感染状況レポート - Damballa

感染状況レポート
2016年Q1（第一四半期）
感染状況レポート：2016 年 Q1
2
目次
多様性がサイバー犯罪のスパイス
非居留型マルウェア： Pony Loader .............................................................................................................................3
証拠隠滅型マルウェア： Destover ...............................................................................................................................5
手頃で簡易なマルウェア vs 高度なマルウェア .........................................................................................................5
まとめ .........................................................................................................................................................................................................6
DAMBALLA について ............................................................................................................................................................................6
[email protected] | damballa.com/ja　DAMBALLA
3
感染状況レポート：2016 年 Q1
多様性こそがサイバー犯罪のスパイス
サイバー犯罪の手口を追求することは、決して容易ではありません。攻撃側
には、C＆C (command and control) インフラから何でも購入し、また
借りることができる地下組織があり、高度なエクスプロイトキットから
純粋なマルウェアまで何でも手に入れることができます。このため、セキュ
リティに関わる専門家は先入観を捨て、新しい考え方で取り組むことが必
要となります。
2016年Q1（第1四半期）の感染状況報告書では、DAMBALLAのThreat
Discovery Centerが過去数ヶ月間追いかけてきた、いくつかのテーマに
ついてご紹介します。
すべてに共通して言えるのは、
脅威主体者が何を望んで
いるかについては知ることができないという点です。DAMBALLAでは、
共通テクニックを浮き彫りにすることで、皆様がこれまでのセキュリティ管
理の在り方を見直すきっかけを創出できればと考えています。
●
非居留型マルウェア：犯人側は、
防御側が常に不利な立場
になるように、そのインフラを移動し続けます。
例：Pony Loader
●
証拠隠滅型マルウェア：痕跡を消し去るワイピング・マル
ウェアは、数ヶ月以上も、
追跡から逃れることができます。
例： Destover
●
手頃で簡易なマルウェア vs 高度なマルウェア：もっと楽
なのは「何もしない」マルウェアになりすますことです。
例： MegalodonHTTP
非居留型マルウェア : Pony Loader
この手の犯人は、検知を逃れるために頻繁にインフラの移動を繰返します。ドメインが数日間あるいは数時間オンラインなだけでは、防御側
がブラックリストや既知の痕跡情報に依存したセキュリティツールを適用できません。DAMBALLAのThreat Discovery Centerでは、8 ヶ月
間にわたってPony Loaderマルウェアを観察しましたが、データ分析の結果として、これが非居留型のマルウェアであることを明らかにし
ています。
デバイスが Pony
Loaderマルウェア
に感染
ドロッパーがインス
トールされて活動を
開始
マルウェアがC&Cサーバーと
ダウンロードサイトをコールバック
して暗号化されたバイナリを受信
Dyre、
Vawtrack、
Nyumaim
など、
他のマルウェアがダウン
ロードされホストデバイスが
感染
犯人は、プロバイダー毎にいくつかのIPを使用することで追跡を逃れ、捕まってしまう機会を低減します。DAMBALLAがPonyの観察を開
始して以来、犯人は281のドメインと100の異なるISPで120以上のIPを使用しています。1 ヶ月あたりのドメイン使用数は、当初21（5月）で
したが、最大では45（7月）となりました。
犯人は、5月と7月に自身のインフラとプロセスを立ち上げ、Ponyの配布を開始しました。IP数は7月と8月に減少しましたが、一方でドメイン
数が以前に比べて急増し、7月には45、8月には39となりました。ドメインは7月に12以上のIP、
8月には6以上のIPが割り当てられ、8月のドメイン
数対IP数の比は6.5となり、7月の倍になっています。
この増加傾向は、年間を通した時期的な影響によるものによると考えられます。7月、8月は欧州の休暇シーズンです。インフラを維持するた
めには、新しいIPを確保し別のISPで新しいサーバーを準備する必要がありますが、利用できるリソースが少なければ、仲間が休暇から戻る
までの間、手元にあるIPを使い回すことになるためです。
[email protected] | damballa.com/ja　DAMBALLA
4
感染状況レポート：2016 年 Q1
非居留型マルウェア： Pony Loader
（前ページからの続き）
9月に入ってPonyは再び勢いを取り戻しました。犯人は45のドメインで16のIPを使用し、ドメイン数対IP数の比率は2.81になりました。10月も
数値は高く、26のIPが45のドメインに割り当てられ、比率は1.73でした。IPの数が１だったISPは2社未満だったことは注意に値します。
Ponyは、休暇シーズンが近づくと再び活動を低下させています。犯人は11月に39のドメインを作成し、17のIPを割り当て、ドメイン数対IP数の比
率は2.29になっています。12月は27ドメイン、IPは10で、比率は2.7となっています。これはやはり休暇シーズンに入ったことが原因と思われます。
ドメイン数
IP 数
ドメイン / IP 比率
3.75
45
2.81
6.5
40
35
1.73
2.29
1.45
30
25
1.23
20
2.25
15
10
5
5 月 6 月 7 月 8 月 9 月 10 月 11 月 12 月
繰り返される継続的な変化
Pony Loaderの背後にいる犯人は、インフラを乗り換えるだけでなくマルウェア自体も変化させています。5月時点でPonyは、銀行を標的
にしたトロイの木馬Dyreをダウンロードするような作りになっていましたが、9月には、同じく銀行を標的にした別のトロイの木馬Vawtrak
をダウンロードするように変更されています。Vawtrakは、12月2日にランサムウェアの一種であるNymaimに変更され、12月14日には
Vawtrakに戻されています。
Ponyの背後の犯人グループは、非常に巧妙に組織されています。組織の規模を拡大しながら、定常的に新しいドメインとインフラストラク
チャーを作成して捜査を逃れており、ほとんどのセキュリティ製品が新しいPonyマルウェアを検知きません。犯人は鉄壁なホストや捜査に
非協力的な国のプロバイダーを使用することで、長期にわたりオンライン状態を継続し、プロバイダーを変えながら秘密を維持しています。
結論
ドメインが数日間あるいは数時間オンラインなだけの状態では、犯人によるC&Cとの通信を長期間にわたり検知することができません。
防御側が持つブラックリストや既知の痕跡情報に依存したセキュリティツールでは、このようなタイプの攻撃を発見することは不可能です。
セキュリティ対応チームは、ネットワーク内部から発生するC&C通信を検出し、外部とのやり取りをブロックする必要があります。
DAMBALLA Failsafeのお客様の場合には、TCPリセット機能を稼動させるか、エンドポイントとプロキシテクノロジーの連携機能を1つある
いは複数作動させてください。
[email protected] | damballa.com/ja　DAMBALLA
5
感染状況レポート：2016 年 Q1
証拠隠滅型マルウェア： Destover
高度な攻撃者は、自らの痕跡を調査から隠し通す技術に長けていま
す。そのテクニックの1つに、マルウェアを使用してドロッパーを削除
することですべての証拠を削除したり、逆に曖昧な手がかりを残して
おくような「証拠隠滅」手法があります。Destoverがその一例です。
Destover は、Sony Pictures Entertainment や Saudi Aramco
などに甚大な被害を与えました。このワイパーマルウェアは、感染し
たデバイスのファイルを消去したり、内容を意味のないものに書き換
えてしまうというものです。攻撃者は発見されないままネットワーク
上に居座り続け、
間口を広げながらテラバイト規模で機密データを盗
み出します。
DAMBALLAのThreat Discovery CenterがDestoverの新しい
サンプルを調査すると、アンチウィルス製品で識別される包括的
シグネチャを持つ2つのファイルに辿り着きました。さらに分析する
と、setMFTとafsetという2つのユーティリティがDestover と深
い関わりを持つことが判明しました。これらのユーティリティは、検
知から逃れるためだけでなく、攻撃対象を広げるためにネットワーク
内を横方向に移動し続けます。
攻撃者は、ドロッパーではなくコマンドラインを使ってsetMFTと
の間でやり取りを行います。setMFTは「timestomping（タイム
スタンプの改竄）」というテクニックを使って、ソースファイルの
タイムスタンプを対象ソースにコピーします。類似したファイル名
とtimestompingを組み合わせ、同じディレクトリに存在する正常な
ファイルの中に紛れ込ませます。
セキュリティ担当者が特定の日付以降
に作成されたファイルを対象に、
不審なファイルを検索したりスキャン
したりしても、
これを発見することはできないでしょう。
レコードデータ
との矛盾やログファイルの徹底的なフォレンジック検査を行なわなけれ
ば、timestompingされたファイルを特定することはできません。
afsetもまたファイルのtimestompingに使用されます。また、一定
の基準（IDや時刻）でM i c r o s o f t Windowsログを消去したり、
PEのビルド時刻とチェックサムを書き換えることが出来るほか、ユー
ザーがファイルの特定のタイムスタンプ（SIA、
FNA）しか設定で
きないようにします。こうしたtimestompingやログ消去機能を実
現するため、afsetでは、同じ冗長
性を持つライセンスキーを使って
RawDiskドライバを使用します。
afsetは標的となるシステムでイン
タラクティブに使用されます。攻撃
者は、ネットワーク内を移動するこ
とで、発見されることなく痕跡を隠
滅します。システムの完全なフォレ
ンジック分析によって、afsetの存
在やロギングの欠損を発見できる
こともありますが、初期的な活動に
ついては発見が困難で、危険な感
染が放置されたままになる猶予を
与えてしまいます。
セキュリティ担当者は . . .
何も発見できない状況に等し
いのです。レコードデータとの
矛盾やログファイルの徹底的な
フォレンジック検査を行なわな
ければ、timestomping された
ファイルを特定することはでき
ません。
結論
セキュリティチームが攻撃者の存在を検知するために使用している多
くのツールや方式は、
setMFTやafsetのようなツールセットには効果
がありません。
敵はログファイルを消去したりリダイレクトすることが
可能で、正常なシステムファイルの中に紛れ込んでいます。また、既存
のツールのアップデートには限界があるため、
新しい攻撃側の手段を
アンチウィルス製品が発見するまで時間がかかります。セキュリティ
チームが、
常に脅威に関係するビヘイビアを監視し続けるソリューション
を使用しない限り、
これらの攻撃を見逃すことになります。
手頃で簡易なマルウェア vs 高度なマルウェア
高度で「APTのような」
サイバー攻撃がよくニュースに取り上げられる
一方で、その他の多くのサイバー攻撃は、手頃に入手でき容易に実装
することが可能なマルウェアの組み合わせで作られており、1日もあ
れば準備することができます。高度なマルウェアは、攻撃の先導役で
はく、独自に1度だけ実行に成功すればよいのです。
DAMBALLA の Threat Discover y Centerでは、このような
マルウェアの1つでリモートアクセス型トロイの木馬である
MegalodonHTTPと呼ばれるマルウェアを2015年11月に調査し
ました。HackForumやbin4ry.comから35ドルから100ドルで販
売されているこの簡単なマルウェアには、犯罪に利用できる様々な機
能が含まれています：
[email protected] | damballa.com/ja　DAMBALLA
6
感染状況レポート：2016 年 Q1
手頃で容易に実現可能なマルウェア vs 高度なマルウェア
（前ページからの続き）
結論
バイナリのダウンロード実行機能
7種類のDDoS攻撃手段
他のネットワーク上のコンピュータのユーザーに成りすまして
コマンドを実行するリモートシェル機能
処理能力を浪費する暗号解析
アンチウィルスキラー
DAMBALLAのThreat Discovery Centerは、
1月に、
MegalodonHTTP
の作成者を特定する作業を欧州刑事警察機構（Europol）と共同で
実施、ノルウェーの警察当局の犯人逮捕に協力しました。
エンタープライズネットワークの防御にあたっては、
往々にして細部に
こだわりすぎて全体を見落としがちな傾向があります。
攻撃は、
カスタ
マイズされたマルウェアから、
簡易的ではあるが巧妙なものまで様々な
形態が見られます。マルウェアの使用を避ける攻撃主体さえ存在しま
す。内部に侵入してくるマルウェアファイルにばかり気を取られていて
は、攻撃を完全に防ぐことはできません。エンタープライズのセキュリ
ティチームは、
セキュリティ攻撃を再調査し、
マルウェアに関係なく攻撃
を検知できるようにする必要があります。
まとめ
本感染状況報告書では、DAMBALLAのThreat Discovery Centerが注目したものとして、セキュリティの専門家を翻弄させる攻撃主体が様々
なツールを用いて行う3つの攻撃手法についてご紹介しました。アンチウィルス製品やファイアウォール、サンドボックスが防御手段として有効で
あることに変わりはありませんが、現状ではいっそう堅牢な防御と対応が必要なことは明らかです。
DAMBALLA について
DAMBALLAは、
インターネットからの標的型の脅威活動に関する高度なインテリジェンスによってインシデントレスポンスの自動化を提供します。
DAMBALLAは、境界防御をすり抜け業務リスクとなる脅威主体を検知し、攻撃目標やコンピュータデバイスのタイプ、OSなどに関わらず、リアル
タイムに機能し続けます。攻撃主体の多くは潜伏し、姿を現すまでに時間がかかりますが、一度姿を現せばDAMBALLAはその実態を明らかにし
て対策を講じることができます。
DAMBALLAの特許取得済みソリューションは、世界のインターネットトラフィック全体の15%から構成されるビッグデータを利用し、脅威活動
を検知の上で自動的にデバイスの感染を判定します。判定結果をインシデントレスポンスに迅速に繋げることで、貴重なデータの盗難を防止し、
業務停止を最小限に抑え、一連の対応に必要な時間とリソースを最小化できます。またDAMBALLAは、PC、Mac、iOS、Android、組み込みシス
テムなど、デバイスやOSを問わず脅威を検知することができます。
DAMBALLAに関する詳細は、website www.damballa.com/ja をご覧いただくか、[email protected]にご連絡ください。
Twitterについては @DamballaInc でフォローいただけます。
[email protected] | damballa.com/ja　DAMBALLA

Download Report