[レポート]ブロックチェーンにC&Cサーバー情報を隠ぺいした攻撃者との直接対峙により得られたもの – CODE BLUE 2022 #codeblue_jp

こんにちは、臼田です。

今回はCODE BLUE 2022で行われた以下のセッションのレポートです。

ブロックチェーンにC&Cサーバー情報を隠ぺいした攻撃者との直接対峙により得られたもの

本研究では 2019 年 11 月から C&C サーバーの IP アドレスをブロックチェーンに隠ぺいした攻撃者のビットコイン運用監視を開始した。2020 年 6 月に C&C サーバ通信をシンクホールサーバへ直接誘導する (テイクオーバーと呼ぶ) アイデアによる国際協業を Hasso Plattner Institute の Christian Doerr 教授と開始し、8 月にテイクオーバーに成功した。攻撃者のテイクオーバー回避は早く、約 2 週間で回避メカニズムを実装し攻撃を再開した。テイクオーバーは回避されてしまったが、ビットコイン運用監視は機能し続けた。この攻撃の終息はビットコイン高騰がきっかけとなった。ビットコイン取引における採掘者への手数料が利益を圧迫する要因となり、2021 年 1 月に最後の C&C 情報の更新、3 月に攻撃インフラ放棄を確認した。その後、本研究の監視範囲において同種の攻撃は観察されていない。 この攻撃はすでに終息し、ビットコインの価値が下がらない限り再開される可能性は低いが、本講演では攻撃者との直接対峙により得られたノウハウを共有したい。つまり、攻撃者と対峙していた当時、この攻撃は新規性が高く、攻撃者自身も最適な運用方法を理解できていなかった。運用しながら攻撃手法を進化させる必要があり、われわれも攻撃手法を慎重に分析しながら隙を狙っていた。さらに厄介なのが、攻撃者がビットコイン半減期の影響を受けたり、単純な運用ミスをしたりして、そのたびに、われわれも攻撃者の意図を可能な限り早く理解しなければならなかったという点だ。この対峙により得られた知見は、本講演者による CODE BLUE 講演でも活かしており、本質的なノウハウとして共有する。

Presented by : 谷口 剛 - Tsuyoshi Taniguchi

レポート

• 過去4回CODE BLUEに登壇している
  • DNSの悪用について
  • インターネットが性善説に基づいて作られたため、悪用ができる
  • ドメイン生成アルゴリズムで生成するなど
  • これらは知見が溜まっているので対応ができる
  • パッシブDNSや脅威インテリジェンスなど
• 攻撃者はDNSつかわなくてもIPを伝えればいい
  • 何らかの方法でIPやコマンドを渡す
  • Blockchainに埋め込むのが出てきた
  • 2019年に悪用が確認できた
• 今回の講演の関連内容はBlack Hat Asia 2021で登壇している
  • 「ACM Tsuyoshi Taniguchi」で論文を見つけられる
• タイムライン
  • Christian Doerr教授の貢献が大きい
  • 2ヶ月ほどでTakeoverできた
  • 2週間ほどで攻撃者が回避してきた
  • 攻撃者の回避行動についてBlack Hat Asiaで登壇
  • 今回はその手前のコツコツやっていたことの紹介
• 攻撃の全体像
  • フィッシング
  • ロシアとベラルーシ
  • MalwareはPony
  • C&CのIPをブロックチェーンに隠した
  • C&Cに通信しているマルウェアのハッシュ値をためていった
  • お互い好きなように使う契約をした
• 倫理的な配慮
  • 攻撃者がIPアドレスをどう隠したか
  • 2つのトランザクションに分割
  • 142.93を5D8Eとし、結合して10進数にする
  • この悪用の利点
  • SNSを使う場合、事業者がアカウント削除ができる
  • ブロックチェーンなら削除できない
• 改ざんアプローチ
  • ビットコインのアドレスが分かれば妨害できそう
  • しかし気づかれたら意味がないので保留した
  • Sinkholeサーバーに向けるように変更した
  • その後はBlack Hatで詳しく聞いて
• 倫理的な配慮について
  • 通信を強奪してSinkholeに誘導する
  • センシティブなファイルが入っていた場合には攻撃者とおなじになる
  • サンドボックスの挙動を確認し、DLLがないため自己削除されることを確認した
  • 問題ないと判断しTakeoverした
  • 守るべき被害者を巻き込んではいけない
• 仮説検証の重要性
  • 最初に検知した攻撃手法の大きな進化
  • 今回の仮説検証は攻撃者に対して直接妨害行為をした
  • 回避パターンを予測する必要がある
  • 監視の初期、Bitcoinの運用がどうなっているか確認
  • 循環型の体型
  • ある程度溜まったらCollector
  • Senderは変わる
  • 仮説して観測した
  • しばらくしてマルウェアの向きも変わった
  • 最終的には非常に単純化された体型に変わった
  • 攻撃者は自信がありそう
• 今回は設計ミスがあった
  • 技術的には可能なはずなのに攻撃者はIP signalを変えなかった
  • 予測したけど変えられるけど変えなかった
  • Bitcoinアドレスの準備は大変
  • 攻撃者のパターンを予測して、外れても攻撃者ができなかったのでは？と考えられる
• 手数料の高騰
  • 取引時間が何故か変わった
  • 半減期を知らなかったので後から気づいた
  • 都度都度調べながらやっていた
  • もっと世界で起こっていることを知る必要がある
• 攻撃手法の進化の裏にある攻撃者の意図
  • トランザクションを順番に処理しないといけない
• 攻撃者もオペミスする
  • 誤送金があった
  • 間違えても置き換えればいいから攻撃者は特に問題にならない
  • 分析する側は値がずれるので大変
• 長期間データ取る
  • 設計を考える必要がある
• まとめ
  • 慎重に精査する必要がある
  • サイバーセキュリティでは仮説検証が大切
  • サイバー攻撃と世界的なイベントの関連付け
    • Bitcoinの報道も気にする
    • 攻撃者はサーバー代とかインフラにお金を払っている

感想

社会的に意義のある取り組みですね。

ただ、1セキュリティエンジニアとして、倫理観を忘れないようにしたいですね。