[CODE BLUE 2019]バンキングトロジャンのすべて[レポート] #codeblue_jp

CODE BLUE 2019「バンキングトロジャンのすべて」についての参加レポートです。 ネットワークレイヤーでマルウエア攻撃を防いだり、被害を抑えるためにDNSをより活用していけるセッションだったので、会社のログ情報とあわせてOSINTの情報も活用していきたいと考えさせられる内容でした。
2019.10.30

こんにちは、芳賀です。

『世界トップクラスのセキュリティ専門家による日本発の情報セキュリティ国際会議』でありますCODE BLUE 2019に参加していますのでレポートします。

このブログは下記セッションについてのレポートです。

バンキングトロジャンのすべて Presented by オースティン・マクブライド、アーティオム・ホルブ

2018年、バンキングトロジャンは多くの企業に打撃を与え、2019年も成長、進化し続けている。特にEmotetとUrsnifがリードする形で、2019年初頭からバンキングトロジャンの活動が5倍も増加した。これら2つのトロジャンは、利益を最大限にするため、ランサムウェアや他のマルウェアの配信手段として利用される、非常に高度な攻撃である。実世界の実例とグローバルDNSデータに基づき、マルウェアが与える巨大なビジネスインパクトを一緒に研究しよう。本講演では、成功したキャンペーンと一般的なTTPとの類似点と相違点を解説し、地理的および業界ベースの観点からの被害者と攻撃者の分布を披露し、悪意あるアクターが利用する新しい技術を浮き彫りにし、感染やデータ流出から企業や個人を守る、ベストなアプローチ述べる。

レポート

セッションのアジェンダ

  1. Trends
  2. The basics Banking Trojan campaigns
  3. Similarties and deifferences
  4. How to protect yourself

Cisco umbrellaのチーム

  • データサイエンスとネットワークアナリティクスのメンバーがいるチーム

トレンドとして、DNSクエリーログで見えること

  • マルウェア
  • トロイ
  • クリプトマイニング
  • フィッシング
  • マルウエアの DNSトラフィックはJan, 2019 からSep, 2019で45%増えている
  • 2019のトレンドは?
    • 中小企業はクリプトンジャッキング
    • ヘルスケアや公共機関はEmotetのターゲットになっている
  • DNSトラフィック量としては、北米が60%、欧州 24%
  • 地域別でも、どの地域でも主にマルウェアが多い
    • ただ、北米では特にマルウェアが多い(北米全体で60%、欧州全体では24%)
  • マルウエアが狙う業界
    • 金融関連、高等教育への攻撃が目立つ
    • この2つの機関のDNSトラフィックを見ると、攻撃はマルウエア以外にもさまざまな攻撃手法で狙われている
    • 高等教育機関では学生が様々なWebサイトを閲覧していることでマルウエアやクリプトジャッキングが多くなる。
  • 対象となる企業の規模
    • <1000 小規模が 29%
    • >10000 大企業が 59%
    • 中規模となる規模では組織が組織が成長期でセキュリティ専門家が雇われ、適切な対応がされいると思われて狙われずらい
  • DNSクエリーで見る業界と攻撃手法
    • 金融では、Trojan
    • プロフェッショナルサービスでは、ランサムウェア
    • 製造業では、ワームやウィルス
    • ヘルスケアでは、RAT
    • 公共機関では、C&Cからのトラフィックが多い

Emotet

  • バンキングTrojanとして作成されている
  • ほかの拡張機能が追加されて、当初のバンキングTrojan以外の機能も追加されてきた
  • またワームの機能もあり、ネットワーク上で増殖していく
  • 組織の中で2年ぐらい活動する場合もある

Ursnif

  • Emotet の成功をみて、新たに作成されたバンキングTrojan
  • マルウエア as a Service
  • こちらは標的を絞った攻撃をおこなっていた
  • 感染させるためのフィッシングメールが洗練されている
  • 攻撃の成功を高めるために、信頼性の高いサイト(google drive)を利用している

  • Emotet/UrsnifのDNSクエリー

    • 金融機関が60%
    • 公共機関やプロフェッショナルサービスへの広がりも見える
  • Emotet/Ursnifの攻撃キャンペーン
    • トラフィックのスパイクは4月にあった
  • Emotetの活動
    • フィッシングメールでEmotetへ感染させ
    • 組織内部の情報を盗み出し
    • ランサムウェアを仕掛けるほかのコンポーネントをダウンロードし、持続的に攻撃している
  • 大企業では、Emotetへ対応できる体制はあるが、小規模企業で体制が整わず被害が目立つ

  • 地域別の企業規模では、欧州では大企業への攻撃が多い、北米では小規模が目立つ

  • EmotetからTrickBot、IcedID、Ryukという攻撃チェーン

    • 制御や情報を得られたら、有益な情報を奪取したり、それらのコントロールを販売したりする。
    • コントロールが奪えたら数時間、インテリジェンスがおこなわれることがある
    • そして発見されるまで数週間から数カ月の間、潜伏し続ける。
  • 攻撃されたログを確認すると、Emotet/Ursnifのトラフィックのあと、Trickbotのトラフィックが続く
  • これらの攻撃ツールは、中国や北調整であろうと言われている。

  • トラフィックが世界の様々な国に及んでいるため、テイクダウンする事が難しい

    • 全世界のセキュリティリサーチャーが協力する必要がある。
    • ursnif C2 インフラでは、そのために利用されている事が分かっているため、テイクダウンへの依頼が難しい
  • これらのツールの防御機構も優れている
    • 信頼性の高いドメインを使い
    • Domain Shadowingされている

どうやったら対策できるか

  • 防御戦略とたて
  • DNSアプローチ(DNS block)
  • OSINTを利用する
    • さらに対策するためのオプションとして
  • マルウエアにはアンチウィルス(Windows Defender)
  • ドメインにおけるアクティビティをモニタリング
  • OSINTのモニタリングでC&Cを監視する
  • それ以外もブロッキングモデルを作る
  • フィッシングに対する意識を高め、Wordマクロをブロック
  • 多層防護も考える
    • DNSベースアプローチ
  • マルウエアドメインから別ドメインへ広がっていく
  • DNS BlockListを使う事が効果的
    • OSINT を情報を活用する
  • URL haus も有効で誰でも利用する事できる
    • 最後に
  • DNS BlockListを幾つかもち、それらは隔週単位で見直しする
  • 取るべきアクション
    • C&Cアクティビティのチェックする
    • ネットワークを監視する

    • 会場からの質疑

  • ランサムウェアなどの攻撃がされており、今後のアクションは何が効果的か?
    • それらの攻撃の前にemotetなどが活動しているので、それらを防ぐ手立てをおこなう事が効果的です。

感想

ネットワークレイヤーでマルウエア攻撃を防いだり、被害を抑えるためにDNSをより活用していけるので自社のログ情報とあわせてOSINTの情報も活用していきたいと考えさせられる内容でした。