[CODE BLUE 2019]暗号資産交換所の担当者に対する最近のAPT攻撃[レポート] #codeblue_jp

こんにちは、臼田です。

『世界トップクラスのセキュリティ専門家による日本発の情報セキュリティ国際会議』でありますCODE BLUE 2019に参加していますのでレポートします。

このブログは下記セッションについてのレポートです。

暗号資産交換所の担当者に対する最近のAPT攻撃 Presented by フンス・カン

この講演では、暗号資産取引所の従業員に対する最近のAPT攻撃の概要を紹介する予定である。攻撃者はソーシャルエンジニアリング技術に細心の注意を払い、高度なマルウェアと2つのゼロデイ攻撃も使用した。この講演では、攻撃の概要を説明する。熟練したプログラマさえをも欺くために、どのようなソーシャルエンジニアリングのトリックを使用したのかを説明する。彼らは、有名な大学の学生や職員のアカウントをハッキングし、ソーシャルエンジニアリングのために彼らのインフラを悪用した。また、攻撃者がこの攻撃を実行するのに必要な準備として、いかに被害者にとっては通常に見えたか、セキュリティチームによる検出を回避するために使用したトリックについても紹介する。そして、セキュリティチームの能力、限界、この種の攻撃から資産を保護する方法、また、使用されたバックドアの簡単な分析についても説明する。

レポート

• フンス氏
  • LINEで働いている
  • LINEではセキュリティに非常に注力している
• coinbaseやobjectiveなどがあり動向に注目している
• 自分たちでどうしているのかという話
• Victim、被害者の視点
  • 非常に優秀なエンジニア
  • iPhoneとMacbookを使用
    • 個人的にも利用
  • まず標的型メールを受け取る
  • coinbaseと同じケンブリッジ大学のもの
  • SPFやDKIM/DMARCは間違いなく正規のものだとわかる
  • リンクでケンブリッジ大学のドメイン
  • Adams_Prizeのもの
  • ショーを手伝ってくれないか
  • Linkedinのページもある
  • メールの話とぴったり来るプロフィールだが、なりすましだった
  • 疑うことなくメールのやり取りが始まる
  • これから詳しくお知らせしまうと連絡
  • 何回かやり取りした後リンクが来る
  • これもケンブリッジ大学のもの
  • ログインとパスワードが送られる
  • 一時的なパスワードなのでログインしたら変更してねと書かれている
  • 開くとブラウザがサポートされていなくてFirefoxを使ってくださいとなっていた
  • Firefoxは正規のもの
  • そしてFirefoxで開くとケンブリッジ大学のログイン画面
  • しかしログインできなかった
  • 実際のログイン画面を流用していた
  • この段階で感染している
    • shellcodeからマルウェアでダウンロード
    • MacOSのGateKeeperをcurlを使うことによって回避
    • LINEではここで検知できたのでこの段階で阻止できた
  • この人にセキュリティチームからヒアリングした
  • どのようにマルウェアがダウンロードされたか確認した
  • マルウェアの挙動を確認した
  • stage1はnetwireの亜種であることを確認
• 攻撃者の視点
  • 武器
    • Firefoxの0dayを2つ
    • コード実行とsandbox回避
    • APTではいくつかの段階で攻撃される
    • 最初のものは検知できないようなもの
    • 偵察の後第二段階でFull RAT
  • インフラ
    • C2
      • 複数に分割されている
      • マルウェアとエクスプロイトは別
      • ウルグアイ、イギリス、アメリカ
    • マルウェアはロシア
    • ドメインも購入していた
    • 支払いにはpaypalやbitcoinなど
  • アカウント用意
    • ケンブリッジ大学のアカウントのハッキング
    • ハッキング方法は不明
      • フィッシングやcredential stuffingやブルートフォースかも
      • DBに対するSQLiかも
  • メールが利用できるようになった
    • 個人のホストページも使えるように
  • 偽のページを用意
    • ケンブリッジ大学の実際のコードを用いて、攻撃用javascriptを設置
  • init.jsが実際のエクスプロイトだった
  • アカウントに合わせてLinkedinを作成
    • 沢山のコネクションも作った
  • オペレーション開始
    • 暗号通貨交換所のターゲットにメールを送った
• Blueチームの視点
  • 見るものがいっぱいある
  • 誤検知もいっぱいある
  • 防御の仕組み
    • インフラレベルではパケットを見ている
    • HTTPSの可視化ソリューションがある
    • EDR
    • パッチマネジメント
    • ハニーポットやサンドボックス
    • ネットワークセグメンテーション
    • 2FA
    • その他もろもろ
  • 同時に生産性を損なわないようにする
  • Blueチームの悩み
    • 個人のメールに送ってきたこと
    • 本物のドメインを使っていた
    • HTTPS + encrypted
    • Low detection
    • 443でC2と通信
    • 複数の国に分かれていた
    • stage2は時間差
  • breadcrumbs
    • shellcode
    • suspicious ip
    • unknown new exec file
  • stage1
    • netwireの亜種
    • エージェントビルダー
    • パスワードを入れるとクライアントバイナリが作れる
    • C2は現在はクローズしている
    • バイナリに署名はなかった
    • C2はコードが上がっているもの
    • ユーザ情報やホスト情報、ネットワーク情報を収集する機能がある
    • どこで仕事しているかわかる
    • ハートビートもある
    • プロセス再起動や起動時の実行も仕込まれる
    • ユニークストリングはRANDのもの、よく使われている
  • stage2
    • macos.Mokesの亜種
    • 証明書は無効だった
    • QTバイナリ
    • 13MB
    • 署名なし
    • 機能
      • ランダムないくつかの名前でコピー
• キャンペーンについて
  • coincheckへの攻撃のあとHydSevenという名前がつけられた
  • OfficeやWinRARのエクスプロイトもあった
  • London Schoolのハッキングもされた
  • 大学が好まれている
  • 被害者に電話会議することもやる
  • Linkedinで信頼性をあげる
  • Favorite VPS
    • OVH
    • LeaseWeb
    • King-Server
• なぜLINEではターゲットが一人だけだったのか
  • オンラインでふさわしい人物があまり探せなかったのか
• 攻撃者について
  • ソーシャルエンジニアリングについて長けている
  • コミュニケーションもレスポンシブ
  • プラットフォームも様々
• 対策
  • 検知
    • EPP
    • ネットワーク監視
  • 防御
  • ユーザ教育

感想

coinbaseと同じ攻撃について様々な視点で語られました。APTの怖さがよりわかりますね。