「APT分析」「オープンソースSOAR」「脅威情報ハンティング」、JPCERT/CC のハイエンドカンファレンス JSAC2021 講演資料公開 | ScanNetSecurity
2024.04.20(土)

「APT分析」「オープンソースSOAR」「脅威情報ハンティング」、JPCERT/CC のハイエンドカンファレンス JSAC2021 講演資料公開

一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は2月12日、1月28日にオンライン上で開催した「Japan Security Analyst Conference 2021(JSAC2021)」のレポートと講演資料を公開した。

調査・レポート・白書・ガイドライン 調査・ホワイトペーパー
facebookLINE
一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は2月12日、1月28日にオンライン上で開催した「Japan Security Analyst Conference 2021(JSAC2021)」のレポートと講演資料を公開した。JPCERT/CCでは、カンファレンスの様子をトラックごとに3回に分けて紹介、第1回は3RD TRACKについてレポートしている。

TeamT5のShui Lee氏、Leon Chang氏による講演「LuoYu, the eavesdropper sneaking in multiple platforms」では、2014年から活動が確認されている中国の新しいAPTグループ「Luoyu」について、攻撃の特徴から、中国、香港、日本、韓国、台湾のテクノロジー企業、メディア、教育機関などの業種を攻撃のターゲットとして活動する中国系の攻撃グループと見ていると紹介。

TeamT5 によると、Luoyuはマルウェアとして、Mac、Linux、Windows、Androidなど、さまざまなプラットフォームを攻撃対象としており、ReverseWindow、WinDealer、SpyDealerを使用する特徴があると述べた。

また、本講演ではマルウェア「ReverseWindow」について、感染した被害者端末の情報をTLV(type-length-value)の形式で加工し、ハードコードされたキーをもとにDESにて暗号化後、C2サーバーに情報を送信しており、2017年からは日本、韓国、台湾のIT企業や香港の大学の研究者をターゲットとした攻撃へと変化、2019年にはAndroidを対象としたReverseWindowが新しく開発され、反体制派を監視する目的で攻撃が行われた事例について解説した。

Fredrik Oedegaardstuen氏による講演「Shuffle the SOC - automating anything, anytime, anywhere」では、セキュリティタスクの自動化プラットフォームでオープンソースのSOAR(Security Orchestration, Automation, and Response)ツールである「Shuffle」について、個々のイベントノードからワークフローを定義し、各イベント間を操作するJSON形式の引数や変数によって保存、表示、別のアプリへのフィードを行い、さらなる処理が行われる仕組みであることを解説、イベントノードは状態や条件によって動作の変更が可能で、より柔軟なフローの構築が可能と述べた。また、ShuffleはWebサービスとしてDocker上で動作するので、Webブラウザ上からアクセスすることで誰でも簡単に利用可能と解説した。

Fredrik 氏は、Shuffleを活用することで、メールの添付ファイルをVirusTotalで検知し、その検知結果をメール送信する作業を自動化可能で、普段のSOC業務で行っている業務を自動化させるだけでなく、 自作のアプリ作成しWeb上へアップロードも可能と紹介した。

株式会社インターネットイニシアティブ 小寺建輝氏による講演「仮想通貨事業者を標的とした攻撃キャンペーンに関する脅威情報のハンティング」では、脅威情報を取得する際に、外部のレポートやSNSによる情報は公開時には既にマルウェアやサーバが使用されなくなっていることが多いことから、VirusTotalやCensys、Shodanなどのサービスを利用した脅威情報のハンティング手法について紹介した。

小寺氏は、仮想通貨事業者を標的とした攻撃キャンペーンをハンティングの対象として、攻撃者によるLNKファイルを使った攻撃手法に着目、YaraルールからVirusTotalを使用してアップロードされたファイルを見つける方法や入手したファイルからC2サーバのハンティングを行った結果について解説した。

その結果、小寺氏はマルウェアのハンティングにおいてLNKファイルにあるコマンド列や実行される引数(接続先の短縮URL)などをもとにVirusTotalにアップロードされた検体29件を発見、新規のC2サーバのドメインを確認ができたと述べ、攻撃によっては短縮URLの作成から数時間でLNKファイルがVirusTotalにアップロードされるケースがあり、本ハンティング手法で鮮度の高い情報を得ることが可能であると語った。

さらに、ハンティングしたマルウェアの情報などからC2サーバについて、Server Header、Status Code、Title、Faviconの特徴に着目し、Shodan、Censysを使用しハンティングした結果、2020年4月から2020年12月において新規のC2サーバを12件発見したと解説した。

《ScanNetSecurity》

関連記事

関連リンク

特集

PageTop

アクセスランキング

  1. 東芝テックが利用するクラウドサービスに不正アクセス、取引先や従業員の個人情報が閲覧された可能性

    東芝テックが利用するクラウドサービスに不正アクセス、取引先や従業員の個人情報が閲覧された可能性

  2. 東京高速道路のメールアカウントを不正利用、大量のメールを送信

    東京高速道路のメールアカウントを不正利用、大量のメールを送信

  3. セキュリティ対策は株価を上げるのか ~ 株主総利回り(TSR)の平均値は高い傾向

    セキュリティ対策は株価を上げるのか ~ 株主総利回り(TSR)の平均値は高い傾向

  4. バッファロー製無線 LAN ルータに複数の脆弱性

    バッファロー製無線 LAN ルータに複数の脆弱性

  5. 「引っかかるのは当たり前」が前提、フィッシングハンターが提案する対策のポイント ~ JPAAWG 6th General Meeting レポート

    「引っかかるのは当たり前」が前提、フィッシングハンターが提案する対策のポイント ~ JPAAWG 6th General Meeting レポート

  6. フュートレックにランサムウェア攻撃、本番環境への侵入形跡は存在せず

    フュートレックにランサムウェア攻撃、本番環境への侵入形跡は存在せず

  7. インフォマート 公式 Facebook ページに不正ログイン

    インフォマート 公式 Facebook ページに不正ログイン

  8. Windows DNS の脆弱性情報が公開

    Windows DNS の脆弱性情報が公開

  9. クラウド労務管理「WelcomeHR」の個人データが閲覧可能な状態に、154,650 人分のダウンロード確認

    クラウド労務管理「WelcomeHR」の個人データが閲覧可能な状態に、154,650 人分のダウンロード確認

  10. 転職先で営業活動に活用、プルデンシャル生命保険 元社員 顧客情報持ち出し

    転職先で営業活動に活用、プルデンシャル生命保険 元社員 顧客情報持ち出し

ランキングをもっと見る
ホーム 調査・レポート・白書・ガイドライン 調査・ホワイトペーパー 記事
TOP