[CODE BLUE 2019] アジア地域における最新のサプライチェーン攻撃概要 [レポート] #codeblue_jp

CODE BLUE 2019「アジア地域における最新のサプライチェーン攻撃概要」についての参加レポートです。
2019.10.29

こんにちは、芳賀です。

『世界トップクラスのセキュリティ専門家による日本発の情報セキュリティ国際会議』でありますCODE BLUE 2019に参加していますのでレポートします。

このブログは下記セッションについてのレポートです。

アジア地域における最新のサプライチェーン攻撃概要 Presented by ボリス・ラリン、アレクサンダー・リスキン

サプライチェーン攻撃は、検出が非常に困難でありながら、壊滅的な結果をもたらす可能性がある新たなタイプの脅威である。これらの攻撃は、歴史が示すように、ソフトウェアプロバイダーのインフラに長い間潜んでいて、ソフトウェアの更新のタイミングで、ワームのようにマルウェアが実行されるまで待機している。同時に、こうした攻撃は、世界中で何百万回もインストールされ、検出されないまま、狙った標的のみを対象としてる場合もある。今年、我々は、後に”Operation ShadowHammer”として知られるようになった、多くのサプライチェーン攻撃を発見した。このプレゼンテーションでは、10年以上にわたってサプライチェーン攻撃に関与している悪意のある攻撃者とリンクしていると言われている、現在アジア地域で最新かつ最も広範なサプライチェーン攻撃の概要と技術的な詳細について説明する。

このプレゼンテーションでは、以下についてみなさんと共有します: 1)ShadowPad、CCleaner、Operation ShadowHammerの概要と技術的なニュアンス 2)こういった攻撃すべての背後にいるといわれているアクターについて 3)サプライチェーン攻撃の検出における課題と原則

レポート

スピーカーはカスペルスキー社に所属されている。 ボリス・ラリンさんは脆弱性診断やリバースエンジニアリングをおこなっている。 アレクサンダー・リスキンさんはマルウエア解析や検知をおこなっている。

サプライチェーン攻撃とは

  • サプライチェーン攻撃は、利用社(消費者)へ渡る前に実行されます。
  • 攻撃手法は3つある
    • ソフトウエアの攻撃(マルウエアなどソフトウェアへimplementされる攻撃)
    • ファームウェアの攻撃(UEFI/BIOSへimplementする攻撃)
    • ハードウェアの攻撃(Key logger、RJ45ケーブルへマイクを仕込む、USBケーブルへ攻撃コード仕込む)
  • 本セッションでは、ソフトウエアへのサプライチェーン攻撃を話をします。

ソフトウェアへのサプライチェーン攻撃

  • おもに2つの方法がある
    1. アップデートメカニズムを使って攻撃をする(中間者攻撃"man-in-the-middle attack")
    2. ソフトウエアを開発しているベンダーへ侵入して攻撃する
    • ソースコードやデプロイプロセスへ干渉する -サプライチェーン攻撃の場合は、信頼された仕組み(Trusted mmechanisms)を悪用する。
    • そのため、脆弱性へパッチを当てるためにはアップデートをおこなう必要があるが、
    • アップデートすることでサプライチェーン攻撃される事があり、いま大きな問題になっている。

サプライチェーン攻撃の事例

  • Apple Store ではマルウエア感染がないと言われていたが、悪意のあるペイロードが組み込まれたソフトウェアがアップロードされた
  • ESTsoftは韓国で有名なソフトウエアを作っているが侵入されて悪意あるペイロードを組み込まれた
  • ゲーム産業にも攻撃が広がっている。

ハッキンググループ The Winnti group

  • このグループが多くのサプライチェーン攻撃をおこなっているとみられている。
  • このグループでは他社のデジタル証明を盗んで、他社になりすまして、対象のゲーム会社へ侵入していた。

ShadowPad

  • サーバのマネジメントツールを作っているNetSarang(Xmanager,Xshell,Xftp)のコンポーネントへ悪意あるコードが仕組まれていた
  • この悪意あるコードでは、C&Cサーバと定期的にアクセスして様々なコードをダウンロードできる作りだった

CCleaner

  • 有名なクリーナーソフトの実行ファイルの中に悪意コードが仕組まれていた
  • ダウンロード数は世界で200万以上で拡散された

Operation ShadowHammer

  • ASUSの公式アップデートサーバからダウンロードされ、ソフトウェアには正規のデジタル証明が付いていた
  • ASUS Live Update Utilityのユーザーを標的としていた
  • 攻撃の規模は、ShadowPadやCCleanerと同じ規模の攻撃
  • ASUS以外にも調べたところ、ゲーム会社でも同様の攻撃があり、同じグループによる犯行と思えるものがみつかった。

ShadowPad backdoor 2018

  • 前述のShadowPadが改良されて出回っていることが検知された
  • バックドアをプラグインできる仕様にかわり、難読化され解析が難しい亜種

まとめ

  • これらのサプライチェーン攻撃の検知する事が難しくなってきている
    • プロダクトやゲーム分野など、いまは様々なコンポーネントを利用しているので追随していく事が難しくなってきている。
  • サプライチェーン攻撃のリスク
    • マルウエアをソースコードへ埋め込む
    • ただ、この場合はエンジニアに不明なコードが見つかり排除されることが考えられる
    • マルウエアをコンパイル/リンクする際に埋め込み
    • マルウエアをアップデートする際に埋め込み
    • 脆弱性アップデートの際にマルウエアを組み込む
  • 開発のインフラを可視化し、モニタリングしていく事が大切である。

感想

信頼している環境から悪意あるコードが仕込まれてしまうという現実がすでにおきており、開発をおこなっている組織での環境可視化の必要性を感じつつ、ベンダーから提供されているソフトウェアについてどのように管理していくべきかを考えさせられる内容だった。