Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Using StarC to observe malicious traffic
Search
Rintaro KOIKE
February 24, 2018
1
1.2k
Using StarC to observe malicious traffic
第3回 ハニーポッター技術交流会
https://hanipo-tech.connpass.com/event/78002/
Rintaro KOIKE
February 24, 2018
Tweet
Share
More Decks by Rintaro KOIKE
See All by Rintaro KOIKE
EKTotal: Integrated tool to analyze Drive-by Download attack
koike
0
920
Drive-by Download Must Die
koike
0
120
Drive-by Download攻撃を仕掛ける悪性Webサイトに誘導するように改ざんされた一般のWebサイトの探索
koike
0
390
"Shadowfall"という取り組み
koike
0
160
Drive-by Download攻撃に おけるRIG Exploit Kitの 解析回避手法の調査
koike
2
640
Featured
See All Featured
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
eileencodes
33
2k
Docker and Python
trallard
42
3.1k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
251
21k
Understanding Cognitive Biases in Performance Measurement
bluesmoon
26
1.5k
Into the Great Unknown - MozCon
thekraken
33
1.5k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
sstephenson
159
15k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
28
4.4k
Git: the NoSQL Database
bkeepers
PRO
427
64k
Chrome DevTools: State of the Union 2024 - Debugging React & Beyond
addyosmani
2
170
A better future with KSS
kneath
238
17k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
tammyeverts
48
2.2k
Sharpening the Axe: The Primacy of Toolmaking
bcantrill
38
1.9k
Transcript
Copyright©2018 nao_sec All Rights Reserved. 第 回 ハニーポッター技術交流会
Copyright©2018 nao_sec All Rights Reserved. Speaker • 小池 倫太郎 •
大学生 学部4年 • nao_secでは悪性トラフィックの調査・解析を担当 • nao_sec • 2017年2月に結成 • 活動 • Drive-by Download攻撃やExploit Kitの調査・解析 • 解析ツールの開発・公開 • それらに関する情報の発信 • http://nao-sec.org • https://twitter.com/nao_sec • https://github.com/nao-sec • 仕事ではなく,アマチュア(趣味) 2
Copyright©2018 nao_sec All Rights Reserved. Honeypot 3 ハニーポット 攻撃経路 インタラクション
サーバ クライアント ハニートークン 高対話型 ハイブリッド 低対話型 SSH Web App Telnet Webブラウザ 認証情報 機密文書 参考「実践サイバーセキュリティモニタリング」(コロナ社)P18 図2.9 Marionette / StarC
Copyright©2018 nao_sec All Rights Reserved. Drive-by Download攻撃 • 概要 •
Webサイトを使ってWebブラウザを攻撃 • 悪性Webサイトへ誘導された脆弱なWebブラウザに対して, そのブラウザの脆弱性を突くようなコードを送り込んで制御 を奪い,マルウェアをダウンロード・実行させる • Remote Code Execution • 入口 • メールやSNS • 改ざんされた一般のWebサイト • 悪性Web広告(Malvertising) • 最近の主流 4
Copyright©2018 nao_sec All Rights Reserved. Drive-by Download攻撃 ②Access ①Inject ④Download
& Execute ③Drive (redirect...) 中継サーバ 5
Copyright©2018 nao_sec All Rights Reserved. Exploit Kit • 攻撃者の役割分担 •
サイト改ざんやWeb広告でユーザを攻撃サーバへ誘導 • Traffic Distribution System • ブラウザの脆弱性を突き,マルウェアをダウンロード・実行 • Exploit Kit • Exploit Kit as a Service • 攻撃者はユーザをExploit Kitへ誘導するだけ • API的なものを使う • 攻撃の難易度が低くなった ← 役割分担 6
Copyright©2018 nao_sec All Rights Reserved. 7 DEMO
Copyright©2018 nao_sec All Rights Reserved. 観測・解析における課題 • 難読化 • 文字列置換
• window.locationやscreen.heightを利用することもある • 動的実行 • eval, Function • 他言語を跨ぐ実行 • JavaScript, VBScript, SWF, Jar • フィンガープリンティング • User-Agent, プラグイン • クローキング • IPアドレス, Geo-Location, Referer 8 効率良くDbD/EKのトラフィックを観測したい
Copyright©2018 nao_sec All Rights Reserved. クライアントハニーポット • 観測のための技術 • DbD/EKのトラフィックを観測するには脆弱な環境で実際に
攻撃を受けることが最も確かな方法 • 静的な解析でもできないこともないが難易度が桁違い • 世界中で様々な先行研究があるが、実用には耐えられない • “堅牢”で”脆弱”な環境を作る必要がある • 攻撃を受ける === マルウェアが動く • マルウェアが動いても問題がない環境 • ネットワーク等を隔離し、スナップショット等で復元 • マルウェアが動かない環境 • Anti-Anti-Analysis • そういうの欲しいです… 9
Copyright©2018 nao_sec All Rights Reserved. クライアントハニーポット • 脆弱な環境 • 何を用意したらいいのか?
← 最も重要(みんな悩んでる) • OS、ブラウザ、プラグイン、ソフトウェア… • 様々なEKのコードを解析し、利用している脆弱性を調査 10 2011-3544 2012-4681 2013-0422 2013-2551 2014-6332 2015-2419 2016-0189 2016-7200 2017-0037 2017-0059 RIG ◦ ◦ ◦ Terror ◦ ◦ ◦ Magnitude ◦ KaiXin ◦ ◦ ◦ ◦ ◦ Disdain ◦ ◦ ◦ ◦ ◦ GrandSoft ◦ Sundown ◦
Copyright©2018 nao_sec All Rights Reserved. クライアントハニーポット • 脆弱な環境の例 • Windows
7 • セキュリティパッチは当てない • Internet Explorer 9 • 保護は全て無効化 • Adobe Flash Player 20 • Java Runtime Emvironment 7 Update 10 • Microsoft Silverlight 5.0 EKが活き活きと動ける環境を作ってあげることが重要 11
Copyright©2018 nao_sec All Rights Reserved. クライアントハニーポット • 観測のための技術 • クローキングに左右されない環境
• RIG • 同一のIPアドレスで2度以上アクセスしても攻撃を行わない • Seamless • Geo-Locationごとに攻撃トラフィックが異なる • 観測したいものに合わせて柔軟に環境を変える • IP(およびGeo-Location)を変える • VPNやプロキシを利用する 12
Copyright©2018 nao_sec All Rights Reserved. StarC • 高対話型クライアントハニーポット 13
Copyright©2018 nao_sec All Rights Reserved. StarC 14
Copyright©2018 nao_sec All Rights Reserved. 15 DEMO
Copyright©2018 nao_sec All Rights Reserved. traffic.moe 16
Copyright©2018 nao_sec All Rights Reserved. Summary • ハニーポットにも色々ある • 高対話型クライアントハニーポット
• 悪性トラフィックを観測するための技術 • OS、ブラウザ、プラグイン • 観測・解析妨害 • 難読化 • フィンガープリンティング • クローキング • DbD/EKが活き活きと動ける環境を用意する
Copyright©2018 nao_sec All Rights Reserved. 18 Any Questions?