[CODE BLUE 2018] CoinMiner are Evasive トーマス・ロッチア オムリ・モーヤル [レポート] #codeblue_jp

こんにちは、臼田です。

『世界トップクラスのセキュリティ専門家による日本発の情報セキュリティ国際会議』でありますCODE BLUE 2018に参加していますのでレポートします。

このブログは下記セッションについてのレポートです。

CoinMiner are Evasive トーマス・ロッチア オムリ・モーヤル

コインマイナーは増加傾向にあり、メディアや研究コミュニティ内においてもこの数ヵ月でランサムウェアを完全に置き換えることになった。暗号化したユーザーのデータを人質にして利益を得ていたランサムウェアと異なり、コインマイナーはハイジャックしたコンピュータのリソースを使い利益を得る。コインマイナーは検出されずに隠れ続けている限り利益を上げていく。

この講演では、コインマイナーの秘匿戦略の未調査領域や、被害者から発見されないようにする機能にフォーカスし、それらと戦うための方策やツールを提供する。

コインマイナー（クリプトジャッキングとも呼ばれる）は未知で新しい脅威であり、エクスプロイトキットの作者やトロイ、スパムbotなど多くの既知のマルウェアグループにおける収益の主要な柱になっている。その評判や受けが高まっていることから、効果的な対策を明らかにすることは非常に重要である。この講演者両名はマルウェア対策技術の分野における専門家であり、この講演が他の研究者にとってのコインマイナー対策とリファレンスとなることを目指している。 今回の講演においてコインマイナーハンティングがより簡単に、よりスケールする、多くのオープンソースツールを我々は公開する予定である。

レポート

• ここ最近で悪意のあるコインマイナーの被害にあっている企業は増えている
• 話す内容
  • 脅威の経過
  • マイナーの状況
  • 縄張り争い
  • 防御する方法
  • 今後の予測
• コインマイナーの脅威
  • 悪意のあるものも非常に増えている
  • ビジネスモデル
    • GPU, CPU, ASIC等を利用してマイニングする
    • 従来は自分のリソースでやっていたが、攻撃者はハイジャックしたシステムでマイニングする
    • 攻撃者もマイニングプールを利用している
  • ほとんどの悪意のあるスクリプトはMONEROを利用している
    • 攻撃者にとって使いやすい
    • 高い匿名性
    • ウォレットにいくら入っているかわからない
    • CPUでの採掘に最適化されている
    • 強いコミュニティがあり、非常にいいOSSのツールもある
  • MONEROそのものはニュートラル
    • コミュニティでは危険性を感じレスポンスチームを作った
  • 攻撃ベクター
    • malware
    • worms
      • コインマイナーはwormが重要
      • 感染数を増やしてリソースを増やすことが収益につながるため
    • web mining
      • 他のベクターより簡単にハイジャックできる
      • coinhiveがよく使われる
  • なぜコインマイナーで大騒ぎするのか
    • データを盗まれないのに
    • マシンのリソースが使われて処理が重くなるから
    • DoSに近い
    • 電力料金が非常に高くなることが顕著
• コインマイナーの回避戦術
  • アンチサンドボックス
  • アンチデバッキング
  • WaterMiner
    • オンラインゲームのトロイの木馬
    • インストール後マイナーを追加でダウンロードして実行する
    • XMRigを利用していた
    • タスクマネージャを開くとマイニングを止めるようになっていた
  • Evrial
    • keyboardをフック
    • クリップボードを監視して、ウォレットのアドレスを攻撃者のアドレスに入れ替える
  • UIWIX
    • SMB exploit
    • Wannacryと並行して出てきた
    • 解析内容はトレンドマイクロが詳細に書いている
  • XIAOBA
    • 姿を変えてコインマイナーになってきた
    • 偽のアイコンを生成してクリックさせる
    • AVのwebページを偽装
  • いくつかの共通点
    • マイニングにはリソースが必用
    • リソースの取り合いになるので、独占する必要がある
    • 相手のマイナーを倒すものもある
  • GhostMiner
    • Oracle weblogic CVE
    • MSSQLブルートフォース
    • ベーシックなpowershell のエクスプロイト
    • 回避以外にもリサーチをしていた
    • 他のマイナーをkillしていた
  • Adylkuzz
    • 感染後アップデートして他の感染を受けないようにした
  • 他のテクニック
    • CPUのリミット機能
    • 特定の時間だけ動く
      • お昼休みだけなど
    • ユーザがいない時に動く
• 脅威の検知
  • CPUの監視
    • ユーザにやらせない
  • Miner killer
    • https://github.com/MinervaLabsResearch/BlogPosts/blob/master/MinerKiller/MinerKiller.ps1
  • Detect with Yara Rules
    • https://github.com/Yara-Rules/rules
  • Monitoring traffic
  • Used CoinblockerList for websites
    • https://github.com/ZeroDot1/CoinBlockerListsWeb
    • https://malware-research.org/coinblockerlists/
      • こちらでも調べられる
      • APIもある
• これからどうなるか
  • 同様の脅威は増えてくる
  • 別のターゲットも狙われる
    • IoTやスマートデバイス
    • モニタリングがより難しい
  • マイニングプールの代わりに悪意のあるマイニングプールが作られている

感想

悪意のあるコインマイナーの進化が、マルウェアの進化と同じように発展してきていることを感じました。

スマートデバイスやIoTデバイスの監視も、これに限らずですが意識していくことが必用ですね。