攻撃のタイムライン

3.3.1. 攻撃の段階

これまで記載した各情報を総合的にまとめて、想定される攻撃のタイムライン¹⁰を作成 した。まず、図 3.3-1に攻撃の段階を示す。

図 3.3-1 攻撃の段階

ダウンローダーに初期感染した翌日にPlugXに2次感染し、同日から2日間でパスワー ド奪取ツール等の配置と実行を行う情報奪取を開始している。その後約3週間後に横移動 準備として、各種スクリプトの配置と実行等を行い活動範囲の拡大を図ったと思われる。

それから約2週間の間、いくつかの活動が見られたが、2014年6月末以降は特に目立っ た活動痕跡は見られなかった。

3.3.2. 攻撃の想定タイムライン

表 3.3-1は、攻撃の段階にそれぞれの事象を記載した「攻撃の想定タイムライン」であ る。攻撃者の行動が垣間見られると思う。表の中の表現について補足すると、「配置」は ファイルのMFT情報から、ファイルがそのフォルダに配置されたと考えられる時間を記 し、「生成」はファイルの性質上、何らかの実行結果と思われるファイルの生成と考えら れた時間を記した。「更新」はファイルの更新や値の更新が行われた時間を記している。

10 事象を時系列にならべたもの。

33

表 3.3-1 攻撃の想定タイムライン

日付 内容

2014-05-20 17:37 初期感染。¥Users¥＜ユーザー名＞¥AppData¥Local¥Temp¥1.exeが生成。この タイミングで1.exeが実行され、¥ProgramData¥taskeng.exeは永続化。

2014-05-21 09:52 ツールの配置を開始。

¥Users¥Public¥Videos¥gsecdump.exeが配置される。

2014-05-21 10:01 ¥Users¥Public¥Videos¥wce.exeが配置される。

2014-05-21 10:03: ¥ProgramData¥taskeng.exeでUACイベントが発生。

2014-05-21 10:30～ 2次感染。PlugXの実行環境生成。

¥ProgramData¥F3¥googleUpdate.exe

¥ProgramData¥F3¥goopdate.dll

¥ProgramData¥F3¥ goopdate.dll.map が配置される。

2014-05-21 10:49 ¥ProgramData¥F3¥NvSmart.hlpがウイルス対策ソフトで「Mal_PlugX」として 検出・移動される。PlugXが実行されgoogleUpdate.exeは永続化。

2014-05-21 17:29 ¥ProgramData¥F3¥NvSmart.hlp 更新。

2014-05-22 09:34～ ¥Users¥Public¥Videos¥TIOR64.exe

¥Users¥Public¥Videos¥Win7Elevate64.exe

¥Users¥Public¥Videos¥Win7ElevateDll64.dll

¥Windows¥PSEXESVC.EXEが配置される。

2014-05-22 10:13 ツールによる情報奪取開始。

¥Users¥Public¥Videos¥ PwDump7.exeがWindows Defenderで検知される。

2014-05-23 13:41～ ¥Users¥Public¥Videos¥gsecdump.exe

¥Users¥Public¥Videos¥Win7Elevate64.exe が配置される。

2014-06-04 13:44 ¥Users¥Public¥Videos¥type が生成される。（パスワード奪取を実行）

2014-06-06 10:10 ¥Users¥Public¥Videos¥ptl.aym

¥Users¥Public¥Videos¥ptl.ayx が配置される。

2014-06-09 10:20 ¥Users¥Public¥Videos¥domain.exe が配置される。

2014-06-09 16:23 ¥Program Files (x86)¥AntiVirus¥Client¥SUSPECT¥s.exe が生成される。（ウイルス対策ソフトでの検知）

2014-06-11 14:47 ¥Users¥Public¥Videos¥u.bat が配置される。

2014-06-13 11:14 ¥Users¥Public¥Videos¥h.bat が配置される。

2014-06-13 16:27～ ¥Users¥Public¥Videos¥ss.vbs

¥Users¥Public¥pc.txt

¥Users¥Public¥Videos¥ss.bat が配置される。

34

2014-06-13 16:39～ 奪取した情報をもとに横移動準備を開始。

¥Users¥Public¥Videos¥s.txtが生成される。

Software/Microsoft/WindowsScriptHost/Settings が更新される。（ss.vbsの実行）

2014-06-19 16:18 ¥Users¥Public¥Videos¥server.vbs が配置される。

2014-06-23 17:57 ¥Users¥Public¥Videos¥530.txt が生成される。タスクスケジューラの登録。

2014-06-24 11:15 ¥Windows¥Tasks¥At1.job が生成される。タスクスケジューラのジョブが実行。

2014-06-25 16:50 ¥Users¥Public¥pc.txt が更新される。さらなる横移動準備を開始。

2014-06-26 09:23～ ¥ProgramData¥AYCai¥ptl.aym

¥ProgramData¥AYCai¥ptl.ayx

¥ProgramData¥AYCai¥abcdefghijklmnopqrが配置される。

Software/Microsoft/Windows/CurrentVersion/Runが更新。3つ目のプログラムが 永続化。

2014-06-30 17:52 ¥ProgramData¥AYCai¥itd が配置される。

2014-07-28 10:32 ¥ProgramData¥SxS¥bug.log が生成される。PlugXのクラッシュ。

2014-12-17 14:40 ¥ProgramData¥SxS¥bug.log が生成される。PlugXのクラッシュ。

2014年5月20日に「1.exe」によって初期感染とダウンローダーの永続化が発生、翌 日の5月21日には攻撃ツールの配置とPlugX実行環境の配置、またその翌日にパスワー ド奪取ツールの実行があった。6月4日にはパスワード奪取の実行があり、数日おいて6 月13日に横移動準備のツール配置や実行が行われている。6月23日にタスクスケジュー ラに登録があり、数日後に3つ目のプログラム永続化が行われている。その後いくつか

PlugXの実行記録はあるが、12月17日以降はその痕跡は発見されなかった。初期感染か

らPlugXの配置までが短時間であること、パスワード奪取してからスクリプト配置まで少

し時間をおくことなど、攻撃者の挙動が垣間見られる。

3.3.3. カレンダー

攻撃痕跡のあった日を当時のカレンダーで確認した。2014年5月、6月での攻撃実行日 は、図 3.3-2の通り平日であり、時間もおおよそ一般的な営業時間内での時間である。

35

図 3.3-2 2014/5-6 のカレンダーと攻撃実行日

遠隔操作が主なアクセス方法だったと思われるので、当然といえるが、今回痕跡から発 見された攻撃は平日、営業時間内での活動だったと思われる。

本章では、攻撃者が配置したフォルダやファイルに関する分析、特にバッチファイルや その関連ファイルにはその内容を示し、解説した。また、OSやアプリケーションからの ログ、MFTといったファイルの属性情報を考慮に加えて、攻撃者の攻撃痕跡を時系列に 並べてタイムラインを作成した。

個々の攻撃痕跡については、感染嫌疑時に同じような痕跡がないかを調査する際の参考 にしてほしい。また、組織内のPCで、標的型攻撃の可能性があるセキュリティリスクが 検知された場合は、このタイムラインを参考にして、その前後でこれらの兆候がないかを 確認してほしい。

36