Code Blue 2019 「バンキングトロジャンのすべて/The Trouble with Trojans」レポート
CodeBlue2019に参加できる機会を得ることが出来たので、聞いてきました。
https://codeblue.jp/2019/time_table/
ばらまきメールを調査していて、ばらまき系マルウェアのUrsnifを特に注視している身としては、この講演はとても気になりました。
ただ、色々と伝わらないのでは?という気がしたので、レポートという名前でどちらかというと講演に対するプラスαの解説を書いていきたいと思います。
■前半
発表者はCiscoのumbrellaの方。
DNSのトラフィックから脅威を分析したデータの紹介。
※マルウェアが悪意あるドメインに通信する際、DNSの通信が発生する。
→ただし、ドメインに通信する時のみのため、例えばEmotetのC2通信はIPへの通信であり、これは観測できないと思われる。
観測範囲は61%が北米、25%がEU、アジアは10%弱。
地域的には、マルウェアが全てで多いが、北米ではクリプトマイニングが多い、アジアはbotが多い。
どの業界もターゲットとなっており、業界別順位はよく入れ替わるが、高等教育と金融はいつも上位にいる・
高等教育ではクリプトマイニングが多い、金融はトロイの木馬。
標的となる企業は大規模な企業または小規模な企業が多い。
欧米では中規模な企業は管理のバランスが良いため標的となりずらい
→標的となる企業、と言っていたと思うが、これは被害が出ている、ということだと思われる。
ボリュームの大きな攻撃は、ターゲットを選んでいないと考えた方が良い。
無差別に攻撃を行っていて、被害が出ている企業の分類したらこうだった、の方がしっくり来る。
また、中規模な企業は被害が少ないと言っていたが欧米ではユーザ企業にしっかりとしたIT担当がいるためで、日本では被害が少ない、ということはないと思われる。
(中規模な企業でも被害が出ている事例を知っているからそう思うだけで、データ的な裏付けはない)
スキャンはIPがあればくるし、ばらまきメールはメールアドレスが判明していたら来る。
業界によって、主な脅威となるものが異なる。
金融はトロイ、教育はクリプトマイニング、ボット、C2、産業はランサム、ワーム、医療はRAT、ランサム、政府はC2。
全体の通信量は、クリプトマイニング、トロイ、フィッシング、ボット。
■後半
(自分にとっては)本題のMalware、主にEmotetとUrsnifについての話。
→発表を聞いて、英語タイトルの「The Trouble with Trojans」は良いと思うのですが、日本語タイトルの「バンキングトロジャンのすべて」は語弊があるな、と思いました。
Emotetも(今回の発表の)Ursnifも、もはやバンキングトロジャンと呼ぶのは間違っていて、どちらもマルウェアのカテゴリとしてはダウンローダと呼ぶべきもの。
発表はそれぞれを対比しながら話していましたが、以下はマルウェアごとに解説。
※もはや講演の解説ではなく、該当マルウェアのキャンペーンと日本の関係の解説に近い…
■Emotet
(前提の解説)
Emotetは当初はバンキングトロジャンとして作られているが、この数年はダウンローダとして、他のマルウェアに感染させるために使用されている。
次のマルウェアへ感染させるインフラとして、他の攻撃者に貸し出していると考えられている。
ただ、Emotet自身を配信するのにEmotetのbotnetを使用しており、Emotetに感染させるためにEmotetをばらまくケースもある。
Emotetは感染を拡大させるために、感染した端末からメール情報を盗み取り、次の感染のために使用する。
盗んだメールのやり取りに返信としてEmotetに感染させる添付ファイルを付けてメールを送信する(これを返信型Emotetと呼んでいる)。このタイプのメールは添付ファイルの開封率が高く感染率が高い。
そのため、Emotetはダウンローダとして他のマルウェアに感染するだけでなく、メールが盗まれるという情報窃取、メールを拡散するというスパムボット、という3つの特性を併せ持っているとして対策を取るべき。
発表では話していたのは主に以下の内容。
Emotetは広くばらまいて大量の通信を発生させており、マルウェア関連の通信うち欧州のトラフィックの99%、北米の2/3くらいのトラフィックをしめている
Emotetの感染フローとしては malspam -> (weblink) -> doc -> emotet -> fowllo-up malware
Follow-up malwareがTrickbotだった場合には、標的型ランサムウェア攻撃に発展するケースが多く見られる。
その場合には trickbot -> cobalstStrike -> bloodhound -> PowershellEmpire -> Ryuku Ransomewareといったフローになることをsandbox環境で確認している。3時間後くらいにはNW内で感染拡大行為を行っている。(守る側の猶予はそれくらい短い)
Emotetが配信するfollow-up Malwareは以下の通り。
Trickbot, IcedID, Ryuke, Sodinokibi, QuakBot, GootKit
Trickbot, IcedIDはバンキングトロジャン、Ryuku, Sodinokibiはランサムウェア。
(+αの解説)
日本でもEmotetのばらまきは発生している。今年度では、4月と9月以降で観測している。
日本では、follow-up malwareとして、Ursnif、Trickbotが確認されている。
※Ursnifは海外ではあまり確認されていないようで、日本固有の事例かもしれない。
Trickbotはバンキングトロジャンとして、日本も狙うようになったため、Ursnifと同様に不正送金の被害にあわないよう注意が必要。
Trickbotは更にRyukuランサムウェアによる標的型ランサムウェアの被害にあう可能性もある。
※標的型ランサムウェア攻撃は特に被害が大きいので注意が必要
返信型Emotetによる強い感染力とTrickbot->Ryukuによる標的型ランサムにより、今後国内で大きな被害が出そうで、注意喚起をしていきたい。
■Ursnif
(前提の解説)
Ursnifはバンキングトロジャンとして様々なアクターにより使われている。
※自分の分析では大きなくくりでまとめて分類しても5種類くらいのUrsnifの亜種の固まりが見られる。
このうち、今回話していたのはその中の1グループの話。
なお、日本向けによく来ていた請求書をかたるものや楽天をかたるものとは別のアクターの話。
発表では話していたのは主に以下の内容。
このUrsnifを使うアクターはEmotetの成功を見て、Ursnifでも同様のテクニックを使い始めたと考えられる。
主に3つのグループで異なった地域、業界を対象として活動しており、他には広がらない。
感染させるためのテクニックに長けており、メールの返信に添付ファイルを付けたり、パスワード付きzipで送ったり、GoogleDrive上にファイルをおいたり、小さな企業似標的を絞ったりする。
感染の経路は以下の通り
malspam -> webpage-link -> GoogleDrive -> password-zip -> doc -> ursnif
Ursnifのfollow-up malwareとして確認されているのは以下の通り。
Trickbot IcedID Azoult PredetorTheThief Vaidar Dridex
(+αの解説)
このグループは主にUS、カナダ、イタリアをメインの標的としている。10月になってからはイギリスやドイツ向けも観測している。
攻撃の特徴として、以下が挙げられる。開かせるために他のばらまきと比較してかなり手が込んでいる。
・盗んだメールの返信にUrsnifに感染させる添付ファイルを付けてメールをばらまく(返信型Ursnif)。
・メールを盗むのはWebメールのアカウントに不正アクセスをするケースが見られる。その場合、そのメールアカウントからメールもばらまくケースが多い。
・添付ファイルは簡単なパスワード(777など)が付いたzipファイルになっており、中のwordファイルをメールセキュリティソフトで簡単にチェック出来ないようにしている。
・添付ファイルはダウンローダで標的の国からアクセスがあった場合のみUrsnifをダウンローダして感染させる(GeoFencedと呼ばれている)
日本向けには過去、2018年11月に大きなばらまきがあったが、(恐らく)失敗に終わっており、その後は大規模なものは観測していない。
■対策
ばらまきメールに対する一般的な対策をすること。
標的型ランサムに対してはAPTに対する対策を行うこと。
ハニーポットのログ分析まとめ(2019年03月度)
2019年03月度のWOWHoneypotのログ分析まとめです。
※先月分: ハニーポットのログ分析まとめ(2019年02月度) - S-Owl
<前提>
以前はプライベートSOCで監視を行っており、自組織を狙ったものか広く一般を狙ったものかを区別したく、広く一般を狙った通信を監視する為に業務と同じくhttpの通信をハニーポットで観測していま、した。
今は目的については再検討中です。
なお、3月は観測地点を4地点に増やして観測を行いました。
ハニーポッター技術者交流会で話しましたが、ネットワーク(IPアドレス)の違いにより、観測可能なスキャンがどう違うか、というのを調査しようという思いです。
各サーバは以下の4種類になります。
呼称 | 種別 | 事業者 | IP |
稼働日 |
備考 |
A | メイン | IDCF | 210.140.82.xxx | 2018/6/5 | ドメインあり |
B | サブ | IDCF | 210.152.87.xxx | 2019/2/28 | |
C | 次期 | ABLE | 150.66.13.xxx | 2019/2/27 | 今後のハニポサバ |
D | 特殊 | KAGOYA | 133.18.169.xxx | 2019/2/25 | ハニポ用ではないが観測可 |
※IDCFは3月末を持って利用終了(個人利用不可の為)
■日次のアクセス数
1ヶ月間の総アクセス数:64,307件 (1台平均16,077件) (前月:8,479件)
A: 13252 | B: 19164 | C: 22998 | D: 8893 |
※各サーバのアクセス数の積み重ねグラフです。
3月後半にほぼすべてのサーバで件数が増加しています。
これまで日次で分析していたA(メイン機)では3月後半にはWordPressを狙った複数回の大量アクセスがありましたが、アクセス数が増加していたタイミングには他のサーバでもほぼ同じようにアクセス数が増加しています。
■特定パスに対するアクセスの変動
より流行が分かるように、いくつかの特徴的なアクセスの遷移を見てみます。
・パスにwpを含むアクセス(WordPress関連)
1ヶ月間の対象総アクセス数:21,964件 (1台平均5,491件)
A: 6870 | B: 7388 | C: 6682 | D: 1024 |
主にWordPress関連の調査・攻撃で利用されるwpが含まれるパスを抜き出します。
Dを除くサーバで同じタイミングでほぼ同じだけ増加しているのがわかります。
なお、Dが増えていないのは、wpを模すような動作をしていない(HuntingRuleがない)ためと考えられます。
・WordPressに関係しないphpのパスに対するアクセス(WebShell、phpMyAdmin)
1ヶ月間の対象総アクセス数:24,275件 (1台平均6,068件)
A: 2659 | B: 7274 | C: 7390 | D: 6952 |
主にWebShellの調査やphpMyAdmin等のアクセスで、同じようにアクセス回数が増えることもあれば、ばらつきがあることもある、という状態です。
全体として一定量のアクセスがあるため、Web全体に対して行われているだろう、ということが推測できます。
A(メイン機)が少ないのはこれまでスキャンを多く受けており、調査済IPとして除外されている可能性が考えられます。
月末にDが多いのは、そのタイミングでWordPressではなかった為にいつものphpのスキャンが来たのかも知れません。その場合にはphpのスキャンとWordPressのスキャンのアクターが同一の可能性が高そうです。
■アクセスパス
1ヶ月間のメソッド+パスの種類は計1,026種類(Aのみ:694種類)(前月:627種類)でした。
アクセスパスから攻撃種別を分類し、種別毎のアクセス数を算出したリストのTop15は以下です。
順位 | 種類 | 件数 | A | B | C | D |
1 | phpのWebShell設置の調査 | 17337 | 1892 | 10722 | 9902 | 5917 |
2 | WordPressの調査 | 15900 | 4804 | 5421 | 4675 | 1000 |
3 | WordPressのログイン試行攻撃 | 14466 | 4830 | 4950 | 4661 | 25 |
4 | phpMyAdminの調査 | 7163 | 836 | 2044 | 2340 | 1943 |
5 | Tomcat管理ページへのブルートフォース攻撃 | 6609 | 314 | 777 | 5438 | 80 |
6 | WordPressのXML-RPCに対する攻撃 | 596 | 201 | 197 | 198 | 0 |
7 | 不正中継の調査 | 292 | 44 | 89 | 104 | 55 |
8 | クローリング | 199 | 50 | 12 | 19 | 118 |
9 | ThinkPHPの脆弱性を突いた攻撃 | 180 | 17 | 50 | 55 | 58 |
10 | PHPWetherMapの調査 | 150 | 15 | 46 | 46 | 43 |
11 | GPONルータの脆弱性(CVE-2018-10561)を突くMirai亜種の攻撃 | 136 | 77 | 56 | 3 | 0 |
12 | Joomlaの調査 | 134 | 0 | 50 | 41 | 43 |
13 | Apache Struts2の脆弱性S2-045(CVE-2017-5638)を突く攻撃 | 103 | 60 | 23 | 9 | 11 |
14 | WebDAVの調査 | 88 | 8 | 23 | 30 | 27 |
15 | IPアドレスの調査 | 71 | 6 | 21 | 24 | 20 |
更に少しまとめて上位を出すと、以下のようになります。
WordPress、WebShell、phpMyAdmin、Tomcatで9割以上です。
これはどれもgraneedさん作のBW-Potに入っているものですね。利用を検討です。
なお、アクセスパスのtop20は以下です。
順位 | request | 種類 | SUM | A | B | C | D |
1 | GET /manager/html | Tomcat管理ページへのブルートフォース攻撃 | 6609 | 314 | 777 | 5438 | 80 |
2 | GET /wp-login.php | WordPressの調査 | 4298 | 1273 | 1644 | 1305 | 76 |
3 | POST /wp-login.php | WordPressの調査 | 4202 | 1264 | 1643 | 1295 | 0 |
4 | POST /xmlrpc.php | WordPressのログイン試行攻撃 | 4127 | 1233 | 1613 | 1280 | 1 |
5 | GET /wp/wp-login.php | WordPressの調査 | 349 | 136 | 107 | 103 | 3 |
6 | POST /wp/wp-login.php | WordPressのログイン試行攻撃 | 340 | 134 | 105 | 101 | 0 |
7 | GET /forum/wp-login.php | WordPressの調査 | 329 | 112 | 105 | 108 | 4 |
8 | GET /testblog/wp-login.php | WordPressの調査 | 325 | 104 | 111 | 107 | 3 |
9 | GET /myblog/wp-login.php | WordPressの調査 | 324 | 108 | 105 | 108 | 3 |
10 | GET /wp1/wp-login.php | WordPressの調査 | 322 | 104 | 106 | 109 | 3 |
11 | GET /teststite/wp-login.php | WordPressの調査 | 321 | 104 | 107 | 107 | 3 |
12 | GET /blog/wp-login.php | WordPressの調査 | 320 | 110 | 104 | 101 | 5 |
13 | GET /2017/wp-login.php | WordPressの調査 | 320 | 108 | 105 | 104 | 3 |
14 | GET /myforum/wp-login.php | WordPressの調査 | 320 | 104 | 107 | 106 | 3 |
15 | POST /forum/wp-login.php | WordPressのログイン試行攻撃 | 318 | 108 | 103 | 107 | 0 |
16 | GET /wordpress/wp-login.php | WordPressの調査 | 318 | 105 | 105 | 104 | 4 |
17 | GET /mysite/wp-login.php | WordPressの調査 | 317 | 107 | 105 | 102 | 3 |
18 | POST /myblog/wp-login.php | WordPressのログイン試行攻撃 | 316 | 106 | 103 | 107 | 0 |
19 | GET /news/wp-login.php | WordPressの調査 | 316 | 105 | 102 | 106 | 3 |
20 | POST /testblog/wp-login.php | WordPressの調査 | 316 | 102 | 109 | 105 | 0 |
■送信元IP
送信元IPは1,819件(前月:955件)です。
アクセスがあったIPを地図にマッピングすると以下になります。
日本からも幾つかアクセスがありましたが、内容を確認したところ、WordPressの分散型ブルートフォース攻撃のアクセス元IPの1つという状態でした。
■まとめ
複数箇所に設置して分析することで、全体としては同じ傾向が見られることが確認できた。
しかし、設定等によって異なる動作を観測することも可能でした。その結果アクターの関連性についても考察する余地が増えました。
複数設置して観測することで、より分析するための情報が増えるため、価値はあると考えられます。
一旦、メインで使っていたサーバは使えなくなるため、乗り換えの為の新規サーバを立てましたが、同じ観測手法でなく、ハニーポットの種類を変えることや減った台数を更にまた増やす等も検討したいと思います。合わせて、分析の仕方、結果の出し方も検討したいと思います。
以上
ハニーポットのログ分析まとめ(2019年02月度)
2019年02月度のWOWHoneypotのログ分析まとめです。
※先月分: ハニーポットのログ分析まとめ(2019年01月度) - S-Owl
<前提>
以前はプライベートSOCで監視を行っており、自組織を狙ったものか広く一般を狙ったものかを区別したく、広く一般を狙った通信を監視する為に業務と同じくhttpの通信をハニーポットで観測していま、した。
今は目的については再検討中です。
■スペック
台数:1台
ソフトウェア:WOWHoneypot
対象ポート:80/tcp
設置IP:日本のIP
ドメイン:10月取得済、未公開
運用:2018/6/5から開始
■日次のアクセス数
1ヶ月間の総アクセス数:8,479件 (前月:20,034件)
全体の件数は前月対比減っています。
■アクセスパス
1ヶ月間のメソッド+パスの種類は計627種類(前月:661種類)でした。
アクセスパスから攻撃種別を分類し、種別毎のアクセス数を算出したリストのTop10は以下です。(通常アクセス除く)
なお、アクセスパスのtop20は以下です。
順位 | アクセス | 種別 | 件数 |
1 | GET / | アクセス | 849 |
2 | GET /manager/html | Tomcat管理ページへのブルートフォース攻撃 | 216 |
3 | POST /1.php | phpのWebShell設置の調査 | 89 |
4 | POST /qq.php | phpのWebShell設置の調査 | 80 |
5 | POST /confg.php | phpのWebShell設置の調査 | 76 |
6 | POST /GponForm/diag_Form?style/ | GPONルータの脆弱性(CVE-2018-10561)を突くMirai亜種の攻撃 | 65 |
7 | POST /x.php | phpのWebShell設置の調査 | 59 |
8 | POST /q.php | phpのWebShell設置の調査 | 55 |
9 | POST /test.php | phpのWebShell設置の調査 | 51 |
10 | POST /xx.php | phpのWebShell設置の調査 | 45 |
11 | POST /conflg.php | phpのWebShell設置の調査 | 44 |
12 | GET /shell.php | phpのWebShell設置の調査 | 44 |
13 | GET /tools/phpMyAdmin/index.php | phpMyAdminの調査 | 43 |
14 | GET /robots.txt | クローリング | 43 |
15 | GET /phpMyAdmin/phpMyAdmin/index.php | phpMyAdminの調査 | 43 |
16 | GET /cmd.php | phpのWebShell設置の調査 | 43 |
17 | GET /www/phpMyAdmin/index.php | phpMyAdminの調査 | 42 |
18 | GET /web/phpMyAdmin/index.php | phpMyAdminの調査 | 42 |
19 | GET /claroline/phpMyAdmin/index.php | phpMyAdminの調査 | 42 |
20 | POST /s.php | phpのWebShell設置の調査 | 41 |
■送信元IP
送信元IPは955件(前月:1,173件)です。
アクセスがあったIPを地図にマッピングすると以下になります。
■ドメイン名でのアクセス
10月から取得しているドメイン名に対してのアクセスです。取得はしていますが、特段公開等はしていないものです。
path | 件数 |
/ | 85 |
/robots.txt | 36 |
/wp-login.php | 4 |
/images/ | 2 |
/ads.txt | 1 |
/cms/wp-admin/ | 1 |
/sitemap.xml | 1 |
以上