある– メールが乗っ取られて送信されているケースも

• クラウド系サービスの乗っ取りも増加

分析レポート2015より<http://www.ipa.go.jp/security/J-CRAT/report/20160629.html>

例）サイバー分析レポート2015の事案では、94%が不正利用での送付だった。

フリーメールは単発送信、企業メールは一斉送信と使い分けていたと思われる。

11


何度もやってくる

• 1台のPCから3つの標的型マルウェア感染が発見された例– 2013年後半にPlugxに感染（ウイルス対策ソフト検出）

– 2015年に別のPlugxに感染– 2017年1月に新型マルウェアに感染

• 何度も攻撃されるケースは大変多い

Plugxは2012年頃から観測されており、現在でも多くの亜種が発見されている。新型マルウェアは2016年後半から観測されたもの。Plugx（初期型）

Plugx（別種）新種マルウェア

12


こんな感染例も

Windows10へアップグレード後も感染継続していた

Win7 Win10

PCリプレース後も仮想マシンが感染継続していた

旧PC

Win7

新PC

Win7

アップグレード

PCリプレース

仮想マシンを起動したタイミングでC2サーバと通信

永続化した記録を見るとWindows7時代に感染

Mac＋Parallesでの感染事例もあり

13

稼動しているOS＝感染する可能性


本当に増えている「ファイルレス攻撃」• ファイルレス攻撃

– マルウェア等の実ファイルを生成しない攻撃。スクリプトのリモート実行や、攻撃コードをレジストリに保存する等の手法を使うことで検知を回避。

– 特にWindowsOS標準スクリプト言語Powershellを使った攻撃が増加。• PowershellベースのRATがリリース、利用された攻撃事例も。• リモートリポジトリを利用するケースも増加。

今後ますます増加が予測されています

14


参考）バージョンで違うPowershellのイベントログ• PowerShellのバージョンによって残せるイベントログに大きな違いがある。– Windows7（PS2.0）では、Powershellが動作した程度のログしか残らないが、Windows10（PS5.0）では、PowerhShellのコマンドレベルのログが残せる。

– デフォルトでもある程度残せるが、Windows10用管理用テンプレート（ADMX）の適用でより多くを取得可能。

パスやコマンドが詳しく記録される

15


初動調査の紹介インシデント発生時に何をすればよいか

16


標的型攻撃調査の難しさ

17

感染拡大は「どこまで」なのかわからない必ずしも全台拡大、全サーバ侵害とは限らない

このPCは感染したの？ or


標的型攻撃調査全体例

18

多い


調査とフェーズ

19

境界線

初動調査


一般的なPC調査と対処の例

イベントログ

アプリケーションログ

フルスキャン

ネットワーク抜線

初期化

ディスクフォレンジック

ディスク保全

起動プロセス

ウイルス検知ログ

最近はファストフォレンジックライブフォレンジックも

対処

調査

20

時間の経過

調査の粒度

時間と粒度にギャップがある


初動調査の位置付け

イベントログ

初期化

ディスクフォレンジック

ディスク保全

起動プロセス

21

時間の経過

調査の粒度

初動調査

ライブフォレンジックの手法＋標的型攻撃の特性を

取り入れた調査ギャップを埋めて効率的な調査に


フルスキャン

ウイルス検知ログ

ネットワーク抜線対処

調査


標的型攻撃マルウェアの感染特性は4つ+1

マルウェアを自動的に起動する設定

場所や名称を正規のものに偽装

する

感染や攻撃に使いやすい箇所が

ある

マルウェアはC2サーバと通信を行う

22

感染契機

マルウェア感染には「契機」が必要

ご注意）全ての標的型攻撃にあてはまるわけではありません。

重要永続化偽装外部

通信

感染頻出箇所


WindowsOSには実行痕跡を残す機能が豊富

23

実行痕跡

感染の契機やツールの実行痕跡

レジストリ

キャッシュ


エラー処理感染契機

マルウェア感染には「契機」が必要

タイムスタンプ

イベントログ


初動調査＝標的型攻撃の特性と実行痕跡を収集し評価する

永続化

偽装

外部通信

感染頻出箇所

24

レジストリレジストリ

ファイル一覧

タスクスケジューラ

ファイル一覧キャッシュ

接続状況タスクスケジューラ

4つの情報をそれぞれ適した方法で収集し、偽装や不審な点がないかを評価する

実行痕跡

Windows OS標準コマンドで情報収集


情報収集（１）永続化と外部通信

設定箇所内容スタートアップ起動プログラム OS起動時に自動起動されるプログラムサービス起動プログラム OS起動時にサービスとして起動されるプログラムスタートアップフォルダユーザーがログオン時に自動起動されるプログラムタスクスケジューラ設定された時間に自動起動されるプログラム

25

代表的な永続化設定箇所

外部通信情報が残る箇所収集対象内容

DNSキャッシュ PCのDNSリゾルバのキャッシュネットワーク接続情報現在のネットワーク接続状態


情報収集（２）実行痕跡

実行痕跡内容と方法Prefetch Files アプリケーション起動時の各種情報をファイルとして保持。C:¥Windows¥Prefetchフォルダ

にファイル名-フルパスハッシュ値.pfとして作成される。ファイル名取得と更新日による実行判断と実行日付が推測できる。さらに、pfファイルそのものを解析すると、起動時の読み込みファイルや実行回数等を確認できる。128個保存される。

最近使ったファイルエクスプローラー経由で「使った」ファイル名からC:¥Users¥%USERNAME%¥AppData¥Roaming¥Microsoft¥Windows¥Recentフォルダにファイル名.lnkファイルが作成される。開封判断に利用できる。

最近使ったOfficeドキュメント

Officeドキュメントを「使った」ファイル名から、C:¥Users¥%USERNAME%¥AppData¥Roaming¥Microsoft¥Office¥Recentフォルダにファイル名.lnkファイルが生成される。

AppCompatCache アプリケーション実行時のキャッシュ情報としてレジストリに保持している。フルパスを含む実行ファイル名、最終更新日、サイズ、ファイルの実行可否が記録される。1024個保存される。

UserAssist エクスプローラー経由で実行したプログラム情報をレジストリに保持している。RunMRU 「ファイル名を指定して実行」で実行したプログラム情報をレジストリに保持している。TypedURLs InternetExplorerでアクセスした直近のURLが保持されている。25個から50個が保存される。

26

代表的な実行痕跡箇所


実行痕跡はこんな形で残る

A.XLSXを開いた

PreFetch

最近使ったファイル

C:¥Windows¥PrefetchフォルダにEXCEL.PFが生成・更新

27


C:¥Users¥%USERNAME%¥AppData¥Roaming¥Microsoft¥Office¥RecentフォルダにA.LNKが生成


例）Excelファイルを開いた

ファイルとして生成される痕跡


情報収集（３）感染頻出箇所

環境変数等実フォルダ例%TEMP% C:¥Users¥%USERNAME%¥AppData¥Local¥Temp%PROGRAMDATA%%ALLUSERSPROFILE% C:¥ProgramData

%APPDATA% C:¥Users¥%USERNAME%¥AppData¥Roaming%LOCALAPPDATA% C:¥Users¥%USERNAME%¥AppData¥Local%PUBLIC% C:¥Users¥Public

28

代表的な感染頻出箇所

管理者権限でなくてもファイル配置が可能な箇所が狙われやすいC:¥ドライブ直下にあるフォルダもツール置き場としてよく使われる

このような標的型攻撃マルウェアが痕跡を残しやすい「設定」「状態」「場所」等の情報を収集していきます


情報収集の例（１）永続化設定

29

コマンド例reg query HKLM¥SYSTEM¥currentControlSet¥services /s

実行例HKEY_LOCAL_MACHINE¥system¥CurrentControlSet¥Services¥AdobeARMservice

Type REG_DWORD 0x10Start REG_DWORD 0x2ErrorControl REG_DWORD 0x0ImagePath REG_EXPAND_SZ "C:¥Program Files¥Common

Files¥Adobe¥ARM¥1.0¥armsvc.exe"DisplayName REG_SZ Adobe Acrobat Update ServiceObjectName REG_SZ LocalSystemDescription REG_SZ Adobe Acrobat Updaterはアドビソフトウェアを最新の状態に保ちます。

コマンド例schtasks /fo CSV /query /v

実行例"TESTPC","¥Adobe Acrobat Update Task","2018/01/28 12:00:00","不明","対話型/バックグラウンド","2018/01/27 17:11:44","0","Adobe Systems Incorporated","C:¥Program Files¥Common Files¥Adobe¥ARM¥1.0¥AdobeARM.exe ","N/A","This task keeps your Adobe Reader and Acrobat applications up to date with the latest enhancements and security fixes","有効","無効","バッテリモードで停止, バッテリで開始しない","INTERACTIVE","有効","72:00:00","スケジュールデータをこの形式で使用することはできません。","ログオン時","N/A","N/A","N/A","N/A","N/A","N/A","N/A","N/A","N/A"

「どのファイル」をサービスとして起動させているか

「どのファイル」をスケジュール起動さ

せているか


情報収集の例（２）実行痕跡

30

コマンド例（ファイル作成日でソート）dir /od /tc C:¥Windows¥PreFetch¥

実行例（ファイル作成日でソート）dir /od /tc C:¥Windows¥PreFetch¥

2015/11/10 17:24 9,778 CMD.EXE-4A81B364.pf 2015/11/30 13:14 15,424 DEFRAG.EXE-588F90AD.pf

コマンド例dir C:¥Users¥%USERNAME%¥AppData¥Roaming¥Microsoft¥Office¥Recent

ファイル例C:¥Users¥user01¥AppData¥Roaming¥Microsoft¥Office¥Recent のディレクトリ

2018/03/22 18:25 <DIR> .2018/03/22 18:25 <DIR> ..2018/03/22 18:25 1,165 Templates.LNK2018/03/22 18:24 1,051 TEST-PPT.LNK2018/03/22 18:25 1,056 TEST-WORD.LNK2018/03/22 18:25 905 デスクトップ.LNK

過去に実行したファイル名の一覧

過去に開いたOfficeドキュメントの一覧

ご注意）全ての実行が記録されているわけではありません。


評価の手順（１）解析・抽出・絞込み

収集した情報解析抽出

要確認情報

公開情報との比較

不審点

収集した情報を解析（可読化）して要確認情報を抽出

要確認情報を公開情報や既知情報との比較、またはその他情報から類推されることから不審点を抽出

その他情報から類推

既知情報との比較

特性を考慮して抽出比較と類推で絞込む

31

感染頻出箇所や不審ファイルはないか？


評価の手順（２）不審点を起点に見直し

収集した情報解析抽出

要確認情報

公開情報との比較

不審点

その他情報から類推

既知情報との比較

不審点を起点に情報を見直す

32

不審点と同じ時間帯や同じ場所に不審なものはないか？

不審点から類推

不審点が抽出されると、その内容や時間情報などから、関係のありそうな情報を類推し、さらなる不審点の抽出や不審点の確実性を高めていく


評価の例永続化設定の場合

33

HKEY_CURRENT_USER¥Software¥Microsoft¥Windows¥CurrentVersion¥Runtaskeng REG_SZ "C:¥ProgramData¥taskeng.exe"

"taskeng.exe"はWindowsOS標準のファイルで、スケジュールされたタスクの実行をおこなう。配置場所は"C:¥Windows¥System32"

"C:¥ProgramData"は「感染頻出箇所」（要確認情報として抽出）

"C:¥ProgramData"の直下にファイルが置かれる例は少ない

公開情報から

特性・知見から

収集した情報

評価

知見から

この永続化設定は偽装している可能性が高いので「不審」

自動的に外部通信をおこなっていないか？この永続化設定はいつおこなわれたか？

同じ設定が他のPCにないか？


参考）攻撃遷移と実行痕跡の例

34

①攻撃メール受信

②添付ファイル実行A.zip

B.txt.lnk

C.hta

D.job

③ダウンロード

⑥永続化（RAT）

④RAT実行⑤リモートスクリプト実行

①16:30受信2017/8/24

②16:39実行

16:40実行

③16:40ダウンロードと実行④16:46～実行⑤16:48～実行

⑥23:14タスクスケジューラ登録

実行するとリンクファイルが生成

実行するとC.htaをダウンロードし実行

赤：Powershell

Recent(最近使ったファイル）

UserAssist

Prefetch

（イベントログ）

タスクスケジューラ

実行痕跡


まとめ

35

標的型攻撃マルウェアの感染には特性がある「永続化」「外部通信」「偽装」「感染頻出箇所」

これらを組み合わせて調査すると感染や痕跡を発見できる可能性がある

WindowsOSは多くの種類の「実行痕跡」を残す機能がある

<https://www.ipa.go.jp/security/J-CRAT/report/20180329.html>くわしくは「サイバーレスキュー隊技術レポート2017」をどうぞ


最後に

36


http://www.ipa.go.jp/security/tokubetsu/

情報提供が攻撃対策に～サイバー空間利用者みんなの力をあわせて対抗力を～

• 標的型攻撃を受けた可能性がある場合はぜひ「標的型サイバー攻撃特別相談窓口」へご相談ください。

• 対応済みの過去の標的型攻撃でも重要な情報である可能性があります。ぜひ情報提供をお願いします。

37

標的型サイバー攻撃特別相談窓口電話 03-5978-7599

(対応は、平日の10:00～12:00 および13:30～17:00)E-mail [email protected]

J-CRATへご相談ください！

標的型攻撃の実際と初動調査の紹介 - ipa•...

Documents