# 標的型攻撃の実態と ### 第2版 # 対策アプローチ #### 日本を狙うサイバーエスピオナージの動向 2018年度下期 ###### 2019年4月1日 ----- 本資料に記載されている情報は、マクニカネットワークス株式会社が信頼できると判断したソースを活用して記述されていますが、そのソースをマクニカネットワークス株式 会社が保証しているわけではありません。この資料に、著者の意見が含まれる場合がありますが、その意見は変更されることがあります。この資料は、マクニカネットワーク ス株式会社が著作権を有しています。この資料を、全体または一部を問わず、ハードコピー形式か、電子的か、またはそれ以外の方式かに関係なく、マクニカネットワークス 株式会社の事前の同意なしに複製または再配布することは禁止いたします。 ----- ## 目 次 ##### エグゼクティブサマリー ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 4 観測された攻撃とその背景 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 5 ###### 2018 年11月 (BlackTech, OceanLotus, FancyBear)・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 6 2018 年12 月 (Lazarus)・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 6 2019 年2 月 (Tick, DragonOK)・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 6 2018 年度に観測された攻撃の目的や背景 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 6 ##### 新しいTTPs やRAT など ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 8 ###### Tick グループTTPs の進化 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 8 OceanLotus 製造業への攻撃 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 8 DragonOK 復活・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 8 ##### 攻撃グループごとのTTPs ( 戦術、技術、手順) ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 27 TTPs より考察する脅威の検出と緩和策 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 28 ###### マルウェアの配送について・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 28 攻撃について・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 28 インストールされるRAT、遠隔操作 (C&C について)・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 28 侵入拡大・目的実行 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 28 ##### スレットハンティングの必要性・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 29 検知のインディケータ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 30 ----- ## エグゼクティブサマリー 日本国内の組織に対する標的型攻撃(サイバーエスピオナージ) は継続して観測されています。海外を含めたサイバーセキュリ ティ業界による努力のおかげもあり、現在までに日本国内で収集 された攻撃痕跡を、攻撃手法、攻撃インフラ、被害内容の視点で分 析すると、攻撃主体に中国政府が関わっていることは、もはや疑い の余地がなくなってきています。今回のレポートでは、2018 年 10 月から 2019 年 3 月に観測された標的型攻撃のうち、Tick グルー プと DragonOK グループによる攻撃活動について詳細を記載し ていますが、どちらも中国に拠点を置く攻撃グループとされてい ます。また、ベトナムに拠点を置くと見られる OceanLotus グルー プによる日本企業への攻撃も観測されており、そちらも詳細を記 載しました。 ランサムウェア(身代金要求型ウイルス)や DDoS 攻撃(サービ ス妨害攻撃)の被害は、即座に業務へ影響するので、必然的に経営 者の耳に届きやすい一方で、機密情報を窃取するサイバーエスピ オナージの被害は、即座に影響が出ない上、技術盗用などの実被害 との因果関係が表面化しづらいため、経営者の耳に届かず、現場の マネージャーで処理されてしまうことが多々あります。しかしな がら、窃取された機密情報は中国政府や中国企業の手に渡ること で、結果として日本企業の産業競争力を徐々に低下させていくこ とになります。 サイバー産業スパイの対象は、宇宙、航空、海洋、防衛、学術機関 だけでなく、エレクトロニクス、化学、機械、半導体、医療、農業、シ ンクタンク、メディアに至るまで幅広く狙われています。今回のレ ポートを社内や業界での注意喚起にご活用頂き、必要に応じて、攻 撃者に侵入されていることを前提に調査や対策を行って頂きたい と思います。 本レポートが、日本企業のセキュリティ対策を考える上で有益 な情報となることを心より願うばかりです。 ----- ## 観測された攻撃とその背景 ###### 2018 年 4 月から 2019 年 3 月に観測された標的型攻撃とその標的となった業種のタイムチャートです。 表 1. 2018 年度に観測された標的型攻撃と標的業種 日本を主な標的の 1 つとしている攻撃グループ APT10 は、 ###### 2018 年 10 月に ANEL[123] を利用した攻撃が観測された後、活動が 見られていませんでした。 2 ヶ月前の 2018 年 8 月に、中国国家安 全部 (MSS) とそのメンバーが APT10 の攻撃活動に関与した可能 性を示す記事が、IntrusionTruth のブログ [4] で公開されました。そ の後、APT10 の攻撃活動に対して、2018 年 12 月に米司法省から の起訴 [5] ならびに外務省から外務報道官談話 [6] が発表されていま す。これら一連の影響もあり、APT10 は、攻撃活動のテンポを抑え ている可能性があると思われます。一方で、権威ある機関からの非 難や起訴に至っていない BlackTech[789]、Tick/BLONZE ###### BUTLER[10] といった攻撃グループの活動が引き続き観測されてい ます。また、Tick と OceanLotus[11] グループによる、日本製造企業 の海外拠点を標的とした攻撃が観測されています。 1 2 3 4 5 6 7 8 9 10 11 https://blog.trendmicro.co.jp/archives/17280 https://www.fireeye.com/blog/jp-threat-research/2018/09/apt10-targeting-japanese-corporations-using-updated-ttps.html https://www.macnica.net/mpressioncss/report.html/ https://intrusiontruth.wordpress.com/category/apt10/ https://www.justice.gov/opa/pr/two-chinese-hackers-associated-ministry-state-security-charged-global-computer-intrusion https://www.mofa.go.jp/mofaj/press/danwa/page4_004594.html https://blog.trendmicro.co.jp/archives/15393 https://www.lac.co.jp/lacwatch/people/20180425_001625.html https://blogs.jpcert.or.jp/ja/2018/03/tscookie.html https://www.secureworks.jp/resources/rp-bronze-butler https://www.welivesecurity.com/wp-content/uploads/2018/03/ESET_OceanLotus.pdf ----- ###### 2018 年 11 月 (BlackTech, OceanLotus, FancyBear) BlackTech 攻撃グループの PLEAD マルウェアを使った攻撃が 重工業を標的として観測されました。 OceanLotus グループによ る、日本の自動車製造企業の東南アジア拠点を標的とした攻撃を 観測しました。本書の後半で、観測された OceanLotus の攻撃手法 の分析を記載します。FacnyBear の世界規模の Zebrocy への感染 を狙ったスピアフィッシングメールが日本でも観測されました [12] 。 ###### 2018 年 12 月 (Lazarus) Lazarus グループによる世界規模の WILDPOSITRON への感 染を狙ったスピアフィッシングメールが日本でも観測されました 13 。 ###### 2019 年 2 月 (Tick, DragonOK) Tick グループによる、化学系企業の東アジア拠点を標的とした攻 撃が観測されました。しばらく攻撃の観測がなかった Drago ###### nOK[14] グループによる、Upheart RAT への感染を狙ったスピア フィッシングメールが観測されました。本書の後半で、Tick グルー プと DragonOK グループの攻撃手法の分析を記載します。 ###### 2018 年度に観測された攻撃の目的や背景 2018 年度に観測された攻撃については、下表 2 で示すように、大 きく 3 つの目的での攻撃活動があったと分類しています。それぞ れの目的ごとに攻撃の背景を分析します。 ###### 表 2. 2018 年度に観測された標的業種と目的 ###### 政治・外交上の機密情報の入手 ( メディア、シンクタンク ) 2018 年度の上期はメディア、シンクタンクを標的とした APT10 の攻撃が多く観測されました。また、DarkHotel と思われ る攻撃グループからの攻撃が 2018 年 8 月に観測されました。メ ディア、シンクタンクで 2018 年度上期に攻撃が活発に観測され た 1 つの背景には、2018 年 6 月の第 1 回米朝首脳会談があると 分析しています。歴史的な第 1 回の米朝首脳会談に前後して、朝鮮 半島情勢に関する日本の政治・外交上の情報を入手する目的で、 メディアの記者やジャーナリスト、シンクタンクや学術系の半島 情勢の専門家に対しての諜報活動が活発化したと思われます。一 方、2019 年 2 月の第 2 回米朝首脳会談に前後しては、活発な攻撃 活動は観測されませんでした。第 1 回目の未知の会談と比較する と、その後朝鮮半島に関連した情報入手と分析が進み、それほど積 極的に諜報活動を行う必要がなかった可能性があります。 ###### 知的財産の窃取 ( 製造業 ) 2018 年度を通して、製造業への攻撃が活発に観測されました。 ###### Tick グループによる攻撃が重工系企業 (2018 年 5 月 ) と化学系 企業 (2018 年 9 月と 2019 年 2 月 ) で観測され、WINNTI グルー プによる攻撃が化学系企業 (2018 年前半 ) で観測されています。 また、BlackTech グループによる攻撃が、海洋エンジニアリング系 企業 (2018 年 9 月 ) と重工系企業 (2018 年 11 月 ) で観測されま した。製造業への攻撃の背景には、経済的な目的で設計図や製造技 術など知的財産を狙った目的があると分析しています。2018 年 ###### 10 月以降、米司法省は APT10 の起訴だけでなく、中国政府の関与 も疑われる複数のハッキングを起訴しています。この中には、 ###### 2018 年度前半に日本の化学系企業への攻撃でも観測された winnti マルウェアを使った米国タービン技術企業へのハッキング に対する、2018 年 11 月の起訴もあります [15]。米司法省からの複 数のハッキングに対する起訴の背景には、米中の貿易問題すなわ ち米中貿易戦争があります。米国のトランプ政権は、中国政府によ る知的財産侵害の「手口」として、つぎの 4 つを挙げて批判してい ます [16] 。 12 13 14 15 16 https://blog.trendmicro.co.jp/archives/19829 https://www.mcafee.com/enterprise/en-us/assets/reports/rp-operation-sharpshooter.pdf https://www.fireeye.jp/company/press-releases/2014/fireeye-cyber-attack-group-preventing-cyber-attacks.html https://www.justice.gov/opa/press-release/file/1106491/download 梶谷 懐著 中公新書 「中国経済講義」 p. 236 ----- ###### 1 2 3 4 外資規制により米企業に技術移転を強要している 技術移転契約で米企業に対し差別的な扱いをしている 中国企業を通じて先端技術を持つ米国企業を買収している 人民解放軍などが米国企業にサイバー攻撃を行っている 米国司法省からの一連の起訴は、4 つ目の人民解放軍などによる 米国企業に対するサイバー攻撃を起訴したものです。このように、 米国は中国に対して強硬姿勢を見せていますが、中国に対して「中 国製造 2025」の撤回も求めているとされ、「中国製造 2025」政策 の 10 の重点分野と 23 の品目は、サイバー攻撃によって積極的に 知的財産が狙われる可能性のある分野であると思われます [17]。日 本を狙った標的型攻撃で観測されている製造業種は、この 10 の重 点分野と一致するものがあり、2018 年度における我々の観測では 表 3 のようになります。 ###### 表 3. 「中国製造 2025」重点分野と観測された攻撃グループ 「中国製造 2025」の 1-1、最優先課題の半導体産業の強化について 取り上げてみたいと思います。「中国製造 2025」の半導体産業の強 化の取り組みの 1 つとして、米国や日本からの半導体製造装置や 材料に依存しない、中国国内での半導体生産体制の強化がありま す [18]。化学系企業で WINNTI や Tick からの攻撃が観測されている 背景のひとつには、半導体製造および製品に利用される先端化学 技術への狙いがあると分析しています。たとえば、日本国内の化学 企業が有している半導体の集積率に関係する化学技術が窃取され れば、窃取した知的財産を活用して開発投資を抑えつつ開発ス ピードを早め ( 図 1)、近い将来日本からの半導体材料の供給に頼 らず、集積率の高い高度な半導体の生産体制の確立へ寄与する事 になると思われます。将来、高度な技術を使った化学製品の輸出に よる我が国の利益が大きく損なわれるでしょう。 標的型攻撃は、感染後 1 時間もすれば身代金要求が画面に表示さ れる事もなく、感染後に銀行の口座からお金がなくなるというよ うな事もなく、感染に気づかなければ表面上システムに変化はあ らわれません。類似製品が他社に開発されたり、取引先が急に部材 の供給を必要としなくなったりといった影響が表れるのは早くて も数年後で、こういった事態の背後にサイバー攻撃による技術窃 取があった事に気づけない可能性もあります。攻撃や被害が見え にくいからといって目をつぶり、サイバー攻撃による技術盗用を 許し、利益を損なうような事があってはなりません。製造業種にお いては、サイバー攻撃による技術窃取は競争相手の開発コストを 抑えつつ急速な技術開発を許してしまう、という中長期的な経営 視点を持って対策をしっかり検討する必要があります。表 3 に記 載された製造業種、ならびに関連技術の研究機関は特にご注意頂 きたいと思います。 ###### 図 1. 知的財産窃取による開発スピードの短縮 17 18 https://www.nikkei.com/article/DGXKZO38656320X01C18A2EA2000/ https://eetimes.jp/ee/articles/1808/08/news009.html ----- ###### 顧客情報・攻撃インフラ情報の入手 ( テレコム ) 2017 年末から 2018 年 6 月まで約半年程度継続的に観測され た Taidoor グループの攻撃についてとりあげます。攻撃グループ の主な標的はテレコム企業が第 1 にあげられますが、テレコム企 業がインフラとして使う通信関連装置の製造企業も標的となりま した。Taidoor グループの攻撃の目的としては、テレコム企業のイ ンフラを利用する顧客の個人情報と通信機器やインフラに関する 情報を入手することで、将来の攻撃の足がかりをつかむという目 的があったと推測しています。 ###### 新しい TTPs や RAT など ここでは、先に引用させて頂いた公開されている他社の調査報 告ではまだ触れられていない観測や分析を中心に、詳しく紹介し ます。 ###### Tick グループ TTPs の進化 Tick/Bronze Butler が使う主なマルウェアには、コマンド実行、 ファイルのアップロードやダウンロードなど RAT としての機能 を有した Daserf, XXMM, Datper の存在が確認されていますが、 ###### 2018 年 4 月以降は主に Datper が多く観測されています。 2019 年 1 月には、オープンマルウェアリポジトリに、正規のデジ タル証明書 ( 図 2) が付与された Datper がアップロードされまし た。 ###### (SHA256:6530f94ac6d5b7b1da6b881aeb5df078fcc3ebffd3e 2ba37585a37b881cde7d3) 盗んだデジタル証明書を悪用する 図 2. Datper に付与されていたデジタル証明書 手口は新しいものではなく、最近では、日本でも活動が観測されて いる BlackTech/PLEAD が悪用をしています [19]。但し、弊社の観 測する限りでは Datper に正規のデジタル証明書が付与されてい たのは初めてであり珍しいケースと考えています。 今回分析したデジタル証明書が付与された Datper と 2018 年上 期に観測した Datper ###### (SHA256:569ceec6ff588ef343d6cb667acf0379b8bc2d510e da11416a9d3589ff184189) を比較した所、コードレベルでは大 きな違いは見られていません。Datper の大まかな処理の流れと変 化のない特徴は以下の通りです。 ###### 1 2 3 4 実行時に、LoadLibrary、GetProcAddress 関数で処理に必要 なライブラリ関数を動的にロード 暗号化されている設定情報の復号 ( 図 3) ###### C2 と通信 ( 通信開始時間 (h) と通信終了時間 (h) を設定として保有 ) C2 からのコマンド処理 (RAT 処理部分 ) 変化がない部分 - 文字列を隠蔽する為に PaloAlto 社が分析している ###### Tick グループが使う文字列変換テーブル [20] ( 図 4) を使用 - 既知の固定 User-Agent 値 ( 図 5) - mutex 値 ###### User-Agent と mutex 値は、設定として保有している事から開発 ツールのデフォルト値でそのまま使われていた可能性もありま す。設定項目については、JPCERT が分析レポート [21] の中で解説 をしています。 19 20 21 https://www.welivesecurity.com/2018/07/09/certificates-stolen-taiwanese-tech-companies-plead-malware-campaign/ https://unit42.paloaltonetworks.com/unit42-tick-group-continues-attacks/ https://blogs.jpcert.or.jp/ja/2019/02/tick-activity.html ----- ###### 図 3. Datper の設定情報 ( 復号後 ) 図 4. 文字列変換テーブル 図 5. Datper の通信内容 これまで観測されているツールの多くがデジタル証明書を付与さ れていません。標的組織への配送や検出回避に有効であると判断 した時のみデジタル証明書を付与する事で、証明書の悪用が発覚 する可能性を最大限低くし、標的組織に侵入できる期間を延命し ようとする意図があるのではないかと推測しています。 ----- ###### RATローダー 2018年度下期は、Datperで侵入初期の偵察活動をした後、本格 的な攻撃時に別のRATをロードするローダー (SHA256: ###### 0542ecabb7654c6fd6fc4e12fe7f5ff266df153746492462f783 2728d92a5890)が使われるのを確認しました。このローダー は、DLLファイルで、攻撃者によりサービスプログラムとして登 録され、rundll32.exe経由で起動するようになっていました。 ###### DLLのエクスポート関数のwin7load (図6)がマルウェアとして動 作を開始するエントリポイントとなっています。 起動すると、win7load関数のパラメータで渡された文字列を元 ###### 図 6. エクスポート関数 に、通信先が設定されているレジストリキーの値を読みに行きま す。このレジストリキーは、攻撃者がローダーをインストールす る際に合わせて作成しています。弊社が観測した中では、下記パ ラメータで起動されるものがありました。 ###### rundll32.exe "c:\program files\google\googletoolbarnotifier \5.12.11510.1228\swg32.dll", win7load SCPolicys win7loadに続いてSCPolicysのパラメータが渡された場合は、以 下のレジストリ値を読みに行きます。 ###### HKLM\SYSTEM\Current-ControlSet\Services\SCPolicys\Con nectHost ConnectHostに設定されている値は、Base64とシングルバイト XOR (0xDF)の組み合わせでエンコードされた値で、デコードす るとC2の通信先の文字列となります。パラメータで渡される文 字列は、”SCPolicys”の他に、”upnphosts”と”SoftPolProtSvc” が観測されています。エンコードされている通信先は、公開ツー ルのCyberChef[22]を使ったブルートフォース解析によっても容易 に解読する事ができます (図7)。 ###### 図 7. 通信先をデコードする CyberChef レシピ 22 https://github.com/gchq/CyberChef ----- ###### ConnectHost に設定されている文字列を取得した後は、通信の処 理に入ります。通信は、ws2_32.dll より関数のアドレスをロード して、ソケットベースの connect() を使って通信します。通信に成 功した場合は、C2 からの命令の処理に入ります。通信に失敗した 場合は、20 秒間スリープして再度通信を試みます ( 図 8)。 ###### 図 8. 通信処理の流れ ----- コード解析の結果、この DLL 自体は RAT 機能を有しておらず、通 信先からダウンロードするコードをメモリ上で実行するローダー タイプのマルウェアである事が分かりました。EDR 製品のログか ら、この DLL をロードしている rundll32.exe から ipconfig 等の コマンドが実行された事を確認しており、通信先から RAT 機能を 有するコードがダウンロードされてメモリ上で RAT が動いてい たと考えられます。このローダーには、商用のリバースエンジニア リング対策ツール VMProtect[23] で難読化されたもの ( 図 9) と、難 読化されていないものが確認されています。標的の組織により使 い分けている可能性も考えられますが、明確な理由は判明してい ません。 ###### 図9. 難読化されたコード また、この RAT ローダーでも Datper が使用する文字列変換テーブルが使われており、継続して使われている事からこれらの文字列を検出 や帰属に活用する事ができます。 23 https://vmpsoft.com/ ----- ###### Tick グループが利用するコマンド win7load のエクスポート関数で開始される RAT ローダー DLL が観測された攻撃において、Tick グループが悪用した Windows コマンドについて説明します。今回、EDR 製品による攻撃記録を 開始した時点で、攻撃者は net use コマンドを使って頻繁に別の 端末のファイル共有に対してマウント処理を行っている事が確認 されました。net use コマンドの利用は侵入拡大を行うための活動 24 ですが、EDR 製品で攻撃を監視する前にすでにパスワード情報 が窃取されてしまっていたと思われます。さらに at コマンドを用 いて、他端末での RAT ローダー DLL などの攻撃ツールの実行も 確認されています。at コマンドでは、リモートで実行するコマンド 以外に時刻を指定することが可能ですが、今回この攻撃者は、net ###### time コマンドを利用して、拡大対象の端末に対して時刻同期を行 う動作が確認されました。また、ping や netstat コマンドが、偵察 活動の一環として利用されています。netstat | find “3389”のコマ ンドを実行し、感染端末において、RDP の利用有無を確認する振 る舞いも確認されています。しかしながら、今回の一連の攻撃の中 で RDP の利用は確認できませんでした。攻撃の中では、p.dat と リネームされた PsExec[25] や com.dat としてリネームされた ###### UPX でパックされているコマンドライン形式の RAR アーカイバ が利用されていました。これらツールの利用は、他の多くの攻撃者 グループが見せる標的型攻撃の侵入手法 と大きな違いはありませ ん。以下は、観測されたコマンドと実行回数となります ( 表 4)。 ###### 表 4. Tick グループの攻撃で観測された攻撃コマンド 24 25 https://www.jpcert.or.jp/present/2018/20171109codeblue2017_ja.pdf https://www.jpcert.or.jp/research/20171109ac-ir_research2.pdf ----- ###### Tick グループが利用したインフラ 攻撃者は通信先の IP アドレスを頻繁に変更することで C2 通信をコントロールしていました(図 10)。頻繁に変更する理由として下記が 考えられます。 - C2 通信の検出を逃れるために、攻撃のタイミングのみ通信を確立させるため - 感染端末から直接外部の C2 サーバへ接続できない場合に、内部ネットワークに存在するプロキシに通信をルーティングさせるため。 (マルウェアの直接の通信先がプライベート IP アドレスとなる) ###### 図10. Tick グループが利用したインフラ ----- このような攻撃オペレーションのセキュリティ (OPSEC) の高さ が伺える一方で、取得していないドメインを C2 サーバとしてマ ルウェアにハードコードしてしまうミスと思われる実装も確認で きました。これら未取得のドメインは後日、セキュリティベンダー によってシンクホールされました。(図 11) ###### 図11. マルウェアにハードコードされた未取得のドメイン ----- ###### OceanLotus 製造業への攻撃 OceanLotus/APT32 は、東南アジアにて活発な活動が観測されて おり、複数のセキュリティベンダーが分析結果を公開しています。 ###### 2018 年下期に観測されたキャンペーンでは、自動車製造企業の東 南アジア拠点への攻撃が観測されました。 ###### 侵入活動 標的組織に侵入するための最初の攻撃として、標的組織の求人応 募に対する履歴書 (CV) や営業拠点への取引を装ったスピア フィッシングメールを複数配送しました。 メールに Word ファイルが添付されて配送されたケースと、メー ル本文に Word ファイルのダウンロード URL を記載し配送され たケースを観測しています。 メール本文には、営業活動を支援するメールトラッキングサービ ス Yesware のプラットフォームから Word ファイルが設置され ているサーバへリダイレクトされる URL が記載されていました。 この事から、OceanLotus グループは、正規サービスを悪用し標的 への攻撃の成否状況 (URL がクリックされたか等 ) を注意深く監 視していたと考えられます。 ###### 図 12. Word ファイルのダウンロードリンク 攻撃に使われた Word ファイル ( 図 13) には、Template Injection[26] と呼ばれている外部からファイルをダウンロードし実行するテクニッ ク ( 図 14) が使われていました。 ###### 図 13. Word ファイルの中身 図 14. Word ファイル中の settings.xml.rels (Template Injection) 26 https://attack.mitre.org/techniques/T1221/ ----- ###### 攻撃ツール WordファイルからTemplate Injectionでコードをダウンロード ・実行された後に、攻撃者が開発したローダーをベースとしたツ ールが実行されるのを観測しました。また、侵入後の侵入拡大の 過程で公開・商用のツールが悪用されるのも観測しています。そ れぞれのツールについて解説をします。 ###### 攻撃ツール ( ローダー ) 独自のローダーを使って起動される複数の攻撃ツールが観測され ました。独自のローダー部分では、DLL Side-LoadingとBase64 エンコードの2つの大きな特徴が見られました。DLL ###### Side-Loadingは、利用ユーザの多いGoogle社のGoogle Chromeの正規のアップデータgoogleupdate.exeや、Microsoft 社の正規のword.exeが実行された際にロードするDLLに、攻撃 者由来のコードを潜ませて実行していました。DLL Side-Load ###### ingでロードしたDLLには、まずBase64でデコードするコードが 含まれています (図15)。 ###### 図 15. Base64 エンコードされたコード ( 右 : デコードした結果 ) ###### Base64でデコードされたコードはシェルコードで、最終的にメ モリ上にバックドア、内部活動ツール、ダウンローダー機能を有 するEXEやDLLファイルが展開・実行されますが、ファイルとし て保存される事なくメモリ上でのみコードが存在する事になるた め、ファイルベースの検出が主なアンチウイルス製品では検出が 困難です (図16)。 ###### 図 16. 観測した攻撃ツール ( ローダー ) DLL Side-Loadingは新しい手法ではありませんが、今でも多用されている事からこのテクニックが既存のセキュリティ対策をすり抜ける のに有効であると、攻撃者が考えていたと思われます。 ----- ###### a)バックドア (SHA256: 824a5d74bf78481fe935670bf1ea3797ebc210181e6ffe0ee5854d61cf59b2a1) Base64 デコードされたコードは、メモリ上で更にコードを復号し展開された DLL ファイルが RAT として動作します。 図 17. メモリ上に展開される DLL 展開された DLL ファイルのリソースセクションに埋め込まれている設定情報を復号します。( 図 18 ) ###### 図 18. 設定情報 ( 復号後 ) ----- このバックドアは、ESET 社の解析レポート で解説されているバックドアと同一タイプのもので、感染端末のコンピュータ名を使いランダ ムなサブドメインを追加し通信を行います。 **naggnoggmoggmpggmmggnoggmfggjnggmfggnlggjnggnhgg.ijjlekgc.namshionline[.]com** 最初に TCP/443 で通信を試みますが、通信を確立できない場合は HTTP POST で通信を行います。この HTTP 通信では固定の ###### User-Agent 値と Referer にアクセス先の URL と同じ値を設定している特徴があります。 図 . 19 C2 への HTTP 通信 上記とは別のバックドアをロードするローダー ###### (SHA256: 847d0fa2e12a1d0f1a68abad269b5e0aebc2bd904bb695067af08703982ae929) も観測しており、このバックドアの場合 はリソースセクションに設定情報を暗号化せずに埋め込んでおり、HTTP では通信を行なわずに TCP スタック上での独自プロトコルのみ で通信を行う違いがあります。 ###### 図 20. リソースセクションに埋め込まれている通信先情報 27 https://www.welivesecurity.com/wp-content/uploads/2018/03/ESET_OceanLotus.pdf ----- ###### b)内部活動ツール (SHA256:53efaac9244c2fab58216a907783748d48cb32dbd c2f1f6fb672bd49f12be4c) 今回弊社で観測した内部活動ツール は、オープンマルウェアリポジトリにアップロードされており、 ###### Windows ユーザを追加するなど侵入後の内部活動の為のツール ではないかと考えています。この検体は実行されると、内部に埋め 込まれている chrome インストーラーを起動する事から chrome インストーラーに偽装されて使われたのではないかと推測してい ます。Base64 デコードされたコード上では、更に AES 256bit で 暗号化されているコードを復号します ( 鍵 : sdf123)。デコードし たコードは、SHA256 ハッシュ計算を行い破損していないかを確 認します。最終的には、内部に埋め込まれている EXE ファイルが 実行されます。この EXE ファイルはパラメータで渡されたユーザ 名とパスワードを実行端末上に追加します ( 図 21)。 ###### 図 21. 追加されるユーザ情報 EXE ファイルは、処理の中で reg, netsh コマンド等を使い指定ユーザを追加します ( 図 22) 図 22. 実行コマンド ----- ###### c)ダウンローダー (SHA256:358df9aba78cf53e38c2a03c213c31ba8735e3936f 9ac2c4a05cfb92ec1b2396) このダウンローダーは、PaloAlto 社 が”KerrDown”[28] と呼称しているものでメモリ上の展開処理は上 記内部ツールと共通した部分が多く見られますが、復号に RC2 ###### 256bit ( 鍵 : zcxc13213zxcvzcZX) を使っていました。 最終的には、メモリ上に EXE ファイルが展開されます。この EXE ファイルは、パラメータで通信先を受け取り ( 図 23)、通信先から ダウンロードしたコードをメモリ上で実行します。 ###### 攻撃ツール ( 公開・商用ツールの悪用 ) ###### 図 .23 ダウンローダーへ渡すパラメータ ローダの CACTUSTORCH[29] をベースとしたローダー ( 図 24) が 遠隔からのコントロールが可能な領域を広げるための侵入拡大の 中で、感染機器から別の機器へ、公開ツールであるシェルコード 送り込まれるのが観測されました。 ###### 図 24. Javascript ローダーの比較 ( 左 : 攻撃者が使った javascript 右 : 公開されている CACTUSTROCH) このローダーによりメモリ上に Cobalt Strike Beacon[30] が展開 されます。Cobalt Strike Beacon は、OceanLotus だけでなく他 攻撃者グループでも使用が多く観測されており、Mimikatz[31] と並 び多くの攻撃者達の主要ツールとなっています。 28 29 30 31 https://www.paloaltonetworks.jp/company/in-the-news/2019/tracking-oceanlotus-new-downloader-kerrdown https://github.com/mdsecactivebreach/CACTUSTORCH https://blogs.jpcert.or.jp/ja/2018/07/cobaltstrike.html https://github.com/gentilkiwi/mimikatz ----- ###### 攻撃者の素性 OceanLotus/APT32 に関しては、複数のセキュリティ企業がベト ナム政府との結びつきを示唆していますが、我々の分析対象とし たマルウェア検体の一部でも、おとりファイルでベトナム語フォ ント(VNI-Times)が使われていました。(図 25)報道内容 [32] および 我々の調査では、攻撃対象として自動車製造企業が狙われたよう です。知的財産の窃取を狙った攻撃かどうかは不明ではあります が、ベトナムには、政府が後押しする国産車メーカーもあり、引き 続き注意が必要な攻撃グループです。 ###### DragonOK 復活 ###### 図 25. おとりファイルで使われたベトナム語フォント Upheart ###### 2018 年後半と 2019 年 2 月にシンクタンク系で観測されたメー ルに添付された zip ファイルには実行ファイルが含まれ、この実 行ファイルはユニークな自動起動エントリー (ASEP) を作成して 一旦終了し、次回 PC の起動時に動作する、一部リサーチャーの間 では Upheart と呼ばれる DragonOK の RAT が観測されました。 ###### 2018 年に観測された Upheart の検体は難読化されていないもの の、2019 年に入って観測された検体は VMProtect を使って難読 化されたものでした。 32 https://www.bloomberg.com/news/articles/2019-03-20/vietnam-tied-hackers-target-auto-industry-firms-fireeye-says ###### (SHA256:b2ec8cc72f632367dfc0cc9fe1a98034fb4e7b9011 701ed20e7345e009fa525c) は、2018-8-15 04:00:25 UTC に Visual Studio 2012 でコンパイルされたプログラムです。プログ ラムが最初に実行されると、プログラム中の固定の 4 バイトの値 ###### ( 画像のケースでは 0xFAFBFCFD) をチェックします。この 4 バイ トの値がデフォルトの場合、この 4 バイトの値を変更し、 ###### %ProgramData% のパスに ¥Microsoft Center¥CenterHelpWrite.exe として書き込みます ( 図 26)。 ----- ###### 図 26. Upheart の 4 バイト値のチェックと書き換えた CenterHelpWriter.exe の書き込み ----- 続いて、新しく書き込んだ CenterHelpWrite.exe を引数 <%s a a ###### b c %d \ 自身のプログラムのフルパス \> で実行して終了します。 CenterHelpWrite.exe が a a b c の引数で起動されると、プログ ラムリソースに含まれるシェルコードを実行します。このシェル コードは、ASEP の作成処理を行います ( 図 27 )。 ###### 図 27. ASEP を作成するシェルコード ###### ASEP はユニークなつくりになっており、HKCU\Software\Mic rosoft\Windows\CurrentVersion\App Paths に wordpad.exe の エントリーを作成し、値に C:\ProgramData\Microsoft Cen ###### ter\CenterHelpWriter.exe を指定します。このレジストリ値の作 成によって、ワードパッド (wordpad.exe) を起動すると、 ###### CenterHelpWriter.exe が起動するようになります。続いて、 CurrentVersion\Run に CenterWriter のエントリーを作成し、値 に write.exe を設定します ( 図 28)。 ###### 図 28. システム構成のスタートアップに登録された write.exe Windows では write.exe は、ワードパッド (wordpad.exe) の起動 に結び付けられ、write.exe を実行すると Wordpad.exe が実行さ れる仕組みになっています。Upheart は、PC 起動時に write.exe が自動的に実行されるように設定し、write.exe によって Win ###### dows の仕組みで次に実行される Wordpad.exe の代わりに CenterHelpWriter.exe が実行されるように設定しています ( 図 29)。 図 29. write.exe の実行により CenterHelpWriter.exe が実行される仕組み ----- マルウェアによる ASEP 痕跡を調査するのに便利なツールに、 ###### Sysinternals の Autoruns[33] があります。Autoruns ツールのデフォ ルト設定では、Microsoft 社の正規の Windows プログラム(ワー ドパッドなど)を表示しないため、Hide Windows Entries の チェック外して痕跡を確認する必要があります ( 図 30)。 ###### 図 30. AutoRuns ツールで表示した write.exe 最終的に CenterHelpWriter.exe が、引数なしで実行されると、 ###### youtube[.]saaszebra[.]top と通信を開始します。通信の特徴は、固 定の User-Agent 値”Mozilla/5.0 (compatible; MSIE 10.0; ###### windows NT 6.2; WOW64; Trident/6.0)”を使い、UpHeart.asp の URI に対して POST 通信を行います ( 図 31)。通信が成功する と、DownloadShell.asp?Logos= の URI に対して通信を行い、 シェルコードをダウンロードしてメモリ上で実行します。 ###### 図 31. Upheart の C2 への POST 通信 33 Windows Sysinternals徹底解説 改訂新版 (マイクロソフト公式解説書) p. 117 ----- また、DragonOK グループは QQ で取得した一つのメールアドレスで複数のドメインを取得しており、そのうちの一部が実際の攻撃に使わ れたことを確認しています。(図 32) ###### 図 32. DragonOK グループが取得したドメイン ----- ## 攻撃グループごとの TTPs ( 戦術、技術、手順 ) 攻撃グループごとの TTPs と標的組織を表で大まかに整理します。 ----- ## TTPs より考察する脅威の検出と緩和策 ###### 2018年度上期の脅威レポート[34]に、上期に観測された攻撃グル ープを分析した各フェーズでの検出と緩和策を記載しています。 その検出と緩和策は、下期に観測された攻撃グループにも有効な ものがありますが、下期に観測されたグループの特徴をベースに 脅威の特徴と検出ならびに緩和策を記載します。 ###### マルウェアの配送について 2018年度上半期の日本を狙った標的型攻撃で観測されたスピア フィッシングメールの特徴には、メールの添付ファイルにマクロ のついたOfficeファイルを利用するケースが多く観測されました 。一方、下期に日本企業の海外拠点で観測された標的型攻撃のス ピアフィッシングメールの特徴は異なり、本文中のURLリンクや 履歴書を装った添付ファイルにTemplate Injectionを用いたもの でした。日本側のセキュリティチームが海外拠点を管理している 場合は、海外向けには別の傾向でのメール訓練や注意喚起が必要 であると思われます。 ###### 攻撃について Officeのゼロデイ攻撃や新しい脆弱性を悪用した攻撃は観測され ていませんが、攻撃者の侵入し易さをコントロールするという点 で、日常的なパッチマネージメントは有効な緩和策になると思わ れます。 ###### インストールされる RAT、遠隔操作 (C&C について ) 下期に観測されたTickのRATローダー、OceanLotusのダウンロ ーダー、DragonOKのUpheartと、異なるグループの3つの攻撃 ツールの共通点に、コマンド実行やファイルのアップロードなど ###### RATとしての機能は、C2からダウンロードしたデータをメモリ 上で実行して初めて発現する事があります。攻撃者は、RAT由来 の機能を攻撃時以外は曝さないよう注意していると思われ、 ###### OPSECが強化されていると思われます。更に、TickのRATロー ダーとDragonOKのUpheartでは、商用のVMProtectツールを使 ったアンチリバースエンジニアリング対策が施されていました。 メモリ上の実行コードにも、関数アドレスや文字列の秘匿と、ジ ャンクコードなどの複雑な難読化が施され、リバースエンジニア リングの分析に多くの時間が必要になるようコードの保護が強化 されています。しかしながら、現在のところ、インシデントレス ポンスや脅威の検出においては、攻撃者の変更が難しい (もしく は注意が行き届いていない)と思われる、TickグループDatperの ###### Mutex値やUser-Agent値、DragonOKのUser-Agent値などがあ り、攻撃者のRATやC&C通信の特徴を利用する事で脅威の検出が 可能です。 ###### 侵入拡大・目的実行 下期に検出されたTickのDLLローダーが利用された一連の攻撃と ###### OceanLotusによる攻撃は、EDRの監視ログを積極的に分析する ハンティングにより攻撃が発見されました。一般に、EDR群の製 品が持つ脅威度の高い検知パターンとしては、MITER ATT&CK の攻撃の足場をつくる[35] (Initial Access/Execution/Per ###### sistence/Privilege Escalation/Defense Evasion)フェーズが多く 、攻撃者が足場づくりのフェーズを経て、遠隔操作で正規コマン ドを使って内部での移動をし始めると、製品が持つ検知パターン では攻撃の発見が難しくなる傾向があると思われます。特に標的 型攻撃がEDR製品の導入前に始まっていたケースでは、足場をつ くるフェーズが完了しているため、製品が持つ検知パターンでの 検出漏れが懸念されます。EDR群の製品を導入した場合には、定 期的に収集したログに含まれる表4の正規コマンドの実行状況や そのコマンドがIT技術者以外の所有する端末によって頻繁に実行 されていないかどうかといった視点で分析して、攻撃の検出漏れ がないように注意して頂ければと思います。 34 35 日本を狙うサイバーエスピオナージ (標的型攻撃)の動向2018年度上期 https://www.macnica.net/mpressioncss/report.html/ https://attack.mitre.org/ ----- ## スレットハンティングの必要性 攻撃者にとって、ターゲット組織にセキュリティ対策が実装さ れていることは百も承知です。アンチウイルス等のレガシーな対 策はもちろん、サンドボックス等の比較的新しい対策が導入され ていることも攻撃者はよく知っています。これらのいわゆる“セ ンサー”による検知を回避するために、攻撃者が様々なテクニッ クを使ってくることは前述の攻撃キャンペーンの解説で記載した 通りです。センサーには、シグネチャー、振る舞い検知技術など の様々なパターンドリブンな検出方法が使われていますが、セン サーによる検知を回避し潜伏する脅威に対してはヒューマンドリ ブンな検出方法を採用する必要があります。 センサーによるパターンドリブンな検出が悪性(Malicious)な 攻撃痕跡だけを拾い上げるのに対し、ヒューマンドリブン、つま り人間(アナリスト)による検出は、パターンドリブンなアプロ ーチでは誤検知のリスクがあって検出対象とならない痕跡を、分 析対象として積極的に拾い上げることからスタートします。具体 的には、次のような観点で分析対象を選定します。 - わしき痕跡を見つける。 例えば、Windows標準コマンドの実行、Sticky Keysによるバッ クドアなどは、ユーザが意図的に実施したもので無害なものかも しれませんが、攻撃の痕跡かもしれません。 - れ値に着目する。 例えば、組織内の端末5000台のうち、2台の端末だけで動作して いるデジタル署名がないプロセスは、たまたま2人の従業員だけ が使っている正規ツールかもしれませんし、マルウェアかもしれ ません。または組織内の1台の端末だけがアクセスしている宛先 のIPアドレスが、ダイナミックDNSサービスで最近登録されたホ スト名と紐づいているのは正規業務によるものかもしれませんが 、マルウェアによる通信かもしれません。 こういった疑わしい兆候を分析した結果、良性(無害)と判定さ れるものもあれば、マルウェアによる痕跡と判定されるものもあ ります。疑わしい兆候を、良性か悪性かを判定できるのは人間( アナリスト)だけです。アナリストによるヒューマンドリブンな 検出アプローチ、すなわちスレッドハンティングだけが、長期間 に渡って潜伏するステルス性の高い脅威を検出することができる のです。 ----- ## 検知のインディケータ ###### Tick/Bronze Butler ----- ----- ###### OceanLotus/APT32 ----- ----- ###### DragonOK ----- ###### 第2 版 本社 西日本営業所 〒222-8562 横浜市港北区新横浜1-5-5 TEL.045-476-2010 FAX.045-476-2060 〒530-0005 大阪市北区中之島2-3-33 大阪三井物産ビル 14階 TEL 06-6227-6916 FAX 06-6227-6917 2019年4月 © Macnica Networks Corp. - ホワイトペーパーに掲載されております社名および製品名は、各社の商標および登録商標です。 -----