「APT分析」「オープンソースSOAR」「脅威情報ハンティング」、JPCERT/CC のハイエンドカンファレンス JSAC2021 講演資料公開 | ScanNetSecurity
2021.03.08(月)

「APT分析」「オープンソースSOAR」「脅威情報ハンティング」、JPCERT/CC のハイエンドカンファレンス JSAC2021 講演資料公開

一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は2月12日、1月28日にオンライン上で開催した「Japan Security Analyst Conference 2021(JSAC2021)」のレポートと講演資料を公開した。

調査・レポート・白書 調査・ホワイトペーパー
一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は2月12日、1月28日にオンライン上で開催した「Japan Security Analyst Conference 2021(JSAC2021)」のレポートと講演資料を公開した。JPCERT/CCでは、カンファレンスの様子をトラックごとに3回に分けて紹介、第1回は3RD TRACKについてレポートしている。

TeamT5のShui Lee氏、Leon Chang氏による講演「LuoYu, the eavesdropper sneaking in multiple platforms」では、2014年から活動が確認されている中国の新しいAPTグループ「Luoyu」について、攻撃の特徴から、中国、香港、日本、韓国、台湾のテクノロジー企業、メディア、教育機関などの業種を攻撃のターゲットとして活動する中国系の攻撃グループと見ていると紹介。

TeamT5 によると、Luoyuはマルウェアとして、Mac、Linux、Windows、Androidなど、さまざまなプラットフォームを攻撃対象としており、ReverseWindow、WinDealer、SpyDealerを使用する特徴があると述べた。

また、本講演ではマルウェア「ReverseWindow」について、感染した被害者端末の情報をTLV(type-length-value)の形式で加工し、ハードコードされたキーをもとにDESにて暗号化後、C2サーバーに情報を送信しており、2017年からは日本、韓国、台湾のIT企業や香港の大学の研究者をターゲットとした攻撃へと変化、2019年にはAndroidを対象としたReverseWindowが新しく開発され、反体制派を監視する目的で攻撃が行われた事例について解説した。

Fredrik Oedegaardstuen氏による講演「Shuffle the SOC - automating anything, anytime, anywhere」では、セキュリティタスクの自動化プラットフォームでオープンソースのSOAR(Security Orchestration, Automation, and Response)ツールである「Shuffle」について、個々のイベントノードからワークフローを定義し、各イベント間を操作するJSON形式の引数や変数によって保存、表示、別のアプリへのフィードを行い、さらなる処理が行われる仕組みであることを解説、イベントノードは状態や条件によって動作の変更が可能で、より柔軟なフローの構築が可能と述べた。また、ShuffleはWebサービスとしてDocker上で動作するので、Webブラウザ上からアクセスすることで誰でも簡単に利用可能と解説した。

Fredrik 氏は、Shuffleを活用することで、メールの添付ファイルをVirusTotalで検知し、その検知結果をメール送信する作業を自動化可能で、普段のSOC業務で行っている業務を自動化させるだけでなく、 自作のアプリ作成しWeb上へアップロードも可能と紹介した。

株式会社インターネットイニシアティブ 小寺建輝氏による講演「仮想通貨事業者を標的とした攻撃キャンペーンに関する脅威情報のハンティング」では、脅威情報を取得する際に、外部のレポートやSNSによる情報は公開時には既にマルウェアやサーバが使用されなくなっていることが多いことから、VirusTotalやCensys、Shodanなどのサービスを利用した脅威情報のハンティング手法について紹介した。

小寺氏は、仮想通貨事業者を標的とした攻撃キャンペーンをハンティングの対象として、攻撃者によるLNKファイルを使った攻撃手法に着目、YaraルールからVirusTotalを使用してアップロードされたファイルを見つける方法や入手したファイルからC2サーバのハンティングを行った結果について解説した。

その結果、小寺氏はマルウェアのハンティングにおいてLNKファイルにあるコマンド列や実行される引数(接続先の短縮URL)などをもとにVirusTotalにアップロードされた検体29件を発見、新規のC2サーバのドメインを確認ができたと述べ、攻撃によっては短縮URLの作成から数時間でLNKファイルがVirusTotalにアップロードされるケースがあり、本ハンティング手法で鮮度の高い情報を得ることが可能であると語った。

さらに、ハンティングしたマルウェアの情報などからC2サーバについて、Server Header、Status Code、Title、Faviconの特徴に着目し、Shodan、Censysを使用しハンティングした結果、2020年4月から2020年12月において新規のC2サーバを12件発見したと解説した。

《ScanNetSecurity》

関連記事

PageTop

特集

アクセスランキング

  1. 公正取引委員会で情報流出、ファイルのグラフをクリックすると個人情報が閲覧可能に

    公正取引委員会で情報流出、ファイルのグラフをクリックすると個人情報が閲覧可能に

  2. 標的型攻撃に使われたMicrosoft Exchange Server の脆弱性に対し修正プログラムを定例外で公開

    標的型攻撃に使われたMicrosoft Exchange Server の脆弱性に対し修正プログラムを定例外で公開

  3. 日経225企業の75%がドメインなりすまし未対策、ProofPoint 調査

    日経225企業の75%がドメインなりすまし未対策、ProofPoint 調査

  4. iPhoneに不審なカレンダーなどが表示される報告が相次ぐ(IPA)

    iPhoneに不審なカレンダーなどが表示される報告が相次ぐ(IPA)

  5. 英学校で生徒に配布したノート PC、出荷段階でマルウェアがインストール

    英学校で生徒に配布したノート PC、出荷段階でマルウェアがインストール

  6. クラウド型顧客管理システム設定不備、コナミグループへ不正アクセス

    クラウド型顧客管理システム設定不備、コナミグループへ不正アクセス

  7. 日本ハッカー協会杉浦氏が OSINT を解説、メールアドレスでここまで情報が入手可能

    日本ハッカー協会杉浦氏が OSINT を解説、メールアドレスでここまで情報が入手可能

  8. メール配信作業中のミスが原因で誤送信、1万名分の顧客リストが流出

    メール配信作業中のミスが原因で誤送信、1万名分の顧客リストが流出

  9. ビジネス OSINT とは何か? 経営に正しく役立てる方法  ~  日本ハッカー協会 代表理事 杉浦氏講演

    ビジネス OSINT とは何か? 経営に正しく役立てる方法 ~ 日本ハッカー協会 代表理事 杉浦氏講演

  10. VMware vCenter Serverに脆弱性、解説や影響を受けるシステムを探索する通信も確認

    VMware vCenter Serverに脆弱性、解説や影響を受けるシステムを探索する通信も確認

ランキングをもっと見る