Using StarC to observe malicious traffic

Transcript

1. Copyright©2018 nao_sec All Rights Reserved. 第 回 ハニーポッター技術交流会

2. Copyright©2018 nao_sec All Rights Reserved. Speaker • 小池 倫太郎 •

   大学生 学部4年 • nao_secでは悪性トラフィックの調査・解析を担当 • nao_sec • 2017年2月に結成 • 活動 • Drive-by Download攻撃やExploit Kitの調査・解析 • 解析ツールの開発・公開 • それらに関する情報の発信 • http://nao-sec.org • https://twitter.com/nao_sec • https://github.com/nao-sec • 仕事ではなく，アマチュア（趣味） 2

3. Copyright©2018 nao_sec All Rights Reserved. Honeypot 3 ハニーポット 攻撃経路 インタラクション

   サーバ クライアント ハニートークン 高対話型 ハイブリッド 低対話型 SSH Web App Telnet Webブラウザ 認証情報 機密文書 参考「実践サイバーセキュリティモニタリング」（コロナ社）P18 図2.9 Marionette / StarC

4. Copyright©2018 nao_sec All Rights Reserved. Drive-by Download攻撃 • 概要 •

   Webサイトを使ってWebブラウザを攻撃 • 悪性Webサイトへ誘導された脆弱なWebブラウザに対して， そのブラウザの脆弱性を突くようなコードを送り込んで制御 を奪い，マルウェアをダウンロード・実行させる • Remote Code Execution • 入口 • メールやSNS • 改ざんされた一般のWebサイト • 悪性Web広告（Malvertising） • 最近の主流 4

5. Copyright©2018 nao_sec All Rights Reserved. Drive-by Download攻撃 ②Access ①Inject ④Download

   & Execute ③Drive (redirect...) 中継サーバ 5

6. Copyright©2018 nao_sec All Rights Reserved. Exploit Kit • 攻撃者の役割分担 •

   サイト改ざんやWeb広告でユーザを攻撃サーバへ誘導 • Traffic Distribution System • ブラウザの脆弱性を突き，マルウェアをダウンロード・実行 • Exploit Kit • Exploit Kit as a Service • 攻撃者はユーザをExploit Kitへ誘導するだけ • API的なものを使う • 攻撃の難易度が低くなった ← 役割分担 6

7. Copyright©2018 nao_sec All Rights Reserved. 7 DEMO

8. Copyright©2018 nao_sec All Rights Reserved. 観測・解析における課題 • 難読化 • 文字列置換

   • window.locationやscreen.heightを利用することもある • 動的実行 • eval, Function • 他言語を跨ぐ実行 • JavaScript, VBScript, SWF, Jar • フィンガープリンティング • User-Agent, プラグイン • クローキング • IPアドレス, Geo-Location, Referer 8 効率良くDbD/EKのトラフィックを観測したい

9. Copyright©2018 nao_sec All Rights Reserved. クライアントハニーポット • 観測のための技術 • DbD/EKのトラフィックを観測するには脆弱な環境で実際に

   攻撃を受けることが最も確かな方法 • 静的な解析でもできないこともないが難易度が桁違い • 世界中で様々な先行研究があるが、実用には耐えられない • “堅牢”で”脆弱”な環境を作る必要がある • 攻撃を受ける === マルウェアが動く • マルウェアが動いても問題がない環境 • ネットワーク等を隔離し、スナップショット等で復元 • マルウェアが動かない環境 • Anti-Anti-Analysis • そういうの欲しいです… 9

10. Copyright©2018 nao_sec All Rights Reserved. クライアントハニーポット • 脆弱な環境 • 何を用意したらいいのか？

    ← 最も重要（みんな悩んでる） • OS、ブラウザ、プラグイン、ソフトウェア… • 様々なEKのコードを解析し、利用している脆弱性を調査 10 2011-3544 2012-4681 2013-0422 2013-2551 2014-6332 2015-2419 2016-0189 2016-7200 2017-0037 2017-0059 RIG ◦ ◦ ◦ Terror ◦ ◦ ◦ Magnitude ◦ KaiXin ◦ ◦ ◦ ◦ ◦ Disdain ◦ ◦ ◦ ◦ ◦ GrandSoft ◦ Sundown ◦

11. Copyright©2018 nao_sec All Rights Reserved. クライアントハニーポット • 脆弱な環境の例 • Windows

    7 • セキュリティパッチは当てない • Internet Explorer 9 • 保護は全て無効化 • Adobe Flash Player 20 • Java Runtime Emvironment 7 Update 10 • Microsoft Silverlight 5.0 EKが活き活きと動ける環境を作ってあげることが重要 11

12. Copyright©2018 nao_sec All Rights Reserved. クライアントハニーポット • 観測のための技術 • クローキングに左右されない環境

    • RIG • 同一のIPアドレスで2度以上アクセスしても攻撃を行わない • Seamless • Geo-Locationごとに攻撃トラフィックが異なる • 観測したいものに合わせて柔軟に環境を変える • IP（およびGeo-Location）を変える • VPNやプロキシを利用する 12

13. Copyright©2018 nao_sec All Rights Reserved. StarC • 高対話型クライアントハニーポット 13

14. Copyright©2018 nao_sec All Rights Reserved. StarC 14

15. Copyright©2018 nao_sec All Rights Reserved. 15 DEMO

16. Copyright©2018 nao_sec All Rights Reserved. traffic.moe 16

17. Copyright©2018 nao_sec All Rights Reserved. Summary • ハニーポットにも色々ある • 高対話型クライアントハニーポット

    • 悪性トラフィックを観測するための技術 • OS、ブラウザ、プラグイン • 観測・解析妨害 • 難読化 • フィンガープリンティング • クローキング • DbD/EKが活き活きと動ける環境を用意する

18. Copyright©2018 nao_sec All Rights Reserved. 18 Any Questions?