・日本の製造業を狙うTickグループ
https://www.macnica.net/mpressioncss/feature_05.html/『
TTP(Tactics, Techniques and Procedures)より考察する脅威の検出と緩和策
マルウェアの配送について
海外拠点向けには、日本とは異なる現地文化を考慮したメール訓練や注意喚起が必要であると思われます。又、マルウェアの配送よりも後フェーズの攻撃、侵入拡大フェーズで使われるTickのテクニックが検知できるかの確認も有効と考えられます。
攻撃について
Officeのゼロデイ攻撃や新しい脆弱性を悪用した攻撃は観測されていませんが、攻撃者の侵入し易さをコントロールするという点で、日常的なパッチマネージメントは有効な緩和策になると思われます。特にインターネットからアクセス可能な機器の脆弱性は優先して対応する必要があります。
インストールされるRAT、遠隔操作(C&Cについて)
検出が困難になっています。メモリ上でのみ悪性コードが動くタイプのローダーには、メモリスキャンによる検出が可能です。
正規サイトを改ざんしC&Cとして悪用するため、シグネチャベースのネットワークセンサーでは検出が困難になっています。
但し、攻撃者の変更が難しい(もしくは注意が行き届いていない)と思われるケースもあり、固定のユーザエージェントを使う検体も存在します。その場合は、その特徴を踏まえたルールで検出が可能です。
ネットワーク検出観点でいうと、アノマリな通信を検出するNDR(Network Detection & Response)製品に効果が期待できます。
侵入拡大・目的実行』
特に標的型攻撃がEDR製品の導入前に始まっていたケースでは、足場をつくるフェーズが完了しているため、製品が持つ検知パターンでの検出漏れが懸念されます。
EDR群の製品を導入した場合には、定期的に収集したログに含まれる正規コマンドの実行状況やそのコマンドがIT技術者以外の所有する端末によって頻繁に実行されていないかどうかといった視点で分析して、攻撃の検出漏れがないように注意...
・CYBER GRID VIEW Vol.2 (2016.08.02)
https://www.lac.co.jp/lacwatch/report/20160802_000385.htmlラックの研究開発部門であるサイバー・グリッド・ジャパンによるマルウェアDaserfのレポート(PDF)から抜粋。
『
Daserfの検出方法
Daserf は C2 サーバとの通信を確立するために、10 秒間に 1 回程度の頻度で C2 サーバ上にある特定の ASP ファイルに向け、HTTP POST 通信を発生させます。
プロキシログには同一の PC から発生した大量の POST 通信が記録されることになる ...
通信を行う際に HTTP ヘッダに付与される User-Agent は、マルウェアの中にハードコードされており、最近の Daserf のバージョンでは "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; SV1)"
Autoruns6などを利用して Windows 起動時に自動実 行するスタートアップやサービスのレジストリ値を確認する方法です。
図 10では、Daserf がAdobe ARMというファイル名を利用し、スタートアップ時に AdobeARM.exeが実行するよう設定されていることが見て取れます。
Daserf を利用する攻撃者の手口
季節のグリーティングメールに見せかけた標的型メールにファイルを添付し、それを開かせるように誘導してマルウェアに感染させます。
メールの受信者が添付ファイルを開くと、図 16のような Flash アニメーションが現れますが、その裏ではマルウェア ( ダウンローダ ) が実行されることになります。
攻撃者は、クリスマスやお正月というイベントに乗じて標的型メールを送り付けていると見られます。
Microsoft Office の脆弱性であるCVE-2015-2545 を突いた手法も利用されている可能性が高い ...
おわりに』
Daserf による被害範囲や漏えいした可能性のあるデータはある程度、特定することができます。事案対応から痕跡として見つかったマルウェアを解析し、マルウェアによって暗号化された通信をデコードすることで特定しますが、そのためにもプロキシサーバの通信ログはもちろん、DNS サーバの通信ログも日常的に記録しておくことを推奨します。加えて、ディスク容量やシステムの負荷などの問題もありますが、通信パケットについてもスイッチングハブやルータのミラーポートを利用して記録しておくとなお良いでしょう。
・標的型攻撃の実態と対策アプローチ日本を狙うサイバーエスピオナージの動向 2018年度下期
https://www.macnica.net/file/mpressioncss_ta_report_2019.pdf『
エグゼクティブサマリー
機密情報を窃取するサイバーエスピオナージの被害は、即座に影響が出ない上、技術盗用などの実被害との因果関係が表面化しづらいため、経営者の耳に届かず、現場のマネージャーで処理されてしまうことが多々あります。しかしながら、窃取された機密情報は中国政府や中国企業の手に渡ることで、結果として日本企業の産業競争力を徐々に低下させていくことになります。
2018年度に観測された標的業種と目的
・メディア、シンクタンク by APT10, DarkHote: 政治、外交上の機密情報の入手
・製造業(主に化学、重工、海洋技術)by Tick, WINNTI, BlackTech: 設計図、製造技術など知的財産の入手
・テレコム by Taidoor: 顧客情報、将来の攻撃インフラ情報の入手
RAT Loader
RATローダーは、DLLファイルで、攻撃者によりサービスプログラムとして登録され、rundll32.exe経由で起動する ...
下記パラメータで起動されるものがありました。
rundll32.exe "c:\program files\google\googletoolbarnotifier\5.12.11510.1228\swg32.dll", win7load SCPolicys
このDLL自体はRAT機能を有しておらず、通信先からダウンロードするコードをメモリ上で実行するローダータイプのマルウェアである
TTPsより考察する脅威の検出と緩和策
攻撃について
Officeのゼロデイ攻撃や新しい脆弱性を悪用した攻撃は観測されていませんが、攻撃者の侵入し易さをコントロールするという点で、日常的なパッチマネージメントは有効な緩和策になると思われます
インストールされるRAT、遠隔操作 (C&Cについて)
現在のところ、インシデントレスポンスや脅威の検出においては、攻撃者の変更が難しい (もしくは注意が行き届いていない)と思われる、TickグループDatperのMutex値やUser-Agent値、DragonOKのUser-Agent値などがあり、攻撃者のRATやC&C通信の特徴を利用する事で脅威の検出が可能です
侵入拡大・目的実行
EDRの監視ログを積極的に分析するハンティングにより攻撃が発見されました。
スレットハンティングの必要性』
センサーによるパターンドリブンな検出が悪性(Malicious)な攻撃痕跡だけを拾い上げるのに対し、ヒューマンドリブン、つまり人間(アナリスト)による検出は、パターンドリブンなアプローチでは誤検知のリスクがあって検出対象とならない痕跡を、分析対象として積極的に拾い上げることからスタートします。
No comments:
Post a Comment