[レポート] 10万ドル相当のビットコインウォレットを盗んだのは誰か -新しい詐欺的な餌で全員捕まえよう #codeblue_jp

2020.10.30

セッション概要

数百万もの悪意あるスキャンがインターネット全体にわたって日々行われている。その目的は、インターネットに接続したセキュアではないサーバー上の機密ファイルを探すことである。企業情報・機密データ・個人ファイルは、常に人気のある”オイシイ”標的だ。仮に、見せかけだけの二セファイルを”特注”で作成し、そのファイルをインターネットで盗まれるようにし、さらに”泥棒”の情報を通知するようにしたら、どうなるだろうか? このセッションでは、90日間にわたる現実世界での興味深い実例を紹介する。“10万ドル相当”に見えるビットコインのウォレットをさまざまな手段でインターネット上に広めたというものだ。こららのウォレットには、カスタムアラート機能を実装した“特注”のアーカイブファイルが埋め込まれている。 驚いたことに、すべてのウォレットが盗まれた。中には数分で盗まれたものもあった。われわれは、この実験から得た「すべきこと」「すべきではないこと」といったテクニックの詳細を共有する。興味深い収集結果、予想外に実りのある観察結果、そして“泥棒”の実像へと、深く掘り下げていく。 また、セッションでは「Honeybag」を紹介する。これはオープンソースのハニー・ファイル(honeyfile)であり、誰もが見せかけだけの二セのアーカイブを作成できる。さらに“特注”のアラート機能を実装し、埋め込まれた囮(おとり)ドキュメントをサポートする。これはデータ流出の検知やサイバー犯罪の調査に役立つはずだ。 Presented by : タン・キアン・ソン - Tan Kean Siong

セッションレポート

  • インターネット全体をスキャンして脆弱なものがないかを探している
  • 例えばどこかのサーバーに侵入しておいしい情報がないかを探している
  • 泥棒が袋を持って金・銀などを袋一杯にして逃げていく
    • 誰かがGPSのトラッカーを袋に入れたらどうなる?
    • GPSトラッカーによって情報を得ることができる
    • こういったアプローチをしてみたいとおもう
  • 2017年にビットコインウォレットをスキャンしている痕跡があった
  • スキャンのログを見てみる
  • よくあるウォレットデータは「wallet.dat」
    • これらに類似した「backup_wallet.zip」や「wallet_backup.dat」などを下げしている
  • ZIPファイルを渡してあげて、開こうとしたときに通知しようとしたらどうなる?
  • Honeybag
    • ファイルなど誰かがアクセスをすると通知がくるものを作った
    • ZIP/File/Doc/PDFなどどんなファイルも入れられる
    • ファイル階層はスライドの右

  • desktop.ini と .urlを使った
    • desktop.ini
      • ファイルの表示方法など
    • .url
      • クリックするとURLを開ける
      • 利便性のためのもの
  • zipを展開してフォルダにアクセスしようとすると、desktop.iniがDNS Serverに連携してロギングできるようになる
  • これでSorce IP、ユーザー名、コンピューター名、ドメイン名、レスポンダーからはNTLM hashなど、様々な物を取得出来る
  • Windowsでしか対応していない点に注意
    • Linux/OSXで開かれるとアラートがトリガーされない

  • このHoneybagを最大限使うためにはどうすればいいのか?
    • みんなBitcoinが大好き
    • もし10万ドル分のBitcoinのWalletを90日間インターネットに上げたらどうする?
    • もちろん、10万ドル分のBitcoinはぼくはもっていない、ほしい
    • Testnetを使って、10個のBitcoin Walletを作る
    • TestnetのBitcoinには価値がない
    • Mainnet とTestnetではアドレスのプレフィックスが違う
  • 実際にWebサーバーを建ててフルオープンにしてみたが、全然ボットが来ない
  • 教訓としては、辛抱強くやらないといけない
  • アプローチを変えてpastebinを使ってみた
    • 「これはぼくのへそくりのBitcoinだから絶対に盗まないでね!」
  • 90日間で10個のWallet全てが盗まれた
    • 9個のWalletについてはHoneybagで情報が取れた
  • 一番早いのはpastebinにあげてから1分以内に検知した

  • 2020/03/24にWebサーバーからwallet.zipが取られた

    • それから2分後Honeybag DNSにアラートログが出てきた
    • 誰かがZIPを開けて中身を見たことを確認できた

- 35分後にBitcoin Testnetに入ってたBTCをwipe outさせた - なんでこんなことをしたんだろう?トラップだったことに怒った? - まとめ - 辛抱強く待つ - 警告メッセージやアラートを出すと良いかも - 「会社の機密情報のフォルダだからダウンロードしないでね」など - Windowsを対象として作った物だが、10個のうち9個でアラートが確認出来たので、過小評価するべきではない - https://github.com/honeybag

感想

wallet.batに見せかけてファイルをダウンロードさせて、desktop.iniを使って外部にファイルを取りにいかせるようにしてダウンロードした人の情報を入手するという、興味深い内容でとても面白かったです。

Mainnetで10万ドル分のBTC欲しいですね・・・