「APT分析」「オープンソースSOAR」「脅威情報ハンティング」、JPCERT/CC のハイエンドカンファレンス JSAC2021 講演資料公開 | ScanNetSecurity
2021.03.04(木)

「APT分析」「オープンソースSOAR」「脅威情報ハンティング」、JPCERT/CC のハイエンドカンファレンス JSAC2021 講演資料公開

一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は2月12日、1月28日にオンライン上で開催した「Japan Security Analyst Conference 2021(JSAC2021)」のレポートと講演資料を公開した。

調査・レポート・白書 調査・ホワイトペーパー
一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は2月12日、1月28日にオンライン上で開催した「Japan Security Analyst Conference 2021(JSAC2021)」のレポートと講演資料を公開した。JPCERT/CCでは、カンファレンスの様子をトラックごとに3回に分けて紹介、第1回は3RD TRACKについてレポートしている。

TeamT5のShui Lee氏、Leon Chang氏による講演「LuoYu, the eavesdropper sneaking in multiple platforms」では、2014年から活動が確認されている中国の新しいAPTグループ「Luoyu」について、攻撃の特徴から、中国、香港、日本、韓国、台湾のテクノロジー企業、メディア、教育機関などの業種を攻撃のターゲットとして活動する中国系の攻撃グループと見ていると紹介。

TeamT5 によると、Luoyuはマルウェアとして、Mac、Linux、Windows、Androidなど、さまざまなプラットフォームを攻撃対象としており、ReverseWindow、WinDealer、SpyDealerを使用する特徴があると述べた。

また、本講演ではマルウェア「ReverseWindow」について、感染した被害者端末の情報をTLV(type-length-value)の形式で加工し、ハードコードされたキーをもとにDESにて暗号化後、C2サーバーに情報を送信しており、2017年からは日本、韓国、台湾のIT企業や香港の大学の研究者をターゲットとした攻撃へと変化、2019年にはAndroidを対象としたReverseWindowが新しく開発され、反体制派を監視する目的で攻撃が行われた事例について解説した。

Fredrik Oedegaardstuen氏による講演「Shuffle the SOC - automating anything, anytime, anywhere」では、セキュリティタスクの自動化プラットフォームでオープンソースのSOAR(Security Orchestration, Automation, and Response)ツールである「Shuffle」について、個々のイベントノードからワークフローを定義し、各イベント間を操作するJSON形式の引数や変数によって保存、表示、別のアプリへのフィードを行い、さらなる処理が行われる仕組みであることを解説、イベントノードは状態や条件によって動作の変更が可能で、より柔軟なフローの構築が可能と述べた。また、ShuffleはWebサービスとしてDocker上で動作するので、Webブラウザ上からアクセスすることで誰でも簡単に利用可能と解説した。

Fredrik 氏は、Shuffleを活用することで、メールの添付ファイルをVirusTotalで検知し、その検知結果をメール送信する作業を自動化可能で、普段のSOC業務で行っている業務を自動化させるだけでなく、 自作のアプリ作成しWeb上へアップロードも可能と紹介した。

株式会社インターネットイニシアティブ 小寺建輝氏による講演「仮想通貨事業者を標的とした攻撃キャンペーンに関する脅威情報のハンティング」では、脅威情報を取得する際に、外部のレポートやSNSによる情報は公開時には既にマルウェアやサーバが使用されなくなっていることが多いことから、VirusTotalやCensys、Shodanなどのサービスを利用した脅威情報のハンティング手法について紹介した。

小寺氏は、仮想通貨事業者を標的とした攻撃キャンペーンをハンティングの対象として、攻撃者によるLNKファイルを使った攻撃手法に着目、YaraルールからVirusTotalを使用してアップロードされたファイルを見つける方法や入手したファイルからC2サーバのハンティングを行った結果について解説した。

その結果、小寺氏はマルウェアのハンティングにおいてLNKファイルにあるコマンド列や実行される引数(接続先の短縮URL)などをもとにVirusTotalにアップロードされた検体29件を発見、新規のC2サーバのドメインを確認ができたと述べ、攻撃によっては短縮URLの作成から数時間でLNKファイルがVirusTotalにアップロードされるケースがあり、本ハンティング手法で鮮度の高い情報を得ることが可能であると語った。

さらに、ハンティングしたマルウェアの情報などからC2サーバについて、Server Header、Status Code、Title、Faviconの特徴に着目し、Shodan、Censysを使用しハンティングした結果、2020年4月から2020年12月において新規のC2サーバを12件発見したと解説した。
《ScanNetSecurity》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★
★★会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事をすべて閲覧できます。毎週月曜朝には一週間のまとめメルマガをお届けします(BASIC 登録後 PREMIUM にアップグレードすれば全ての限定コンテンツにフルアクセスできます)。

×