S-Owl

S(ecurity)Owl

Code Blue 2019 「バンキングトロジャンのすべて/The Trouble with Trojans」レポート

CodeBlue2019に参加できる機会を得ることが出来たので、聞いてきました。
https://codeblue.jp/2019/time_table/

 

ばらまきメールを調査していて、ばらまき系マルウェアのUrsnifを特に注視している身としては、この講演はとても気になりました。

ただ、色々と伝わらないのでは?という気がしたので、レポートという名前でどちらかというと講演に対するプラスαの解説を書いていきたいと思います。

 

■前半
発表者はCiscoのumbrellaの方。
DNSトラフィックから脅威を分析したデータの紹介。
マルウェアが悪意あるドメインに通信する際、DNSの通信が発生する。
→ただし、ドメインに通信する時のみのため、例えばEmotetのC2通信はIPへの通信であり、これは観測できないと思われる。

 

観測範囲は61%が北米、25%がEU、アジアは10%弱。
地域的には、マルウェアが全てで多いが、北米ではクリプトマイニングが多い、アジアはbotが多い。
どの業界もターゲットとなっており、業界別順位はよく入れ替わるが、高等教育と金融はいつも上位にいる・
高等教育ではクリプトマイニングが多い、金融はトロイの木馬

標的となる企業は大規模な企業または小規模な企業が多い。
欧米では中規模な企業は管理のバランスが良いため標的となりずらい

→標的となる企業、と言っていたと思うが、これは被害が出ている、ということだと思われる。
 ボリュームの大きな攻撃は、ターゲットを選んでいないと考えた方が良い。
 無差別に攻撃を行っていて、被害が出ている企業の分類したらこうだった、の方がしっくり来る。
 また、中規模な企業は被害が少ないと言っていたが欧米ではユーザ企業にしっかりとしたIT担当がいるためで、日本では被害が少ない、ということはないと思われる。
 (中規模な企業でも被害が出ている事例を知っているからそう思うだけで、データ的な裏付けはない)
 スキャンはIPがあればくるし、ばらまきメールはメールアドレスが判明していたら来る。

 

業界によって、主な脅威となるものが異なる。
金融はトロイ、教育はクリプトマイニング、ボット、C2、産業はランサム、ワーム、医療はRAT、ランサム、政府はC2。
全体の通信量は、クリプトマイニング、トロイ、フィッシング、ボット。

 

■後半
(自分にとっては)本題のMalware、主にEmotetとUrsnifについての話。

→発表を聞いて、英語タイトルの「The Trouble with Trojans」は良いと思うのですが、日本語タイトルの「バンキングトロジャンのすべて」は語弊があるな、と思いました。
 Emotetも(今回の発表の)Ursnifも、もはやバンキングトロジャンと呼ぶのは間違っていて、どちらもマルウェアのカテゴリとしてはダウンローダと呼ぶべきもの。

 

発表はそれぞれを対比しながら話していましたが、以下はマルウェアごとに解説。
※もはや講演の解説ではなく、該当マルウェアのキャンペーンと日本の関係の解説に近い…

 

■Emotet
(前提の解説)
Emotetは当初はバンキングトロジャンとして作られているが、この数年はダウンローダとして、他のマルウェアに感染させるために使用されている。
次のマルウェアへ感染させるインフラとして、他の攻撃者に貸し出していると考えられている。
ただ、Emotet自身を配信するのにEmotetのbotnetを使用しており、Emotetに感染させるためにEmotetをばらまくケースもある。
Emotetは感染を拡大させるために、感染した端末からメール情報を盗み取り、次の感染のために使用する。
盗んだメールのやり取りに返信としてEmotetに感染させる添付ファイルを付けてメールを送信する(これを返信型Emotetと呼んでいる)。このタイプのメールは添付ファイルの開封率が高く感染率が高い。
そのため、Emotetはダウンローダとして他のマルウェアに感染するだけでなく、メールが盗まれるという情報窃取、メールを拡散するというスパムボット、という3つの特性を併せ持っているとして対策を取るべき。

 

発表では話していたのは主に以下の内容。
Emotetは広くばらまいて大量の通信を発生させており、マルウェア関連の通信うち欧州のトラフィックの99%、北米の2/3くらいのトラフィックをしめている
Emotetの感染フローとしては malspam -> (weblink) -> doc -> emotet -> fowllo-up malware
Follow-up malwareがTrickbotだった場合には、標的型ランサムウェア攻撃に発展するケースが多く見られる。
その場合には trickbot -> cobalstStrike -> bloodhound -> PowershellEmpire -> Ryuku Ransomewareといったフローになることをsandbox環境で確認している。3時間後くらいにはNW内で感染拡大行為を行っている。(守る側の猶予はそれくらい短い)
Emotetが配信するfollow-up Malwareは以下の通り。
Trickbot, IcedID, Ryuke, Sodinokibi, QuakBot, GootKit
Trickbot, IcedIDはバンキングトロジャン、Ryuku, Sodinokibiはランサムウェア

 

(+αの解説)
日本でもEmotetのばらまきは発生している。今年度では、4月と9月以降で観測している。
日本では、follow-up malwareとして、Ursnif、Trickbotが確認されている。
※Ursnifは海外ではあまり確認されていないようで、日本固有の事例かもしれない。
Trickbotはバンキングトロジャンとして、日本も狙うようになったため、Ursnifと同様に不正送金の被害にあわないよう注意が必要。
Trickbotは更にRyukuランサムウェアによる標的型ランサムウェアの被害にあう可能性もある。
※標的型ランサムウェア攻撃は特に被害が大きいので注意が必要
返信型Emotetによる強い感染力とTrickbot->Ryukuによる標的型ランサムにより、今後国内で大きな被害が出そうで、注意喚起をしていきたい。


■Ursnif
(前提の解説)
Ursnifはバンキングトロジャンとして様々なアクターにより使われている。
※自分の分析では大きなくくりでまとめて分類しても5種類くらいのUrsnifの亜種の固まりが見られる。
このうち、今回話していたのはその中の1グループの話。
なお、日本向けによく来ていた請求書をかたるものや楽天をかたるものとは別のアクターの話。

 

発表では話していたのは主に以下の内容。
このUrsnifを使うアクターはEmotetの成功を見て、Ursnifでも同様のテクニックを使い始めたと考えられる。
主に3つのグループで異なった地域、業界を対象として活動しており、他には広がらない。
感染させるためのテクニックに長けており、メールの返信に添付ファイルを付けたり、パスワード付きzipで送ったり、GoogleDrive上にファイルをおいたり、小さな企業似標的を絞ったりする。
感染の経路は以下の通り
malspam -> webpage-link -> GoogleDrive -> password-zip -> doc -> ursnif
Ursnifのfollow-up malwareとして確認されているのは以下の通り。
Trickbot IcedID Azoult PredetorTheThief Vaidar Dridex

 

(+αの解説)
このグループは主にUS、カナダ、イタリアをメインの標的としている。10月になってからはイギリスやドイツ向けも観測している。
攻撃の特徴として、以下が挙げられる。開かせるために他のばらまきと比較してかなり手が込んでいる。
・盗んだメールの返信にUrsnifに感染させる添付ファイルを付けてメールをばらまく(返信型Ursnif)。
・メールを盗むのはWebメールのアカウントに不正アクセスをするケースが見られる。その場合、そのメールアカウントからメールもばらまくケースが多い。
・添付ファイルは簡単なパスワード(777など)が付いたzipファイルになっており、中のwordファイルをメールセキュリティソフトで簡単にチェック出来ないようにしている。
・添付ファイルはダウンローダで標的の国からアクセスがあった場合のみUrsnifをダウンローダして感染させる(GeoFencedと呼ばれている)
日本向けには過去、2018年11月に大きなばらまきがあったが、(恐らく)失敗に終わっており、その後は大規模なものは観測していない。

 

■対策
ばらまきメールに対する一般的な対策をすること。
標的型ランサムに対してはAPTに対する対策を行うこと。