日本を狙う標的型攻撃特化型マルウェア「PlugX」の特徴

特定の企業や担当者を狙う標的型攻撃。日本をターゲットにし、犯罪グループ自らが作っていると思われる高度なマルウェア「PlugX」の実態について。 2014年5月15日に行われた情報セキュリティEXPOセミナー、トレンドマイクロの新井悠氏による「マルウェア感染の現場は語る〜標的型攻撃のいまとこれから」をツイート中継したものです。ITジャーナリスト・三上洋 @mikamiyoh なお同日に行われたFFRI・鵜飼裕司氏によるセミナー「バンキングマルウェア「Citadel」解析から得られた近年のマルウェアの動向と対策」については下記の個人ブログにまとめています。 http://www.sv15.com/diary/citadel.htm 続きを読む
インターネット 標的型攻撃 セキュリティ
42
三上洋 @mikamiyoh
情報セキュリティEXPO、どのブースも、ドン引きするぐらいのコンパニオンによるプレゼント攻勢。セキュリティの業界って儲かってるんやなあ http://t.co/0uOjjRWp51
 拡大
三上洋 @mikamiyoh
情報セキュリティEXPOセミナー、マルウェア感染の現場は語る〜標的型攻撃のいまとこれから http://t.co/CNuCvtl3YE
 拡大
三上洋 @mikamiyoh
情報セキュリティEXPO専門セミナー。トレンドマイクロ・新井悠氏「マルウェア感染の現場は語る~標的型攻撃のいまとこれから」。新井さん、トレンドマイクロに移られたのか
三上洋 @mikamiyoh
なぜか撮影NGなので、テキストのみにします。情報セキュリティEXPO専門セミナー。トレンドマイクロ・新井悠氏「マルウェア感染の現場は語る~標的型攻撃のいまとこれから
三上洋 @mikamiyoh
新井氏はサイバー攻撃レスポンスチーム所属。実際にセキュリティのトラブルにあった顧客のところに行き、原因と復旧を行う仕事。今日は実際の現場での知見をもとに話をするとのこと(トレンドマイクロ・新井悠氏)
三上洋 @mikamiyoh
標的型メール攻撃の傾向。添付されているマルウェアの拡張子は、実行ファイル(exe、scr、dll)そのものを添付する物が多かった(上半期53~下半期60%)。意外にも文書ファイルは少ない(39~21%) (トレンドマイクロ・新井悠氏)
三上洋 @mikamiyoh
一昨年の標的型攻撃メールでは、exeは3割程度と少なかった。昨年になってexeが5割を超えるなど増えている。(トレンドマイクロ・新井悠氏)
三上洋 @mikamiyoh
標的型攻撃の添付メールの傾向。ファイル名は日本語が過半数。受信者を騙す手口だ。会議の打ち合わせ議事録、製品の故障クレーム、人事通知などに装っている(トレンドマイクロ・新井悠氏)
三上洋 @mikamiyoh
標的型攻撃メール添付マルウェア。バックドアPLUGXが上半期17%から下半期21%に増えた。一昨年はバックドアPOISONが38%と多かったが、それに取って代わってPLUGXが増加。IPアドレスなどから同じグループがマルウェアを切り替えた可能性がある(トレンドマイクロ・新井悠氏)
三上洋 @mikamiyoh
BKDR_PLUGXはクローズドで、アンダーグラウンド市場では出回っていない。自分たちで作っている可能性がある(トレンドマイクロ・新井悠氏)
三上洋 @mikamiyoh
C&Cサーバーへの通信の傾向。ポート番号は80か443。一般的はHTTP通信と同じポートを使っている。全体の52%がプロキシ利用(トレンドマイクロ・新井悠氏)
三上洋 @mikamiyoh
ドメイン名の傾向。サブドメインに標的組織の名前、YahooやFacebookなどの名前をドメインに入れることが多い。全体の47%が正規サービスとの誤解をさせるドメイン名だった(トレンドマイクロ・新井悠氏)
三上洋 @mikamiyoh
マルウェア検体事例。昨年非常に多かったPlugXについて。昨年一太郎が3回、三四郎は1回の0-day脆弱性があったが、すべてPlugXによるものだった。PlugXは日本のソフトウエアの脆弱性を狙っている(トレンドマイクロ・新井悠氏)
三上洋 @mikamiyoh
PlugXの特徴は、DLLハイジャッキング(バイナリプランティング)を行うこと。コード証明された正規のDLLを実行するのではなく、PlugXをローダして実行させてしまう(トレンドマイクロ・新井悠氏)
三上洋 @mikamiyoh
PlugXは新型によってヘッダを消去して、発見されにくくなっている。また新型は難読化されているので、検体を入手しても解析するのが難しい(トレンドマイクロ・新井悠氏)
三上洋 @mikamiyoh
最近のマルウェア動向「1:レジストリを使わない」再起動によってマルウェアを再開させるには、通常はWindowsの設定ファイルであるレジストリに書き込む。そのため今まではレジストリの変更箇所をあぶり出せば丸ェアの位置がわかった。しかし→続く(トレンドマイクロ・新井悠氏)
三上洋 @mikamiyoh
しかしPlugXではDLLハイジャッキングによって再起動時も活動する。同一ファイル名を持つ開く愛のあるDLLを特定のディレクトリに設置している。そのためレジストリの追跡では、PlugXを発見できない(トレンドマイクロ・新井悠氏)
三上洋 @mikamiyoh
最近のマルウエアの傾向2:認証Proxyを通過する。Windowsにログイン時に、そのキャッシュをWininetAPIを通じて通信を開始。そのため認証プロキシを突破できてしまう(トレンドマイクロ・新井悠氏)
三上洋 @mikamiyoh
最近のマルウェアの傾向3:Pass-The-Hashから平文パスワードへ。標的型攻撃ではより高い権限のユーザーのパスワードが必要。かつてはパスワードのハッシュ値から平文パスをクラックするという時間のかかる方法を取っていた。しかし→(トレンドマイクロ・新井悠氏)
三上洋 @mikamiyoh
Pass-The-Hashは、ハッシュ値を代用して認証を突破する方法。同じIDとパスワードのアカウントが存在する場合、Windowsファイル共有を通じて、ハッシュだけで認証できる(トレンドマイクロ・新井悠氏)
三上洋 @mikamiyoh
Pass-The-Hashの対策としては、パスワードの使い回しをやめる、機微なシステムの隔離、「最小の権限の徹底」、キャッシュされる認証情報を減らすなどが重要(トレンドマイクロ・新井悠氏)
三上洋 @mikamiyoh
Windowsの認証情報は、Windowsのプロセスの1つであるLSASS.exeによって、メモリ上に暗号化されたパスワードが残存している。DLLインジェクションによってこれを読みだせる。現場でデモする(トレンドマイクロ・新井悠氏)
三上洋 @mikamiyoh
デモ:WindowsのLSASS.exeから、パスワードのハッシュ値を読み出す。「Mimikatz」と呼ばれるツールによって、まずはハッシュ値表示。その後にコマンドで平文化したものを取り出し(トレンドマイクロ・新井悠氏)
三上洋 @mikamiyoh
技術的傾向4:プロセスの中抜き。スタックスネットが使っていた手口で、標的型攻撃でも使われている。マルウェアが正規のプログラムを起動。そのコード領域を消去。その上で不正なコードを入れてしまう。DLLインジェクション・メモリインジェクションとは異なる(トレンドマイクロ・新井悠氏)
三上洋 @mikamiyoh
プロセスの中抜きは、解析を難しくするための機能である。デバッガによるトレースができなくなる。(トレンドマイクロ・新井悠氏)
残りを読む(5)

コメント

ひろ@猫もふ欠乏症 @hiro_h 2015年6月3日
難儀やね… 流石に環境が限定されるようでまだましだけど…
ログインして広告を非表示にする
ログインして広告を非表示にする