「APT分析」「オープンソースSOAR」「脅威情報ハンティング」、JPCERT/CC のハイエンドカンファレンス JSAC2021 講演資料公開 | ScanNetSecurity
2025.10.04(土)

「APT分析」「オープンソースSOAR」「脅威情報ハンティング」、JPCERT/CC のハイエンドカンファレンス JSAC2021 講演資料公開

一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は2月12日、1月28日にオンライン上で開催した「Japan Security Analyst Conference 2021(JSAC2021)」のレポートと講演資料を公開した。

調査・レポート・白書・ガイドライン 調査・ホワイトペーパー
228 views
facebookLINE
一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は2月12日、1月28日にオンライン上で開催した「Japan Security Analyst Conference 2021(JSAC2021)」のレポートと講演資料を公開した。JPCERT/CCでは、カンファレンスの様子をトラックごとに3回に分けて紹介、第1回は3RD TRACKについてレポートしている。

TeamT5のShui Lee氏、Leon Chang氏による講演「LuoYu, the eavesdropper sneaking in multiple platforms」では、2014年から活動が確認されている中国の新しいAPTグループ「Luoyu」について、攻撃の特徴から、中国、香港、日本、韓国、台湾のテクノロジー企業、メディア、教育機関などの業種を攻撃のターゲットとして活動する中国系の攻撃グループと見ていると紹介。

TeamT5 によると、Luoyuはマルウェアとして、Mac、Linux、Windows、Androidなど、さまざまなプラットフォームを攻撃対象としており、ReverseWindow、WinDealer、SpyDealerを使用する特徴があると述べた。

また、本講演ではマルウェア「ReverseWindow」について、感染した被害者端末の情報をTLV(type-length-value)の形式で加工し、ハードコードされたキーをもとにDESにて暗号化後、C2サーバーに情報を送信しており、2017年からは日本、韓国、台湾のIT企業や香港の大学の研究者をターゲットとした攻撃へと変化、2019年にはAndroidを対象としたReverseWindowが新しく開発され、反体制派を監視する目的で攻撃が行われた事例について解説した。

Fredrik Oedegaardstuen氏による講演「Shuffle the SOC - automating anything, anytime, anywhere」では、セキュリティタスクの自動化プラットフォームでオープンソースのSOAR(Security Orchestration, Automation, and Response)ツールである「Shuffle」について、個々のイベントノードからワークフローを定義し、各イベント間を操作するJSON形式の引数や変数によって保存、表示、別のアプリへのフィードを行い、さらなる処理が行われる仕組みであることを解説、イベントノードは状態や条件によって動作の変更が可能で、より柔軟なフローの構築が可能と述べた。また、ShuffleはWebサービスとしてDocker上で動作するので、Webブラウザ上からアクセスすることで誰でも簡単に利用可能と解説した。

Fredrik 氏は、Shuffleを活用することで、メールの添付ファイルをVirusTotalで検知し、その検知結果をメール送信する作業を自動化可能で、普段のSOC業務で行っている業務を自動化させるだけでなく、 自作のアプリ作成しWeb上へアップロードも可能と紹介した。

株式会社インターネットイニシアティブ 小寺建輝氏による講演「仮想通貨事業者を標的とした攻撃キャンペーンに関する脅威情報のハンティング」では、脅威情報を取得する際に、外部のレポートやSNSによる情報は公開時には既にマルウェアやサーバが使用されなくなっていることが多いことから、VirusTotalやCensys、Shodanなどのサービスを利用した脅威情報のハンティング手法について紹介した。

小寺氏は、仮想通貨事業者を標的とした攻撃キャンペーンをハンティングの対象として、攻撃者によるLNKファイルを使った攻撃手法に着目、YaraルールからVirusTotalを使用してアップロードされたファイルを見つける方法や入手したファイルからC2サーバのハンティングを行った結果について解説した。

その結果、小寺氏はマルウェアのハンティングにおいてLNKファイルにあるコマンド列や実行される引数(接続先の短縮URL)などをもとにVirusTotalにアップロードされた検体29件を発見、新規のC2サーバのドメインを確認ができたと述べ、攻撃によっては短縮URLの作成から数時間でLNKファイルがVirusTotalにアップロードされるケースがあり、本ハンティング手法で鮮度の高い情報を得ることが可能であると語った。

さらに、ハンティングしたマルウェアの情報などからC2サーバについて、Server Header、Status Code、Title、Faviconの特徴に着目し、Shodan、Censysを使用しハンティングした結果、2020年4月から2020年12月において新規のC2サーバを12件発見したと解説した。

《ScanNetSecurity》

関連記事

特集

関連リンク

PageTop

アクセスランキング

  1. 業務目的外でパソコンを利用中に詐欺サイトに接続 ~ 委託事業者パソナの従業員

    業務目的外でパソコンを利用中に詐欺サイトに接続 ~ 委託事業者パソナの従業員

  2. ガートナー、2025 年版の日本におけるセキュリティのハイプ・サイクル発表

    ガートナー、2025 年版の日本におけるセキュリティのハイプ・サイクル発表

  3. 諭旨解雇処分 ~ 電気通信大学 准教授 共同研究先の企業に秘密を漏えい

    諭旨解雇処分 ~ 電気通信大学 准教授 共同研究先の企業に秘密を漏えい

  4. Microsoft が土壇場で譲歩 欧州 Windows 10 ユーザーだけに猶予措置

    Microsoft が土壇場で譲歩 欧州 Windows 10 ユーザーだけに猶予措置

  5. パソナの派遣社員が独立行政法人に関する情報を不正に持ち出し、削除の要請にも応じず

    パソナの派遣社員が独立行政法人に関する情報を不正に持ち出し、削除の要請にも応じず

ランキングをもっと見る
PageTop
ホーム 調査・レポート・白書・ガイドライン 調査・ホワイトペーパー 記事
TOP