[レポート]BlackTechによるサブドメイン悪用は「進化」したのか？ - CODE BLUE 2024 #codeblue_jp

こんにちは、臼田です。

みなさん、セキュリティ対策してますか？(挨拶

今回はCODE BLUE 2024で行われた以下のセッションのレポートです。

BlackTechによるサブドメイン悪用は「進化」したのか？

2023年9月27日、警察庁及び内閣サイバーセキュリティセンター（NISC）は、米国家安全保障局（NSA）、米連邦捜査局（FBI）及び米国土安全保障省サイバーセキュリティ・インフラ庁（CISA）とともに合同でBlackTechに関する脅威への注意を喚起した。BlackTechは2017年頃から日本で攻撃を開始し、DbgPrint（別名WaterbearまたはDeuterbear）といったRATツールを進化させ続けている。BlackTechの攻撃に対抗するため、多くのセキュリティベンダーがこのAPTグループに関連するレポートを公開している。これらのレポートは、マルウェアの挙動に関する詳細を示しており非常に有用であったが、DNS悪用に関しては全く分析されていなかった。APTグループはDNSの挙動に痕跡を残すことが少ないため、セキュリティベンダーはDNS悪用に注意を払う必要がなかったのかもしれない。一方で、われわれは8つのAPTグループにおけるDNS悪用の比較研究を行い、2023年8月以降にDbgPrintに関連するBlackTechの攻撃で独自のサブドメイン悪用を確認した。この活動は興味深いものであったが、1つの疑問が浮かぶ。それは、BlackTechによるサブドメイン悪用が進化したのかということである。 一般的に、防御者がAPTグループの攻撃を検知することは困難である。BlackTechがRATツールを進化させ続ける一方で、このAPTグループはDNSの運用も戦略的に変更してきた。ここでわれわれは、BlackTechがDNSに関連する攻撃インフラの構築効率を優先していることに気付いた。防御者がBlackTechの不意を突くチャンスがあるかもしれない。実際、APTグループは常に気づかれないように万全を期しているわけではない。検出が困難なRATツールよりむしろ、セキュリティベンダーが注目していなかったDNS悪用を検知することの方が有効かもしれない。われわれは、時系列に沿った戦略の変化やAPTグループ間のDNS悪用の違いを詳細に分析し、試行錯誤の結果として脅威インテリジェンス、Passive DNS、WHOISに基づいた分析のノウハウを聴衆に提供する予定である。さらに、APTグループの戦略の変化と違いを検知するために、過去のCODE BLUEで発表した技術も紹介する。

Speakers: 谷口 剛, 大杉 浩太郎

レポート

自己紹介

• 谷口 剛氏
  • 富士通でネットワークセキュリティとDNS周りの悪意あるふるまいの検出
• 大杉 浩太郎氏
  • セキュリティリサーチャー
  • 以前はデジタルフォレンジック
  • 主なフォーカスはリバースエンジニアリング

BlackTechとは

• 中国のスパイ活動グループ
• 東アジアがターゲットで日本も含まれる
• 海外の子会社から日本の会社が攻撃される
• 知るとことで将来の活動に対して備えることができる
• 彼らのDNSに関する活動についてはあまり情報がないのでこの講演で話す

DbgPrintを見てみる

• 彼らの使うマルウェア
• 2009年にはアクティブ
• 2019年にAPI hookingが使われている
• 2020年詳細な分析結果がTeamT5からでる
• 2021年Unit42が内部構成を開示
• 2022年にはDeuterbearになったと言われている

DbgPrint詳細

• 3つのコンポーネントがある
• ダウンローダー
  • 難読化されていて難しい
  • 慎重にブレイクポイントを設定しなければならない
  • 重要な情報を隠すためにBitwise notを使っている
  • チャレンジレスポンスも付けている
  • 偽のC2サーバーを識別できる
  • 別の亜種に発展した、Deuterbear
  • HTTPSを使っていて解析が難しい
  • 解析防止もある
  • 継続的に進化していて難しい
• 進化したかと言われると、進化している
  • しかしDNSの部分は怠けている
  • 多くの場合親ドメインの再利用をしている

貢献について

• BlackTechはRATツールを進化させている
• しかしDNSについてはあんまり進化していない
• デジタルフォレンジックの知見を共有する
  • Passive DNSやWHOISを活用する

進化を見ていく

• 時間とともにどのように攻撃手法が変わったのか
• 時間ベースの変化検知と呼んでいる
• APTグループベースで見ていく
  • 比較ベースの相違検知
• 2つを組み合わせることで元々のオペレーションを特定する
• サブドメインの悪用についていくつかの種類を見ていく

詳細

• TeamT5によるスレットビジョンを活用している
• 8のAPTグループを特定している
• フラッシュレポートを活用している
  • 標的になる組織や産業、TTPやIoCも書かれている
  • 標的ごとの分析結果
    • BlackTechは主に台湾を標的にしている
    • 将来的に日本を標的にする可能性がある
• C&Cとの通信について
  • シンプルな手法はマルウェアに直接アドレスを入れる
    • 簡単にブロックできる
  • 悪用者はDNSを使ってIPを変える
    • APTグループがサブドメインを悪用しているのか
    • C&CでのIPとDNS利用についてまとめた
      • IPを多く使っているグループもある
      • BlackTechは主に悪用しているのはサブとメイン

DNSのざっくり説明

• APTグループがDNS登録する時に2つのオペレーション
  • サブドメインか
  • 親ドメインか
• サブドメインは好きなだけ悪用できる
  • 実際にある組織ににたサブドメインを登録する
    • jpcertとか
  • たくさんのドメインを悪用できる
• 親ドメインを利用する場合には、親ドメインをそのまま使える
  • 登録して数年放置しておく
  • 新しいドメインとして見えるように
• サブドメイン悪用の3つのタイプ
  • 合法的なサービスの悪用
    • DynamicDNSの悪用
  • サブドメインオペレーション
    • ドメインオーナーはどのようなサブドメインも使える
    • APTグループがブランド名を悪用することはあまりない
    • しかしBlackTechはjpcertなどを使う
  • 親ドメインの再利用
    • ドメイン名の登録をしなくてもいい
    • APTのために再利用する親ドメインは2種類ある
      • 単一のターゲットに使うか
      • 複数のターゲットに使うか
      • Passive DNSのデータベースを使う
      • サブドメインでAPTに関連しているものを抽出した
      • 親ドメインから悪用するサブドメインを抽出することを試みる
        • これはうまくいかなかった
      • しかし複数のターゲットに再利用した形跡を確認できた
      • 評価のやり方
        • Flash reportがいくつか出ている
          • 複数ターゲットに使われたかどうかはFlash reportを見ていくことで確認できる
  • 親ドメインのオペレーション
    • SolerWindsで悪用されているドメインが再利用されている
    • しばらく熟成してから使われるDNS
    • しかし熟成されているかどうかの判断は難しい
    • 経過時間を見てみた
    • WHOISに登録されてからFlash reportに出てくるまでを計測
  • 親ドメインが悪意があるものならサブドメインも悪意がある
    • 逆は違う
    • Dynamic DNSを使っている場合などサブドメインだけが悪用されている
    • 親ドメインはDormantのまま
    • 親ドメインを次の攻撃のために隠している可能性がある
  • Additional Active DNS(AADNS)
    • アイデアはシンプルなもの
      • クエリを追加してサブドメインのオリジナルの親ドメインについても問い合わせる
      • fake Dormantかどうか確認できる
  • 偽装休眠を評価するほうほう
    • Passive DNSデータベースで親ドメインの名前解決の履歴を確認する
    • IP Geoを確認する

時間ベースの変化の検出

• サイバー攻撃はいたちごっこ
• 攻撃者は検出を恐れている
• 変化したなら何かしらの意図があると考えられる
• 多くのベンダーは攻撃手法の変化を確認している
• サブドメイン悪用方法の変化を検出する
• 各種情報を収集している
• 評価結果
  • BlackTechはDynamicDNSの悪用をやめた
  • 親ドメインを確保した
  • 2019年から戦略的にドメインを登録している
  • いくつかのドメインを毎年登録している
  • サブドメインの活用を2023年からしている
  • 最も特徴的なのは親ドメインを再利用している
  • 殆どが複数利用されている
  • 偽装休眠
    • DbgPrintのほうはFake dormantからやっている
    • amazonやgoogleとマッピングする
• ドメインごとの戦略やVirusTotalの集計
  • 複数ターゲットに使ったドメインはVirusTotalでも多くのベンダーが検出できる

どうやって比較するか

• APTグループ内でツールが共有されている
• 常にDNSの活動をしているわけではない
• オリジナルなオペレーションとそうでないものを確認していく
• APTグループの殆どは意図的に熟成させたドメインを使っている
• BlackTech絞ると積極的に親ドメインを再利用している
• BlackTechはAWS/Googleのドメインを悪用している
  • 多くのベンダーがこれを検出できる

戦略の変化

• 親ドメインをたくさん確保しても、親ドメイン自体を利用するわけではない
• 複数攻撃のために親ドメインを使っている
• 他のチームはやっていないのでオリジナルの変化
• しかしこれは進化ではない、あくまで変化

戦略的に熟成させている

• 親ドメインをモニタリングすれば守れる
• 親ドメインを見つけることができなければサブドメインを見る必要がある
• 悪意があるか確認できる

まとめ

• 果たして進化したのか？
  • RAT toolsを進化させて解析を難しくしている
    • これは進化
  • DNSのオペレーションは変更であって検知を逃れるための進化ではない
    • 攻撃インフラを効率化した程度
  • ビジネス攻撃者なので色々準備する
    • 不意をついて防御することが可能
  • APTグループにも弱点を見つけられるといい

感想

面白い研究でした。
DNS観点の動向は有用な確認観点ですね。