[レポート]Operation VPNOver: VPNの欠陥を利用したDragonOKの東アジアへの持続的な攻撃 – CODE BLUE 2021 #codeblue_jp

こんにちは、臼田です。

今回はCODE BLUE 2021で行われた以下のセッションのレポートです。

Operation VPNOver: VPNの欠陥を利用したDragonOKの東アジアへの持続的な攻撃

2019年以降、FBI、NSA、NCSC、JPCertは、国家ぐるみのアクターがエンタープライズVPNの既知の脆弱性を何度も悪用することを警告してきた。しかし、この種のAPT事件はいまだにいたるところで起きている。 COVID-19は、ワークスタイルを在宅勤務に変更し、エンタープライズVPNシステムは、ほとんどの企業や政府機関にとって依然として必要なものとなっている。 これらのハッキングされた組織のパッチ適用は間に合ったのか？脆弱なシステムにパッチを当てるように警告するだけで十分なのだろうか？

MITREはShieldを「アクティブ・ディフェンス（能動的防御）」と分類し、米国防総省の定義を引用し「employment of limited offensive action and counterattacks to deny a contested area or position to the enemy（敵対するエリアまたは争われた地域を否定するための限定された攻撃および反撃の行動）」としている。われわれは、このコンセプトに基づいておとりエンタープライズVPNサービスを構築し、幸運にも本物のAPT攻撃のネットワークトラフィックを捕捉した。

本講演では、主に日本と東南アジアを標的とした中国を拠点とする脅威アクターのAPTキャンペーン:DragonOKについて解説する。われわれの調査では、過去2年間に少なくとも5つの国と60以上のネットワーク機器がハッキングされた。クラウド・ネットワーク・フォレンジックが、実際のAPT攻撃の特定にいかに役立つかを、さまざまな観点から紹介する。確認されたAPTインシデントのケーススタディからは、その戦術とテクニックについて学ぶことができる。また、CnC、ソースIP、ハッカーネットワーク、インフラの傾向、ターゲットなど、アクターの分析についても説明する。

最後に、ハッカーから何を学ぶことができるかについてお話したい。これらの情報を知ることで、われわれはこの種のAPTハッカーの一歩先を行くことができるかもしれない。これは、Infosecやインシデント・レスポンダーがハッキング・アラートをできるだけ早く入手するのに役立つだろう。

Presented by : ティム・イェ - Tim Yeh

レポート

• Operation VPNOver
  • DragonOKの東アジアへの持続的な攻撃について
• 概要
  • 複数の政府からVPNについてのアラートが出ている
  • しかしAPTアクターはまだFortinetのVPNなどを利用している
  • 2019年にパッチはリリースされているにも関わらず
  • 2020年以降、攻撃者はVPNへの攻撃を活用しながら水飲み場攻撃などをする
    • 効率的なので
• 研究者としてはこれを事前に把握したい
  • MITER ShieldではActive Defenseの話がある
  • デコイ、ハニーポットが必要になる
  • 攻撃者に対して角度の高いアラートを出せる
  • これを利用した独自のハニーポットを開発
  • APT攻撃者からデコイやハニーポットを使うと何を発見できるか
    • 行動の癖
    • 何を盗むか
    • 攻撃者の属性
    • など
  • ネットワークフォレンジックのツールを利用する
    • Moloch
    • Kibana
    • Wireshark
    • Fiddler
    • など
• リアルAPTケース
  • ネットワークフォレンジック
    • 状況を確認
    • ハニーポットで確認した
    • 攻撃者の経路を特定
    • FRPCを使っていた
    • イントラからFRPCでVPSへつなげていた
    • RDPを活用してWindowsにアクセスしていた
    • Ciscoルーターにログインしていることも確認した
      • 正規のユーザー名パスワードでアクセス
      • 攻撃者は情報を獲得するためアクセスしていた
    • PoshC2 RAT
      • オープンソースのRAT
      • C2接続先を特定
    • 設定ファイルからも接続先を確認
    • さらにVPSを購入する方法なども調べていた
    • 攻撃者は1ヶ月のみVPSを利用したいと考えていた
  • ネットワークパケットを見ていて別の輸送関係のWebサイトにアクセスしていることを検知
    • 機微なPDFを得ていた
  • メールが盗まれているか確認
    • POP3でメールを1GB以上入手していた
  • Auto botやAuto Scriptで情報搾取
    • 平日07:30に毎回アクセス
  • DragonOKマルウェア
    • 攻撃するときに毎回マルウェアをテストする
    • FireEyeによって発見されたNFlogと似ていた
    • 変異種であると考えられる
  • 誰が攻撃されたのか
    • ハッカーは常にマルチホップVPNやプロキシでIPを秘匿している
    • DNS LDAPの情報
    • 日本の組織のものも含まれていた
    • 5カ国、18の重要な組織60のネットワークデバイスが影響を受けていた
    • アジア圏での活動で、攻撃者は残業していない
    • 労働環境は非常によさそう
• 攻撃者のくせから学ぶこと
  • Shodanはよく使っている
  • 月曜日にサーチをしている
  • IPは隠して追跡できないようにしていた
  • どういうVPNデバイスがハッキングされているか
    • 250以上がPulsSecure
  • 暗号化されていて攻撃が成功していたかわからない
    • IP historyからチェック
  • ハッカーがShodanを利用するなら我々も同じく使う
    • 履歴を確認できる
  • YAMAHAルーターの設定ミスを確認
    • パスワードがクリアテキストで見えていた
    • 攻撃者フレンドリー
• VPNハッキングに対して緩和策はなにがあるか
  • パッチやヴァーチャルパッチ(IPS)
  • ログインIPレピュテーション
  • NSA/CISAはガイドラインを出している
• まとめ
  • Active Defenseやハニーポットは役に立つ
  • APTハッカーはいなくなったわけではない
    • 慎重になっている
    • インフラを速い速度で変えている
  • バーチャルパッチなどを活用する

感想

VPNに関する攻撃は現在の状況では特に気をつけるものの1つですね。きちんとログを洗って確認していきたいです。