狠狠撸

狠狠撸Share a Scribd company logo

あ! やせいのEmotetがあらわれた! ~ IIJ C-SOCサービスの分析ルールについて~

?
?
IIJ
IIJ

[2020/09/11開催「IIJ Technical NIGHT vol.9」の講演資料です] SOCアナリストといえば、ログ分析やマルウェア解析など、インシデントの調査をメインとした業務をイメージするかもしれません。 では、アナリストが調査するためのインシデントはどのように見つけるのでしょうか? 「草むらの中を歩き回ってたら、勝手に飛び出してきた!」なんていうことはありません。 今回は、SOCのインシデント検知の要となる分析ルールをどのように作成しているのか、マルウェアEmotetの感染フローを例に紹介します。 ▼講演者 セキュリティ本部 セキュリティビジネス推進部 セキュリティオペレーションセンター 古川 智也

1 of 32
Downloaded 51 times
Copyright Internet Initiative Japan Inc. あ! やせいのEmotetがあらわれた! ~ IIJ C-SOCサービスの分析ルール運用の裏側~ 株式会社インターネットイニシアティブ セキュリティ本部 古川 智也
Copyright Internet Initiative Japan Inc. Who am I ? 古川 智也 – 社会人4年目のSOCアナリスト – RISS、GCDA(GIAC Certified Detection Analyst) ? 業務内容 – SOCの分析ルール管理 ? 脅威情報収集、マルウェア解析 – 最近インフラ関連もさわりはじめた ? Twitterで脅威情報収集してると一日終わる – 気になる検体を見つけたら解析していることが多い 1
Copyright Internet Initiative Japan Inc. 2 発表内容 1. SOCの分析ルール(a.k.a 検知ルール)について – 今回はマルウェアの分析ルールが対象 2. マルウェアの分析ルール前に実施している調査 – マルウェア解析 – 外部脅威情報収集
Copyright Internet Initiative Japan Inc.Copyright Internet Initiative Japan Inc. 1.SOCの分析ルールについて 3
Copyright Internet Initiative Japan Inc. 4 分析ルールの目的:脅威の可視化 あ! やせいの Emotet?があらわれた! SOCアナリスト ?
Copyright Internet Initiative Japan Inc. 5 分析ルールの特徴 ? 分析対象はIIJサービスのセキュリティログがメイン – FW、IPS/IDS、Web Proxy、WAF、AV、??? – お客様運用機器のログも分析している ? ログのフィールド内の値を照合することで検知 – Proxyログ内の宛先ドメインがマルウェアのC&Cサーバと合致 – 管理者端末へログイン試行したユーザが管理者アカウントでない – FWのDenyログが閾値を超えた ? リアルタイム分析 – 統計的な異常検知は今回の分析ルールで取り扱わない
Copyright Internet Initiative Japan Inc. 6 マルウェア分析ルールの特徴 ? 検知するのはマルウェアが残した痕跡(IoC) – どのような痕跡を残すか知っておく必要がある ? マルウェア解析などで情報を入手 – 痕跡例 ? C&Cサーバのドメイン ? マルウェアのHash値 ? 複数の分析ルールを作成しておくのがベター – マルウェアが残す痕跡は変わりやすい ? 攻撃者も自身のマルウェアが検知されるかチェックしている – マルウェアは複数の痕跡を残す ? アップデートされても、一部は修正されていない場合がある
Copyright Internet Initiative Japan Inc. 7 マルウェア分析ルールの4W1H ? What(何を検知するのか?) ? Where(どの機器のログを分析するのか?) ? When(どの感染フェーズで検知するのか?) ? Why(なぜ検知するのか?) ? How(どのように検知するのか?)
Copyright Internet Initiative Japan Inc.Copyright Internet Initiative Japan Inc. 2. マルウェア感染の痕跡を見つける ~ Emotetの感染フローを例に~ 8
Copyright Internet Initiative Japan Inc. Emotetとは ? 情報窃取を目的としたマルウェア – 近年は他マルウェアのダウンローダとして利用されることが多い ? 2020年7月頃より活動を再開 – 2020年2月頃に活動を停止していたが復活 ? 今回は2020年7月に観測した検体を分析 「マルウエア Emotet の感染に繋がるメールの配布活動の再開について (追加情報)」,JPCERT/CC,2020/07/29 最終更新 https://www.jpcert.or.jp/newsflash/2020072001.html 9
Copyright Internet Initiative Japan Inc. 10 Emotetの特徴 ? 感染活動にメールを利用する – メールに添付されているOfficeファイル内のコンテンツ有効化で 感染 ? Officeファイル内にVBAマクロが仕込まれている ? 添付ファイルがOfficeファイルでない場合や、そもそも添付されてい ないパターンもあるが、VBAマクロからダウンローダが起動される 点に変化はない – 窃取したメールアカウントを悪用して、感染を広げる ? 窃取したメールアカウントのメールに対してOfficeファイルを添付し た返信メールを送る ? 改ざんされたWebサーバにEmotetが蔵置 – サーバに仕掛けたWebShellでアップロードしている – 検知しても誤検知である可能性あり
Copyright Internet Initiative Japan Inc. Emotet感染フロー(添付ファイル型) ボットネット Emotet ダウンロードサーバ Emotet C&Cサーバユーザ 11
Copyright Internet Initiative Japan Inc. 1. ボットネットから添付ファイル付きメールが送信される ボットネット Emotet ダウンロードサーバ Emotet C&Cサーバユーザ 12
Copyright Internet Initiative Japan Inc. 13 添付ファイルを開くと??? ? マクロの有効化を促す文面が
Copyright Internet Initiative Japan Inc. 2. ユーザがマクロを有効化 ボットネット Emotet ダウンロードサーバ Emotet C&Cサーバユーザ マクロを 有効化 ? 14
Copyright Internet Initiative Japan Inc. 15 添付ファイル内のVBAマクロ ? 難読化されている???
Copyright Internet Initiative Japan Inc. 16 ユーザフォームを見てみると 怪しい文字列
Copyright Internet Initiative Japan Inc. 17 VBAマクロの目的はPowerShell実行 ? 前の文字列は暗号化されたPowerShellコマンドライン – VBAマクロ実行時に復号し、実行する ? 実行されるPowerShellコマンドライン
Copyright Internet Initiative Japan Inc. 18 痕跡1:「-e」オプションの利用
Copyright Internet Initiative Japan Inc. 19 痕跡2:WMI->PowerShellの実行 ???
Copyright Internet Initiative Japan Inc. 3. ダウンローダがEmotetをダウンロード ボットネット Emotet ダウンロードサーバ Emotet C&Cサーバユーザ Emotet 20
Copyright Internet Initiative Japan Inc. 21 痕跡3:Emotetのダウンロード通信先
Copyright Internet Initiative Japan Inc. 4. EmotetがC&Cサーバと通信 ボットネット Emotet ダウンロードサーバ Emotet C&Cサーバユーザ Emotet ???http/https通信 22
Copyright Internet Initiative Japan Inc. 23 痕跡4:EmotetのC&C通信先
Copyright Internet Initiative Japan Inc. 24 痕跡5:EmotetのC&C通信パターン
Copyright Internet Initiative Japan Inc.Copyright Internet Initiative Japan Inc. 3.マルウェアの情報(IoC)を収集する 25
Copyright Internet Initiative Japan Inc. 26 IoCは定期的に更新する運命 1. WMI->PowerShellの実行 2. エンコードされたPowerShellスクリプト 3. EmotetのC&C通信パターン 4. Emotetのダウンロード通信先 5. EmotetのC&C通信先 定期的なIoCの更新が必要
Copyright Internet Initiative Japan Inc. 27 (参考)マルウェア分析ルールのメンテナンス負荷 ? 痛みのピラミッド – 攻撃者の情報を変更しづらい順に並べたもの – 上に行くほど攻撃者は変更しづらい ? メンテナンス負荷は痛みのピラミッドに反比例 – 下にいくほどメンテナンス負荷が大きい “The Pyramid of Pain”,Enterprise Detection & Response,2014/01/17 最終更新 http://detect-respond.blogspot.com/2013/03/the-pyramid-of-pain.html メ ン テ ナ ン ス 負 荷
Copyright Internet Initiative Japan Inc. 28 IoC情報の収集先例 ? 脅威情報サイト – Emotetなら「Cryptolaemus Pastdump」、「URLhaus」など ? Twitter – なぜか脅威情報はTwitterが最速で流れる – ばらまきメール回収の会の方々が脅威情報をリアルタイムで共有 してくれている ? いつもありがとうございます! ? オンラインサンドボックス – Emotetはany.runの解析結果がTwitterで共有されることが多い
Copyright Internet Initiative Japan Inc. 29 公開されていないIoCはどう収集する? ? 情報分析基盤 – ビッグデータ解析により得たIoCを共有してもらう ? CHAGE – 集めたIoCについてOSINT – OSINTした情報を元に特徴を探り出す
Copyright Internet Initiative Japan Inc. 30 まとめ ? 分析ルールの目的は脅威の可視化 ? SOCの分析対象はIIJサービスのセキュリティログ ? マルウェア分析ルールはマルウェアが残した痕跡を検知 ? Emotetは複数の痕跡を残す – 中には過去のものと変わらない痕跡もある ? 公開されてないIoCは情報分析と基盤CHAGEから入手
Copyright Internet Initiative Japan Inc.

More Related Content

あ! やせいのEmotetがあらわれた! ~ IIJ C-SOCサービスの分析ルールについて~

  • 1. Copyright Internet Initiative Japan Inc. あ! やせいのEmotetがあらわれた! ~ IIJ C-SOCサービスの分析ルール運用の裏側~ 株式会社インターネットイニシアティブ セキュリティ本部 古川 智也
  • 2. Copyright Internet Initiative Japan Inc. Who am I ? 古川 智也 – 社会人4年目のSOCアナリスト – RISS、GCDA(GIAC Certified Detection Analyst) ? 業務内容 – SOCの分析ルール管理 ? 脅威情報収集、マルウェア解析 – 最近インフラ関連もさわりはじめた ? Twitterで脅威情報収集してると一日終わる – 気になる検体を見つけたら解析していることが多い 1
  • 3. Copyright Internet Initiative Japan Inc. 2 発表内容 1. SOCの分析ルール(a.k.a 検知ルール)について – 今回はマルウェアの分析ルールが対象 2. マルウェアの分析ルール前に実施している調査 – マルウェア解析 – 外部脅威情報収集
  • 4. Copyright Internet Initiative Japan Inc.Copyright Internet Initiative Japan Inc. 1.SOCの分析ルールについて 3
  • 5. Copyright Internet Initiative Japan Inc. 4 分析ルールの目的:脅威の可視化 あ! やせいの Emotet?があらわれた! SOCアナリスト ?
  • 6. Copyright Internet Initiative Japan Inc. 5 分析ルールの特徴 ? 分析対象はIIJサービスのセキュリティログがメイン – FW、IPS/IDS、Web Proxy、WAF、AV、??? – お客様運用機器のログも分析している ? ログのフィールド内の値を照合することで検知 – Proxyログ内の宛先ドメインがマルウェアのC&Cサーバと合致 – 管理者端末へログイン試行したユーザが管理者アカウントでない – FWのDenyログが閾値を超えた ? リアルタイム分析 – 統計的な異常検知は今回の分析ルールで取り扱わない
  • 7. Copyright Internet Initiative Japan Inc. 6 マルウェア分析ルールの特徴 ? 検知するのはマルウェアが残した痕跡(IoC) – どのような痕跡を残すか知っておく必要がある ? マルウェア解析などで情報を入手 – 痕跡例 ? C&Cサーバのドメイン ? マルウェアのHash値 ? 複数の分析ルールを作成しておくのがベター – マルウェアが残す痕跡は変わりやすい ? 攻撃者も自身のマルウェアが検知されるかチェックしている – マルウェアは複数の痕跡を残す ? アップデートされても、一部は修正されていない場合がある
  • 8. Copyright Internet Initiative Japan Inc. 7 マルウェア分析ルールの4W1H ? What(何を検知するのか?) ? Where(どの機器のログを分析するのか?) ? When(どの感染フェーズで検知するのか?) ? Why(なぜ検知するのか?) ? How(どのように検知するのか?)
  • 9. Copyright Internet Initiative Japan Inc.Copyright Internet Initiative Japan Inc. 2. マルウェア感染の痕跡を見つける ~ Emotetの感染フローを例に~ 8
  • 10. Copyright Internet Initiative Japan Inc. Emotetとは ? 情報窃取を目的としたマルウェア – 近年は他マルウェアのダウンローダとして利用されることが多い ? 2020年7月頃より活動を再開 – 2020年2月頃に活動を停止していたが復活 ? 今回は2020年7月に観測した検体を分析 「マルウエア Emotet の感染に繋がるメールの配布活動の再開について (追加情報)」,JPCERT/CC,2020/07/29 最終更新 https://www.jpcert.or.jp/newsflash/2020072001.html 9
  • 11. Copyright Internet Initiative Japan Inc. 10 Emotetの特徴 ? 感染活動にメールを利用する – メールに添付されているOfficeファイル内のコンテンツ有効化で 感染 ? Officeファイル内にVBAマクロが仕込まれている ? 添付ファイルがOfficeファイルでない場合や、そもそも添付されてい ないパターンもあるが、VBAマクロからダウンローダが起動される 点に変化はない – 窃取したメールアカウントを悪用して、感染を広げる ? 窃取したメールアカウントのメールに対してOfficeファイルを添付し た返信メールを送る ? 改ざんされたWebサーバにEmotetが蔵置 – サーバに仕掛けたWebShellでアップロードしている – 検知しても誤検知である可能性あり
  • 12. Copyright Internet Initiative Japan Inc. Emotet感染フロー(添付ファイル型) ボットネット Emotet ダウンロードサーバ Emotet C&Cサーバユーザ 11
  • 13. Copyright Internet Initiative Japan Inc. 1. ボットネットから添付ファイル付きメールが送信される ボットネット Emotet ダウンロードサーバ Emotet C&Cサーバユーザ 12
  • 14. Copyright Internet Initiative Japan Inc. 13 添付ファイルを開くと??? ? マクロの有効化を促す文面が
  • 15. Copyright Internet Initiative Japan Inc. 2. ユーザがマクロを有効化 ボットネット Emotet ダウンロードサーバ Emotet C&Cサーバユーザ マクロを 有効化 ? 14
  • 16. Copyright Internet Initiative Japan Inc. 15 添付ファイル内のVBAマクロ ? 難読化されている???
  • 17. Copyright Internet Initiative Japan Inc. 16 ユーザフォームを見てみると 怪しい文字列
  • 18. Copyright Internet Initiative Japan Inc. 17 VBAマクロの目的はPowerShell実行 ? 前の文字列は暗号化されたPowerShellコマンドライン – VBAマクロ実行時に復号し、実行する ? 実行されるPowerShellコマンドライン
  • 19. Copyright Internet Initiative Japan Inc. 18 痕跡1:「-e」オプションの利用
  • 20. Copyright Internet Initiative Japan Inc. 19 痕跡2:WMI->PowerShellの実行 ???
  • 21. Copyright Internet Initiative Japan Inc. 3. ダウンローダがEmotetをダウンロード ボットネット Emotet ダウンロードサーバ Emotet C&Cサーバユーザ Emotet 20
  • 22. Copyright Internet Initiative Japan Inc. 21 痕跡3:Emotetのダウンロード通信先
  • 23. Copyright Internet Initiative Japan Inc. 4. EmotetがC&Cサーバと通信 ボットネット Emotet ダウンロードサーバ Emotet C&Cサーバユーザ Emotet ???http/https通信 22
  • 24. Copyright Internet Initiative Japan Inc. 23 痕跡4:EmotetのC&C通信先
  • 25. Copyright Internet Initiative Japan Inc. 24 痕跡5:EmotetのC&C通信パターン
  • 26. Copyright Internet Initiative Japan Inc.Copyright Internet Initiative Japan Inc. 3.マルウェアの情報(IoC)を収集する 25
  • 27. Copyright Internet Initiative Japan Inc. 26 IoCは定期的に更新する運命 1. WMI->PowerShellの実行 2. エンコードされたPowerShellスクリプト 3. EmotetのC&C通信パターン 4. Emotetのダウンロード通信先 5. EmotetのC&C通信先 定期的なIoCの更新が必要
  • 28. Copyright Internet Initiative Japan Inc. 27 (参考)マルウェア分析ルールのメンテナンス負荷 ? 痛みのピラミッド – 攻撃者の情報を変更しづらい順に並べたもの – 上に行くほど攻撃者は変更しづらい ? メンテナンス負荷は痛みのピラミッドに反比例 – 下にいくほどメンテナンス負荷が大きい “The Pyramid of Pain”,Enterprise Detection & Response,2014/01/17 最終更新 http://detect-respond.blogspot.com/2013/03/the-pyramid-of-pain.html メ ン テ ナ ン ス 負 荷
  • 29. Copyright Internet Initiative Japan Inc. 28 IoC情報の収集先例 ? 脅威情報サイト – Emotetなら「Cryptolaemus Pastdump」、「URLhaus」など ? Twitter – なぜか脅威情報はTwitterが最速で流れる – ばらまきメール回収の会の方々が脅威情報をリアルタイムで共有 してくれている ? いつもありがとうございます! ? オンラインサンドボックス – Emotetはany.runの解析結果がTwitterで共有されることが多い
  • 30. Copyright Internet Initiative Japan Inc. 29 公開されていないIoCはどう収集する? ? 情報分析基盤 – ビッグデータ解析により得たIoCを共有してもらう ? CHAGE – 集めたIoCについてOSINT – OSINTした情報を元に特徴を探り出す
  • 31. Copyright Internet Initiative Japan Inc. 30 まとめ ? 分析ルールの目的は脅威の可視化 ? SOCの分析対象はIIJサービスのセキュリティログ ? マルウェア分析ルールはマルウェアが残した痕跡を検知 ? Emotetは複数の痕跡を残す – 中には過去のものと変わらない痕跡もある ? 公開されてないIoCは情報分析と基盤CHAGEから入手