本日お話すること 標的型攻撃の実例 レスキュー活動から実際の例を紹介 初動調査支援の紹介 インシデント発生時におこなうべき調査 = 初動調査 初動調査の概要を解説 後半は サイバーレスキュー隊技術レポート 2017 からの記載が主となっています <

標的型攻撃の実例と

初動調査支援の紹介

～サイバーレスキュー隊（J-CRAT）の活動を通じて～

2018年5月9日,10日,11日

独立行政法人情報処理推進機構

技術本部 セキュリティセンター

情報セキュリティ技術ラボラトリー

サイバーレスキュー隊

本日お話すること

• 標的型攻撃の実例

– レスキュー活動から実際の例を紹介

• 初動調査支援の紹介

– インシデント発生時におこなうべき調査＝初動調査 – 初動調査の概要を解説

<https://www.ipa.go.jp/security/J-CRAT/report/20180329.html>

後半は「サイバーレスキュー隊技術レポート2017」

からの記載が主となっています。

標的型攻撃の実例

レスキュー活動での事例をベースに

標的型攻撃の進み方例

攻撃者

標的組織

③送付

①ウイルス作成

②メール作成

・宛先

・文面

④感染＋永続化

⑤C2サーバ通信

⑥情報収集

・メールデータ

・PCログインID/Pass

・ファイルサーバデータ窃取

・AD管理者権限 ⑦横移動

C2サーバ

RAT（Remote Access Tool）を使い C2（Command and Controll）

サーバと通信する

攻撃拡大のため、攻撃者は 組織内ネットワークを横移動する

RAT

マルウェアは感染後、

永続化（自動実行）する

標的型攻撃の実例

この PC は何年も前から感染しています

この PC は複数のマルウェアに感染しています 標的型攻撃は業界単位でもおこなわれます 標的型攻撃は個人単位でもおこなわれます メール乗っ取りで攻撃に加担してしまった

標的型攻撃は何度もやってきます ＋ファイルレス攻撃

が増えています！

長期感染

 標的型マルウェアに感染したまま、長期間放置されている ケースが非常に多い

攻撃者は必ずしも活動完了 後に、その痕跡をキレイに 消していくわけではない

感染 PC と C2 サーバの 定期通信（ビーコン）が

残された状態が 継続されている

<http://www.ipa.go.jp/security/J-CRAT/report/20170127.html>

参考）分析レポート2016 長期感染の実態

複数のマルウェア

 ダウンローダー

 RAT

 権限奪取ツール（複数）

 カスタマイズツール（複数）

 カスタマイズスクリプト（複数）

 Microsoft管理ツール

フォルダ名 ファイル名

¥ProgramData taskeng.exe

¥ProgramData¥F3 googleUpdate.exe goopdate.dll goopdate.dll.map NVSmart.hlp

¥ProgramData¥SxS bug.log

¥Users¥Public¥Videos wce.EXE gsecdump.exe TIOR64.exe

Win7Elevate64.exe Win7ElevateDll64.dll tior.exe

domain.exe ss.vbs u.bat ss.bat server.vbs h.bat

¥Users¥＜ユーザー名＞

¥AppData¥Local¥Temp 1.exe

標的型マルウェア感染している場合 は、ツールも含めて複数のマルウェ アに感染していることが多い。

ツール類は広く出回っているものも あるため、ウイルス対策ソフトで検 知されるケースもある。

１台の PC に 16 個のマル

ウェアとツールが設置

：オペレーション

 同一の攻撃者と思われる標的型攻撃を追跡し、2015年11月～2016年3月 までに137件の攻撃メールを収集（まとまった攻撃をキャンペーンと呼ぶ）

 共通点を有する業界団体（8団体）を介して、執拗に攻撃を行っている

 企業等の正規アカウントを乗っ取り、踏み台にして送るケースが殆どである

 本文の類似性の他、ウイルスの添付方法、ウイルスの挙動などが同一である

このキャンペーンは、16の オペレーションで構成

<http://www.ipa.go.jp/security/J-CRAT/report/20160629.html>

本キャンペーンで悪用された業界団体は主に

製造業に関わるは8団体、一般企業を狙った40通の内 37通は同一業界で、ある特定の製造業（44組織）

を狙った攻撃であることが分かった。

宛先 メール件数 組織数

業界団体

企業・製造業

企業・卸売業

企業・ソフトウェア業

個人・フリーメール

不明

総計

業界単位で行われる攻撃

参考）分析レポート2015

特定業界を執拗に狙う攻撃キャンペーンの分析

個人でも感染・狙われる

• 標的型マルウェアが「個人利用PC」で発見され るケースが散見

– 背景としては

• 組織メールを自宅メールに転送

• クラウドサービスによる自宅での利用

– 個人利用メールがターゲットになっているケースも

• やり取り型のケースも

• 個人利用の場合、組織利用に比べて、対策や体制が脆弱

職歴・所属団体から標的とされた可能性

メール乗っ取りで攻撃に加担

• 標的メールはどんなアドレスから送信されるか

– 実在人物の名前＋フリーメールは今もある

– メールが乗っ取られて送信されているケースも

• クラウド系サービスの乗っ取りも増加

分析レポート2015より

<http://www.ipa.go.jp/security/J-CRAT/report/20160629.html>

例）

サイバー分析レポート2015の事案では、

94%が不正利用での送付だった。

フリーメールは単発送信、企業メール

は一斉送信と使い分けていたと思われ

る。

何度もやってくる

• 1台のPCから3つの標的型マルウェア感染が発見 された例

– 2013年後半にPlugxに感染 （ウイルス対策ソフト検出）

– 2015年に別のPlugxに感染

– 2017年1月に新型マルウェアに感染

• 何度も攻撃されるケースは大変多い

Plugxは2012年頃から観測されており、現在 でも多くの亜種が発見されている。

新型マルウェアは2016年後半から観測され

Plugx（初期型） たもの。

Plugx（別種）

新種マルウェア

こんな感染例も

 Windows10へアップグレード後も感染継続していた

Win7 Win10

 PCリプレース後も仮想マシンが感染継続していた

旧PC

Win7

新PC

Win7

アップグレード

PCリプレース

仮想マシンを起動した

タイミングでC2サーバと通信 永続化した記録を見ると

Windows7時代に感染

Mac ＋ Paralles での感染事例

もあり

本当に増えている

「ファイルレス攻撃」

• ファイルレス攻撃

– マルウェア等の実ファイルを生成しない攻撃。スク リプトのリモート実行や、攻撃コードをレジストリ に保存する等の手法を使うことで検知を回避。

– 特にWindowsOS標準スクリプト言語Powershellを 使った攻撃が増加。

• PowershellベースのRATがリリース、利用された攻撃事例 も。

• リモートリポジトリを利用するケースも増加。

今後ますます増加が予測さ

れています

参考）バージョンで違う

Powershellのイベントログ

• PowerShellのバージョンによって残せるイベントログに 大きな違いがある。

– Windows7（PS2.0）では、Powershellが動作した程度のログし か残らないが、Windows10（PS5.0）では、PowerhShellのコ マンドレベルのログが残せる。

– デフォルトでもある程度残せるが、Windows10用管理用テンプ レート（ADMX）の適用でより多くを取得可能。

パスやコマンドが

詳しく記録される

初動調査支援の紹介

インシデント発生時に何をすればよいか

調査とフェーズ

境界線

初動調査

一般的なPC調査と対処の例

イベン トログ

アプリ ケー ション

ログ フルス

キャン

ネット ワーク

抜線 初期化

ディス クフォ レン ジック ディス

ク保全

起動 プロセ

ス

ウイル ス検知 ログ

最近は

ファストフォレンジック ライブフォレンジックも

対処

調査

時間の経過

調査の粒度

初動調査の位置付け

イベン トログ

初期化

ディス クフォ レン ジック ディス

ク保全

起動 プロセ

ス 対処

調査

時間の経過

調査の粒度 初動

ライブフォレンジックの 調査

手法＋標的型攻撃の特性を 取り入れた調査

ギャップを埋めて 効率的な調査に

アプリ ケー ション

ログ フルス

キャン

ウイル ス検知 ログ

ネット

ワーク

抜線

参考）感染が判明した場合は 同件調査に使える

実行 痕跡

感染が 判明

同じ痕跡はないか？

効率的な調査ができる 感染が判明＝実行痕跡や生成

ファイル、通信先が判明 初動

調査

生成 ファイ

ル

通信先

標的型攻撃マルウェアの 感染特性は4つ+1

永続化 外部通信 偽装 感染頻出

箇所

マルウェアを 自動的に起動

する設定

場所や名称を正 規のものに偽装

する

感染や攻撃に使 いやすい箇所が

ある マルウェアは

C2サーバと通 信を行う

感染契機

マルウェア感染に

は「契機」が必要

WindowsOSには実行痕跡を残 す機能が豊富

実行痕 跡

感染の契機や ツールの実行痕跡

レジストリ キャッシュ

アプリケーションログ

エラー処理

感染契機

マルウェア感染に は「契機」が必要

タイムスタンプ

イベントログ

初動調査＝標的型攻撃の特性と実 行痕跡を収集し評価する

永続化

偽装 外部

通信

感染頻 出箇所

レジストリ レジストリ

ファイル一覧

タスクスケジューラ

ファイル一覧 キャッシュ

接続状況

タスクスケジューラ

4つの情報をそれぞれ適した方法で収集し、

偽装や不審な点がないかを評価する 実行 痕跡

Windows OS標準コマンドで情報収集

情報収集（１）

永続化と外部通信

設定箇所 内容

スタートアップ起動プログラム OS 起動時に自動起動されるプログラム

サービス起動プログラム OS 起動時にサービスとして起動されるプログラム スタートアップフォルダ ユーザーがログオン時に自動起動されるプログラム タスクスケジューラ 設定された時間に自動起動されるプログラム

代表的な永続化設定箇所

外部通信情報が残る箇所

収集対象 内容

DNS キャッシュ PC の DNS リゾルバのキャッシュ

ネットワーク接続情報 現在のネットワーク接続状態

情報収集（２）

実行痕跡

実行痕跡 内容と方法

Prefetch Files アプリケーション起動時の各種情報をファイルとして保持。

C:¥Windows¥Prefetch フォルダにファイル名 - フルパスハッシュ値 .pf として作成される。ファイル名取得と更新日による実行判断と 実行日付が推測できる。さらに、 pf ファイルそのものを解析する と、起動時の読み込みファイルや実行回数等を確認できる。 128 個保存される。

最近使ったファイル エクスプローラー経由で「使った」ファイル名から

C:¥Users¥%USERNAME%¥AppData¥Roaming¥Microsoft¥Window s¥Recent フォルダにファイル名 .lnk ファイルが作成される。開封 判断に利用できる。

最近使った Office ドキュメント Office ドキュメントを「使った」ファイル名から、

C:¥Users¥%USERNAME%¥AppData¥Roaming¥Microsoft¥Office¥R ecent フォルダにファイル名 .lnk ファイルが生成される。

AppCompatCache アプリケーション実行時のキャッシュ情報としてレジストリに保

持している。フルパスを含む実行ファイル名、最終更新日、サイ ズ、ファイルの実行可否が記録される。 1024 個保存される。

UserAssist エクスプローラー経由で実行したプログラム情報をレジストリに

保持している。

RunMRU 「ファイル名を指定して実行」で実行したプログラム情報をレジ

ストリに保持している。

TypedURLs InternetExplorer でアクセスした直近の URL が保持されている。 25

代表的な実行痕跡箇所

実行痕跡はこんな形で残る

A.XLSX を 開いた

PreFetch

最近使った ファイル

C:¥Windows¥Prefetch フォル ダに EXCEL.PF が生成・更新

タイムスタンプ

C:¥Users¥%USERNAME%¥A ppData¥Roaming¥Microsoft

¥Office¥Recent フォルダに A.LNK が生成

タイムスタンプ 例）Excelファイル

を開いた

ファイルとして

生成される痕跡

情報収集（３）

感染頻出箇所

環境変数等 実フォルダ例

%TEMP% C:¥Users¥%USERNAME%¥AppData¥Local¥Temp

%PROGRAMDATA%

%ALLUSERSPROFILE% C:¥ProgramData

%APPDATA% C:¥Users¥%USERNAME%¥AppData¥Roaming

%LOCALAPPDATA% C:¥Users¥%USERNAME%¥AppData¥Local

%PUBLIC% C:¥Users¥Public

代表的な感染頻出箇所

管理者権限でなくてもファイル配置が可能な箇所が狙われやすい C:¥ドライブ直下にあるフォルダもツール置き場としてよく使われる

このような標的型攻撃マルウェアが痕跡を残しやすい

「設定」「状態」「場所」等の情報を収集していきます

情報収集の例（１）永続化設定

コマンド例

reg query HKLM¥SYSTEM¥currentControlSet¥services /s

実行例

HKEY_LOCAL_MACHINE¥system¥CurrentControlSet¥Services¥AdobeARMservice Type REG_DWORD 0x10

Start REG_DWORD 0x2

ErrorControl REG_DWORD 0x0

ImagePath REG_EXPAND_SZ "C:¥Program Files¥Common Files¥Adobe¥ARM¥1.0¥armsvc.exe"

DisplayName REG_SZ Adobe Acrobat Update Service ObjectName REG_SZ LocalSystem

Description REG_SZ Adobe Acrobat Updater

はアドビソフトウェアを最新の状 態に保ちます。

コマンド例 schtasks /fo CSV /query /v

実行例

"TESTPC","¥Adobe Acrobat Update Task","2018/01/28 12:00:00","

不明

対話型

バックグラウンド

Incorporated","C:¥Program Files¥Common

Files¥Adobe¥ARM¥1.0¥AdobeARM.exe ","N/A","This task keeps your Adobe Reader and Acrobat applications up to date with the latest enhancements and security fixes","

有効

無効

バッテリ モードで停止

バッテリで開始しない

「どのファイル」を サービスとして起動

させているか

「どのファイル」を

スケジュール起動さ

情報収集の例（２）実行痕跡

コマンド例（ファイル作成日でソート）

dir /od /tc C:¥Windows¥PreFetch¥

実行例（ファイル作成日でソート）

dir /od /tc C:¥Windows¥PreFetch¥

2015/11/10 17:24 9,778 CMD.EXE-4A81B364.pf 2015/11/30 13:14 15,424 DEFRAG.EXE-588F90AD.pf

コマンド例

dir C:¥Users¥%USERNAME%¥AppData¥Roaming¥Microsoft¥Office¥Recent

ファイル例

C:¥Users¥user01¥AppData¥Roaming¥Microsoft¥Office¥Recent

のディレクトリ

2018/03/22 18:25 <DIR> ..

2018/03/22 18:25 1,165 Templates.LNK 2018/03/22 18:24 1,051 TEST-PPT.LNK 2018/03/22 18:25 1,056 TEST-WORD.LNK 2018/03/22 18:25 905

デスクトップ

過去に実行した ファイル名の一覧

過去に開いたOffice ドキュメントの一覧

ご注意）全ての実行が記録されているわけではありません。

評価の手順（１）

解析・抽出・絞込み

収集した情報 ^解析 _抽出 ^要確認 _情報

公開情報 との比較

不 審 点

収集した情報を解析

（可読化）して要確認 情報を抽出

要確認情報を公開情報や既 知情報との比較、またはそ の他情報から類推されるこ

とから不審点を抽出

その他 情報から類推

既知情報 との比較

特性を考慮して抽出 比較と類推で絞込む

評価の手順（２）

不審点を起点に見直す

収集した情報 ^解析 _抽出 ^要確認 _情報

公開情報 との比較

その他 情報から類推

既知情報 との比較

不 審 点

不審点から 類推

不審点が抽出されると、その内容や時間情報などか ら、関係のありそうな情報を類推し、さらなる不審

点の抽出や不審点の確実性を高めていく

不審点を起点に情報を見直す

評価の例 永続化設定の場合

HKEY_CURRENT_USER¥Software¥Microsoft¥Windows¥CurrentVersion¥Run taskeng REG_SZ "C:¥ProgramData¥taskeng.exe"

"taskeng.exe" は WindowsOS 標準のファイルで、スケジュールされたタスクの 実行をおこなう。配置場所は "C:¥Windows¥System32"

"C:¥ProgramData"は「感染頻出箇所」 （要確認情報として抽出）

"C:¥ProgramData"の直下にファイルが置かれる例は少ない 公開情報から

特性・知見から 収集した情報

評価 知見から

この永続化設定は偽装している可能性が高いので「不審」

自動的に外部通信をおこなっていないか？

この永続化設定はいつおこなわれたか？

同じ設定が他のPCにないか？

参考）

攻撃遷移と実行痕跡の例

①攻撃メール受信

②添付ファイル実行 A.zip

B.txt.lnk

C.hta

D.job

③ダウンロード

⑥永続化（RAT）

④RAT実行

⑤リモートスクリプト実行

①16:30受信 2017/8/24

②16:39実行

16:40実行

③16:40ダウンロード と実行

④16:46～実行

⑤16:48～実行

⑥23:14タスクスケ ジューラ登録

実行するとリンクファイル が生成

実行するとC.htaをダウン ロードし実行

Recent

(最近使ったファイル）

UserAssist

Prefetch

（イベントログ）

タスクスケジューラ

実行痕跡

まとめ

標的型攻撃マルウェアの感染には特性がある

「永続化」「外部通信」 「偽装」 「感染頻出箇所」

これらを組み合わせて調査すると感染や痕跡を発見 できる可能性がある

WindowsOSは多くの種類の「実行痕跡」を残す機能

がある

最後に

http://www.ipa.go.jp/security/tokubetsu/

情報提供が攻撃対策に

～サイバー空間利用者みんなの力をあわせて対抗力を～

• 標的型攻撃を受けた可能性がある場 合はぜひ「標的型サイバー攻撃特別 相談窓口」へご相談ください。

• 対応済みの過去の標的型攻撃でも重 要な情報である可能性があります。

ぜひ情報提供をお願いします。

標的型サイバー攻撃特別相談窓口

電話 03-5978-7599

(対応は、平日の10:00～12:00 および13:30～17:00) E-mail [email protected]

IPAへご相談ください！