サイバーレスキュー隊の活動イメージ JPCERT/CC アンチウイルスベンダ 別機関等 相談者 公的機関 業界団体社団 財団 重要産業関連企業 リサーチャ 情報提供相談 レスキュー支援 情報発信 公開情報 標的型サイバー攻撃特別相談窓口 公開情報の分析 収集 情報提供 サイバーレスキュー隊 (J-C

標的型攻撃の実際と初動調査の紹介

～WindowsOS標準コマンドで調べる攻撃痕跡～

2018年10月18日

独立行政法人情報処理推進機構

セキュリティセンター

標的型攻撃対策グループ

サイバーレスキュー隊

サイバーレスキュー隊の活動イメージ

公的機関

業界団体社団・財団

重要産業関連企業

標的型サイバー攻撃 特別相談窓口

公開情報の 分析・収集

サイバーレスキュー隊

(J-CRAT)

サイバーレスキュー活動

公開情報

JPCERT/CC

レスキュー支援

アンチウイルスベンダ

リサーチャ 技術連携

別機関等

支援内容

検体解析

攻撃・被害の 可視化 攻撃・被害の

把握

関連情報追跡

情報提供 情報提供相談

相談者

情報発信

ケース１

ケース２ ケース３

着手アプローチ

本日お話すること

• 標的型攻撃の実際

– レスキュー活動から実例を紹介

• 初動調査の紹介

– インシデント発生時におこなうべき調査＝初動調査 – 初動調査の概要を解説

<https://www.ipa.go.jp/security/J-CRAT/report/20180329.html>

後半は「サイバーレスキュー隊技術レポート2017」からの記載が主となっています。

標的型攻撃の実際

レスキュー活動での事例をベースに

標的型攻撃の進み方例

攻撃者

標的となった組織

③送付

①ウイルス作成

②メール作成

・宛先・文面

④感染＋永続化

⑤C2サーバ通信

⑥情報収集

・メールデータ

・PCログインID/Pass

・ファイルサーバデータ窃取

・AD管理者権限

⑦横移動

C2サーバ

RAT（Remote Access Tool）を使い C2（Command and Controll）

サーバと通信する

攻撃拡大のため、攻撃者は 組織内ネットワークを横移動する

RAT

マルウェアは感染後、

永続化（自動実行）する

標的型攻撃の実際

この PC は何年も前から感染しています

この PC は複数のマルウェアに感染しています 標的型攻撃は業界単位でもおこなわれます

標的型攻撃は個人単位でもおこなわれます メール乗っ取りで攻撃に加担してしまった

標的型攻撃は何度もやってきます ＋ファイルレス攻撃が増

えています！

長期感染

 標的型マルウェアに感染したまま、長期間放置されているケースが 非常に多い

攻撃者は必ずしも活動完了後に、

その痕跡をキレイに消していく わけではない

感染 PC と C2 サーバの定期通信

（ビーコン）が残された状態が継 続されている

<http://www.ipa.go.jp/security/J-CRAT/report/20170127.html>

参考）分析レポート2016 長期感染の実態

複数のマルウェア

 ダウンローダー

 RAT

 権限奪取ツール（複数）

 カスタマイズツール（複数）

 カスタマイズスクリプト（複数）

 Microsoft管理ツール

フォルダ名 ファイル名

¥ProgramData taskeng.exe

¥ProgramData¥F3 googleUpdate.exe goopdate.dll goopdate.dll.map NVSmart.hlp

¥ProgramData¥SxS bug.log

¥Users¥Public¥Videos wce.EXE gsecdump.exe TIOR64.exe

Win7Elevate64.exe Win7ElevateDll64.dll tior.exe

domain.exe ss.vbs u.bat ss.bat server.vbs h.bat

¥Users¥

＜ユーザー名＞

¥AppData¥Local¥Temp 1.exe

標的型マルウェア感染している場合は、ツー ルも含めて複数のマルウェアに感染している ことが多い。

ツール類は広く出回っているものもあるため、

ウイルス対策ソフトで検知されるケースもあ る。

１台の PC に 16 個のマル

ウェアとツールが設置

：オペレーション

 同一の攻撃者と思われる標的型攻撃を追跡し、2015年11月～2016年3月までに137件 の攻撃メールを収集（まとまった攻撃をキャンペーンと呼ぶ）



共通点を有する業界団体（8団体）を介して、執拗に攻撃を行っている



企業等の正規アカウントを乗っ取り、踏み台にして送るケースが殆どである



本文の類似性の他、ウイルスの添付方法、ウイルスの挙動などが同一である

このキャンペーンは、16回のオペレーションで構成

<http://www.ipa.go.jp/security/J-CRAT/report/20160629.html>

本キャンペーンで悪用された業界団体は主に

製造業に関わるは8団体、一般企業を狙った40通の内37通は同 一業界で、ある特定の製造業（44組織）を狙った攻撃であること が分かった。

宛先 メール件数 組織数

業界団体

86 8

企業・製造業

37 27

企業・卸売業

2 1

企業・ソフトウェア業

1 1

個人・フリーメール

9 7

不明

2 -

総計

137 44

業界単位で行われる攻撃

参考）分析レポート2015特定業界を執拗に狙う攻撃キャンペーンの分析

個人でも感染・狙われる

• 標的型マルウェアが「個人利用PC」で発見されるケースが 散見

– 背景としては

• 組織メールを自宅メールに転送

• クラウドサービスによる自宅での利用

– 個人利用メールがターゲットになっているケースも

• やり取り型のケースも

• 個人利用の場合、組織利用に比べて、対策や体制が脆弱

職歴・所属団体から標的とされた可能性

メール乗っ取りで攻撃に加担

• 標的メールはどんなアドレスから送信されるか

– 実在人物の名前＋フリーメールは今もある

– メールが乗っ取られて送信されているケースも

• クラウド系サービスの乗っ取りも増加

分析レポート2015より

<http://www.ipa.go.jp/security/J-CRAT/report/20160629.html>

例） サイバー分析レポート2015の事案では、94%が不正 利用での送付だった。

フリーメールは単発送信、企業メールは一斉送信と使

い分けていたと思われる。

何度もやってくる

• 1台のPCから3つの標的型マルウェア感染が発見された例

– 2013年後半にPlugxに感染 （ウイルス対策ソフト検出）

– 2015年に別のPlugxに感染

– 2017年1月に新型マルウェアに感染

• 何度も攻撃されるケースは大変多い

Plugxは2012年頃から観測されており、現在でも

多くの亜種が発見されている。

新型マルウェアは2016年後半から観測されたもの。

Plugx（初期型）

Plugx（別種）

新種マルウェア

こんな感染例も

 Windows10へアップグレード後も感染継続していた

Win7 Win10

 PCリプレース後も仮想マシンが感染継続していた

旧PC

Win7

新PC

Win7

アップグレード

PCリプレース

仮想マシンを起動した

タイミングでC2サーバと通信 永続化した記録を見ると

Windows7時代に感染

Mac ＋ Paralles での感染事例 もあり

稼動しているOS＝感染する可能性

本当に増えている

「ファイルレス攻撃」

• ファイルレス攻撃

– マルウェア等の実ファイルを生成しない攻撃。スクリプトのリ モート実行や、攻撃コードをレジストリに保存する等の手法を使 うことで検知を回避。

– 特にWindowsOS標準スクリプト言語Powershellを使った攻撃が 増加。 • PowershellベースのRATがリリース、利用された攻撃事例も。

• リモートリポジトリを利用するケースも増加。

今後ますます増加が予測

されています

参考）バージョンで違うPowershell のイベントログ

• PowerShellのバージョンによって残せるイベントログに大きな違 いがある。

– Windows7（PS2.0）では、Powershellが動作した程度のログしか残らない が、Windows10（PS5.0）では、PowerhShellのコマンドレベルのログが残 せる。

– デフォルトでもある程度残せるが、Windows10用管理用テンプレート

（ADMX）の適用でより多くを取得可能。

パスやコマンドが 詳しく記録される

初動調査の紹介

インシデント発生時に何をすればよいか

標的型攻撃調査の難しさ

感染拡大は「どこまで」なのかわからない

必ずしも全台拡大、全サーバ侵害とは限らない

この PC は感染したの？ _or

標的型攻撃調査全体例

多 い

調査とフェーズ

境界線

初動調査

一般的なPC調査と対処の例

イベントログ

アプリケー ションログ フルスキャン

ネットワーク

抜線 初期化

ディスクフォ ジックレン ディスク保全

プロセ起動 ス

ウイルス検知 ログ

最近はファストフォレンジック ライブフォレンジックも

対処

調査

時間の経過

調査の粒度

初動調査の位置付け

イベントログ

初期化

ディスクフォ ジックレン ディスク保全

プロセ起動 ス

時間の経過

調査の粒度

初動 調査

ライブフォレンジックの 手法＋標的型攻撃の特性を

取り入れた調査

ギャップを埋めて 効率的な調査に

アプリケー ションログ フルスキャン

ウイルス検知 ログ

ネットワーク

対処

抜線

調査

標的型攻撃マルウェアの 感染特性は4つ+1

マルウェアを 自動的に起動

する設定

場所や名称を正 規のものに偽装

する

感染や攻撃に使 いやすい箇所が

ある マルウェアは

C2サーバと通

信を行う

感染契機

重要

永続 化 外部 偽装 通信

感染 頻出

箇所

WindowsOSには実行痕跡を残す機能が豊富

実行 痕跡

感染の契機や ツールの実行痕跡

レジストリ キャッシュ

アプリケーションログ

エラー処理

感染契機

マルウェア感染に は「契機」が必要

タイムスタンプ

イベントログ

初動調査＝標的型攻撃の特性と実行痕跡を収 集し評価する

永続 化

偽装 外部 通信

感染 頻出 箇所

レジストリ レジストリ

ファイル一覧

タスクスケジューラ

ファイル一覧 キャッシュ

接続状況

タスクスケジューラ

4つの情報をそれぞれ適した方法で収集し、

偽装や不審な点がないかを評価する

実行 痕跡

情報収集（１）

永続化と外部通信

設定箇所 内容

スタートアップ起動プログラム

OS

起動時に自動起動されるプログラム

サービス起動プログラム

OS

起動時にサービスとして起動されるプログラム スタートアップフォルダ ユーザーがログオン時に自動起動されるプログラム タスクスケジューラ 設定された時間に自動起動されるプログラム

代表的な永続化設定箇所

外部通信情報が残る箇所

収集対象 内容

DNS

キャッシュ

PC

の

DNS

リゾルバのキャッシュ ネットワーク接続情報 現在のネットワーク接続状態

情報収集（２）

実行痕跡

実行痕跡 内容と方法

Prefetch Files

アプリケーション起動時の各種情報をファイルとして保持。

C:¥Windows¥Prefetch

フォルダ にファイル名

-

フルパスハッシュ値

.pf

として作成される。ファイル名取得と更新日による実 行判断と実行日付が推測できる。さらに、

pf

ファイルそのものを解析すると、起動時の読み 込みファイルや実行回数等を確認できる。

128

個保存される。

最近使ったファイル

エクスプローラー経由で「使った」ファイル名から

C:¥Users¥%USERNAME%¥AppData¥Roaming¥Microsoft¥Windows¥Recent

フォルダにファイ ル名

.lnk

ファイルが作成される。開封判断に利用できる。

最近使った Office ドキュメン ト

Office

ドキュメントを「使った」ファイル名から、

C:¥Users¥%USERNAME%¥AppData¥Roaming¥Microsoft¥Office¥Recent

フォルダにファイル名

.lnk

ファイルが生成される。

AppCompatCache

アプリケーション実行時のキャッシュ情報としてレジストリに保持している。フルパスを含

む実行ファイル名、最終更新日、サイズ、ファイルの実行可否が記録される。

1024

個保存さ

UserAssist

れる。エクスプローラー経由で実行したプログラム情報をレジストリに保持している。

RunMRU

代表的な実行痕跡箇所

実行痕跡はこんな形で残る

A.XLSX を 開いた

PreFetch

最近使った ファイル

C:¥Windows¥Prefetch フォルダ に EXCEL.PF が生成・更新

27

タイムスタンプ

C:¥Users¥%USERNAME%¥AppD ata¥Roaming¥Microsoft¥Office¥

Recent フォルダに A.LNK が生成

タイムスタンプ 例）Excelファイ

ルを開いた

ファイルとして生成さ

れる痕跡

情報収集（３）

感染頻出箇所

環境変数等 実フォルダ例

%TEMP% C:¥Users¥%USERNAME%¥AppData¥Local¥Temp

%PROGRAMDATA%

%ALLUSERSPROFILE% C:¥ProgramData

%APPDATA% C:¥Users¥%USERNAME%¥AppData¥Roaming

%LOCALAPPDATA% C:¥Users¥%USERNAME%¥AppData¥Local

%PUBLIC% C:¥Users¥Public

代表的な感染頻出箇所

管理者権限でなくてもファイル配置が可能な箇所が狙われやすい C:¥ドライブ直下にあるフォルダもツール置き場としてよく使われる

このような標的型攻撃マルウェアが痕跡を残しやすい

「設定」「状態」「場所」等の情報を収集していきます

情報収集の例（１）永続化設定

コマンド例

reg query HKLM¥SYSTEM¥currentControlSet¥services /s

HKEY_LOCAL_MACHINE¥system¥CurrentControlSet¥Services¥AdobeARMservice

実行例

Type REG_DWORD 0x10

Start REG_DWORD 0x2

ErrorControl REG_DWORD 0x0

ImagePath REG_EXPAND_SZ "C:¥Program Files¥Common Files¥Adobe¥ARM¥1.0¥armsvc.exe"

DisplayName REG_SZ Adobe Acrobat Update Service ObjectName REG_SZ LocalSystem

Description REG_SZ Adobe Acrobat Updater

はアドビソフトウェアを最新の状態に保ちます。

コマンド例

schtasks /fo CSV /query /v

"TESTPC","¥Adobe Acrobat Update Task","2018/01/28 12:00:00","

実行例 不明

","

対話型

/

バックグラウンド

","2018/01/27 17:11:44","0","Adobe Systems Incorporated","C:¥Program Files¥Common

Files¥Adobe¥ARM¥1.0¥AdobeARM.exe ","N/A","This task keeps your Adobe Reader and Acrobat applications up to date with the latest enhancements and security fixes","

有効

","

無効

","

バッテリ モードで停止

,

バッテリで開始しない

","INTERACTIVE","

有効

","72:00:00","

スケジュール データをこ の形式で使用することはできません。

","

ログオン時

","N/A","N/A","N/A","N/A","N/A","N/A","N/A","N/A","N/A"

「どのファイル」を サービスとして起動

させているか

「どのファイル」を スケジュール起動さ

せているか

情報収集の例（２）実行痕跡

コマンド例（ファイル作成日でソート）

dir /od /tc C:¥Windows¥PreFetch¥

実行例（ファイル作成日でソート）

dir /od /tc C:¥Windows¥PreFetch¥

2015/11/10 17:24 9,778 CMD.EXE-4A81B364.pf 2015/11/30 13:14 15,424 DEFRAG.EXE-588F90AD.pf

コマンド例

dir C:¥Users¥%USERNAME%¥AppData¥Roaming¥Microsoft¥Office¥Recent

ファイル例

C:¥Users¥user01¥AppData¥Roaming¥Microsoft¥Office¥Recent

のディレクトリ

2018/03/22 18:25 <DIR> .

2018/03/22 18:25 <DIR> ..

2018/03/22 18:25 1,165 Templates.LNK 2018/03/22 18:24 1,051 TEST-PPT.LNK

過去に実行した ファイル名の一覧

過去に開いたOffice

ドキュメントの一覧

評価の手順（１）

解析・抽出・絞込み

収集した情報

^解析_抽出 ^要確認_情報

公開情報との比較

不審 点

収集した情報を解析（可読

化）して要確認情報を抽出 要確認情報を公開情報や既知情報 との比較、またはその他情報から 類推されることから不審点を抽出

その他情報 から類推 既知情報との比較

特性を考慮して抽出 比較と類推で絞込む

感染頻出箇所 や不審ファイ ルはないか？

評価の手順（２）

不審点を起点に見直し

収集した情報

^解析_抽出 ^要確認_情報

公開情報との比較

不審 点

その他情報 から類推 既知情報との比較

不審点を起点に情報を見直す

不審点と同じ時 間帯や同じ場所 に不審なものは

ないか？

不審点から 類推

評価の例 永続化設定の場合

HKEY_CURRENT_USER¥Software¥Microsoft¥Windows¥CurrentVersion¥Run taskeng REG_SZ "C:¥ProgramData¥taskeng.exe"

"taskeng.exe"

は

WindowsOS

標準のファイルで、スケジュールされたタスクの実行をおこ なう。配置場所は

"C:¥Windows¥System32"

"C:¥ProgramData"は「感染頻出箇所」 （要確認情報として抽出）

"C:¥ProgramData"の直下にファイルが置かれる例は少ない

公開情報から

特性・知見から 収集した情報

評価 知見から

この永続化設定は偽装している可能性が高いので「不審」

自動的に外部通信をおこなっていないか？

この永続化設定はいつおこなわれたか？

同じ設定が他のPCにないか？

参考） 攻撃遷移と実行痕跡の例

①攻撃メール受信

②添付ファイル実行 A.zip

B.txt.lnk

C.hta

③ダウンロード

④RAT実行

⑤リモートスクリプト実行

①16:30受信 2017/8/24

②16:39実行

16:40実行

③16:40ダウンロード と実行

④16:46～実行

⑤16:48～実行

実行するとリンクファイルが 生成

実行するとC.htaをダウン ロードし実行

Recent

(最近使ったファイル）

UserAssist

Prefetch

（イベントログ）

実行痕跡

まとめ

標的型攻撃マルウェアの感染には特性がある

「永続化」「外部通信」 「偽装」 「感染頻出箇所」

これらを組み合わせて調査すると感染や痕跡を発見できる 可能性がある

WindowsOSは多くの種類の「実行痕跡」を残す機能が ある

<https://www.ipa.go.jp/security/J-CRAT/report/20180329.html>

くわしくは「サイバーレスキュー隊技術レポート2017」をどうぞ

最後に

http://www.ipa.go.jp/security/tokubetsu/

情報提供が攻撃対策に

～サイバー空間利用者みんなの力をあわせて対抗力を～

• 標的型攻撃を受けた可能性がある場合は ぜひ「標的型サイバー攻撃特別相談窓 口」へご相談ください。

• 対応済みの過去の標的型攻撃でも重要な 情報である可能性があります。ぜひ情報 提供をお願いします。

標的型サイバー攻撃特別相談窓口

電話

03-5978-7599

(対応は、平日の10:00～12:00

および13:30～17:00)

E-mail [email protected]

J-CRATへご相談ください！