Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Knock, knock, Neo - Active C2 Discovery Using P...

Takahiro Haruyama
January 28, 2021
Technology
0
620

Knock, knock, Neo - Active C2 Discovery Using Protocol Emulation (Japanese)

Japan Security Analyst Conference (JSAC) 2021
Tokyo, January 28, 2021
https://jsac.jpcert.or.jp/archive/2021/pdf/JSAC2021_201_haruyama_jp.pdf
(Japanese slides)
https://www.youtube.com/watch?v=kOE9F2_NRgs

Cobalt Strikeは、標的型攻撃をシミュレーションするための商用ソフトウェアであり、レッドチームの業務で用いられている一方、攻撃者にそれを悪用されるケースが近年増えてきている。IoCとして重要となるマルウェアのC2サーバのアドレスは、通常検体の解析によって得ることができるが、Cobalt Strikeの検体(Beacon)はファイルレスにメモリ上のみで実行されることが多く、その取得自体が難しい。また、検体を取得・解析するのは、既にある程度の侵害を受けた後であり、攻撃者に対して後手に回っている感は否めない。

本プレゼンテーションでは、稼働中のCobalt Strikeのチームサーバを、インターネット上から直接発見する手法について発表する。本手法は、Cobalt Strikeが用いるHTTP/HTTPS/DNS/ExternalC2といった複数のプロトコルをエミュレーションし、チームサーバの発見のみに止まらず、そこからのBeaconの取得およびコンフィグのパースを実施する。その結果、本手法は従来手法に比べ、HTTP/HTTPSのプロトコルに限定されない、誤検知がない、単なるIPアドレス以上の脅威情報の収集が可能等の利点を持つ。なお、本手法では、認証のようなセキュリティ機構の回避は一切行っていない。

本プレゼンテーションでは、まず最初にCobalt Strikeがサポートする各プロトコルの詳細を解説する。その上で、本手法に至るアプローチおよび実装のポイントを示す。その後、収集したチームサーバのIPアドレスをコンフィグの情報に基づいてグルーピングする方法を紹介し、Cobalt Strikeが用いられていた公開事例において、同じ攻撃者が使っていたと推測される非公開のIoC情報を明らかにする。また、約1年間の観測で得られた、サーバの設定の傾向等についても触れる。

正規のレッドチームと攻撃者の区別がつかないため、本手法によって得た脅威情報を全て共有することは難しいが、本リサーチの過程で得られた知見は、標的型攻撃と戦うアナリスト、および進行中の(時には準備中の)脅威を検出するためのExternal Detectionの可能性を模索するリサーチャーにとって、有益な内容になると確信している。

Cobalt Strike is a commercial software for simulating APT attacks, and it is intended for red team operations. However, the software is increasingly leveraged by attackers recently. While the address of malware’s C2 server, which is important as a part of IoC, can be obtained through general sample analysis, it is difficult to obtain a sample of Cobalt Strike (Beacon) because it is often executed only on memory, without creating a file on storage. Furthermore, samples are usually obtained and analyzed after the target is compromised, and thus attackers leave the analysts one step behind.

This presentation introduces the method to find an operating Cobalt Strike team server directly on the Internet. This method emulates multiple protocols which Cobalt Strike uses such as HTTP, HTTPS, DNS, and ExternalC2. In addition to finding team servers, this method obtains Beacon and parses the configuration file. In this way, analysts can cover more protocols, not only HTTP and HTTPS, avoid false positives, and obtain more detailed threat information than just IP addresses. The method does not avoid any security feature such as authentication.

This presentation first gives the detailed explanation of each protocol which Cobalt Strike supports. Secondly, the presenter describes how he reached this approach and also shows the points to consider when implementing the said method. After that, the way to categorize obtained team server IP addresses based on configuration information is introduced. Finally, the presenter demonstrates this method by detecting non-public IoC information possibly used in a publicly disclosed attack case in the past, and the trend of server configuration gained through a-year-long observation is also presented.

It is difficult to share all the threat information obtained through this method because it cannot distinguish legitimate red teams from attackers. However, the insights gained through this research will be meaningful to analysts who fight against APT attacks and researchers who seek the possibility of external detection of ongoing and/or potential threats.

Takahiro Haruyama

January 28, 2021
Tweet

More Decks by Takahiro Haruyama

See All by Takahiro Haruyama
The Art of Malware C2 Scanning - How to Reverse and Emulate Protocol Obfuscated by Compiler
takahiro_haruyama
0
3.8k
Static Analysis Automation for Hunting Vulnerable Kernel Drivers
takahiro_haruyama
1
1.8k
Tracking the Entire Iceberg - Long-term APT Malware C2 Protocol Emulation and Scanning
takahiro_haruyama
0
1.6k
Detect Me If You Can - Anti-Firmware Forensics
takahiro_haruyama
2
1.4k
Defeating APT10 Compiler-level Obfuscations
takahiro_haruyama
0
300
fn_fuzzy: Fast Multiple Binary Diffing Triage with IDA
takahiro_haruyama
0
210
Winnti Polymorphism
takahiro_haruyama
1
160
openioc_scan – IOC scanner for memory forensics
takahiro_haruyama
0
180
Fast and Generic Malware Triage Using openioc_scan Volatility Plugin
takahiro_haruyama
0
130

Other Decks in Technology

See All in Technology
Security-JAWS【第35回】勉強会クラウドにおけるマルウェアやコンテンツ改ざんへの対策
4su_para
0
180
リンクアンドモチベーション ソフトウェアエンジニア向け紹介資料 / Introduction to Link and Motivation for Software Engineers
lmi
4
300k
Lambda10周年!Lambdaは何をもたらしたか
smt7174
2
110
初心者向けAWS Securityの勉強会mini Security-JAWSを9ヶ月ぐらい実施してきての近況
cmusudakeisuke
0
130
Lexical Analysis
shigashiyama
1
150
SSMRunbook作成の勘所_20241120
koichiotomo
2
150
Terraform未経験の御様に対してどの ように導⼊を進めていったか
tkikuchi
2
440
いざ、BSC討伐の旅
nikinusu
2
780
強いチームと開発生産性
onk
PRO
35
11k
AWS Lambda のトラブルシュートをしていて思うこと
kazzpapa3
2
180
Platform Engineering for Software Developers and Architects
syntasso
1
520
安心してください、日本語使えますよ―Ubuntu日本語Remix提供休止に寄せて― 2024-11-17
nobutomurata
1
1k

Featured

See All Featured
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
44
6.8k
Statistics for Hackers
jakevdp
796
220k
YesSQL, Process and Tooling at Scale
rocio
169
14k
Dealing with People You Can't Stand - Big Design 2015
cassininazir
364
24k
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
29
2.3k
Embracing the Ebb and Flow
colly
84
4.5k
We Have a Design System, Now What?
morganepeng
50
7.2k
Designing for humans not robots
tammielis
250
25k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
250
21k
Bootstrapping a Software Product
garrettdimon
PRO
305
110k
A Modern Web Designer's Workflow
chriscoyier
693
190k
Rails Girls Zürich Keynote
gr2m
94
13k

Transcript

  1. Knock, knock, Neo. - Active C2 Discovery Using Protocol Emulation

    Takahiro Haruyama (@cci_forensics) Threat Analysis Unit VMware Carbon Black

  2. • サイバーエスピオナージを目的とした 標的型攻撃の分析に従事 • 過去のリサーチ例 • フォレンジック解析 • メモリフォレンジクス •

    アンチフォレンジクス • マルウェア解析 • PlugX • Winnti • リバースエンジニアリング • バイナリ差分解析 • コンパイラレベル難読化の解除 • etc.. 2 春山 敬宏 Sr. Threat Researcher @ VMware Carbon Black Threat Analysis Unit (TAU)

  3. 3 モチベーション • レピュテーションに頼るC2のIoCの限界 • 欲しいのは、IoCではなくIoA • 独自のテレメトリーを持ちたい • IRのチームを組織内に持っていない、組織のテレメトリーが成熟していない

    • 何をターゲットにするか? • 当時リサーチ済み(HydSeven NetWire [1], Winnti 4.0 [2]) • より多くの脅威アクターに使われる&標的型攻撃で使われるもの → Cobalt Strike [3]

  4. 4 本日の構成 • Cobalt Strikeの各プロトコル詳細 • スキャナの実装 • 収集した脅威情報の活用 •

    まとめ

  5. Cobalt Strikeの 各プロトコル詳細 5

  6. 6 プロトコル概観 Beacon (RAT) Team Server Stager (ダウンローダ) CSユーザ Third-party

    Controller Third-party Client ク ラ イ アント 認証 (TLS) Beaconのダウンロード (HTTP/HTTPS/DNS) タ スク の実行 (HTTP/HTTPS/DNS) Named Pipe Third-party Command & Control External C2 (TCP)

  7. 7 分析したバージョンと利用ツール • Cobalt Strike version 3.13 – 4.2 ターゲット

    ツール Team Server Procyon Beacon/Stager/shellcode IDA Pro 通信データ Wireshark

  8. クライアント認証 プロトコル 8 Cobalt Strikeの各プロトコル詳細

  9. 9 クライアント認証プロトコル • TLSを通したパスワード認証 • デフォルトポートは50050

  10. 10 プロトコルフォーマット • 下記リクエストパケットに対して、サーバは4バイトの応答を返す • 0xcafe=OK, 0=NG struct struc_auth_req_pkt {

    int signature; // 0xbeef (big endian) char pass_size; struct_auth_payload payload; }; struct struct_auth_payload { char pass[8]; // flexible length (e.g., 8 bytes) char padding[248]; // padding up to 0x100 bytes (248 bytes in this case) };

  11. Stager プロトコル 11 Cobalt Strikeの各プロトコル詳細

  12. 12 HTTP/HTTPS Stager • Team Serverに、checksum8ルール [4] を満たすURIパスへ GETリクエストを送ることで、Beaconを含むシェルコードを取得 •

    e.g., 3xQa, i4Jv, qB1y, ... • Malleable C2 profile [5] のuri_*で任意のURIを指定可能だが.. • Webクローラと思われるUser-Agentは弾く (lynx/curl/wget)

  13. 13 DNS Stager • DNS TXTレコードをリクエストすることでシェルコードを取得 • DNS Stagingはx86のみサポート •

    DNS TXTレコードは255バイトしか持てないので、複数回リクエス トを送って得たバイナリを結合 • [オフセットを表す3文字].stage.[CSユーザが所有するドメイン名] • e.g., aaa.stage.hoge.com, baa.stage.hoge.com, ... • v4.1以降では任意のサブドメインを指定可能だが.. • C2 profileのdns_stager_subhost

  14. 14 DNS Stager (続) • 結合後、シェルコードがbeaconをデコードして実行 • v3までは、DNSはHTTPとのハイブリッドプロトコル • Stagerに”reverse_dns_txt”を選択しても、HTTPも動作した状態

    • v4.0以降は、Stager/Beacon共に完全なDNS実装 C2 Profileの dns_stager_prepend で先頭にゴミを追加可能

  15. Beacon プロトコル 15 Cobalt Strikeの各プロトコル詳細

  16. 16 Beaconプロトコル基本フロー 1. Beaconがセッションメタデータ(感染端末から収集した情報)を Team Serverに送信 • HTTP/HTTPSでは設定に基づいて定期的に送信 • DNSでは明示的なコマンド実行が必要(IDのみ定期的に送信)

    • e.g., checkinコマンド 2. Team Serverが応答 • 実行させたいタスク(コマンド)があればそれを含める 3. Beaconがタスク情報を受信、その実行結果を送信

  17. 17 セッションメタデータの構造 • バージョンの更新に伴い、可 変長データが減る傾向 • beacon_IDで感染端末を 一意に識別 • タスクの要求・応答データは

    session_seedを元にAES で暗号化(後述) • セッションメタデータはRSAの 公開鍵で暗号化 struct struc_metadata_314 // version 3.14 metadata { int big_signature; // 0xbeef int big_size; char session_seed[16]; __int16 little_ANSI_codepage; __int16 little_OEM_codepage; char victim_info; /* flexible length, tab delimited "%d\t%d\t%d.%d\t%s\t%s\t%s\t%d\t%d", beacon_ID_0to100000, pid, dwMajorVersion, dwMinorVersion, ipaddr, computer_name, user_name, is64, beacon_arch (1:x64, else:x86) */ };

  18. 18 struct struc_metadata_40 // version 4.0 metadata { int big_signature;

    // 0xbeef int big_size; char session_seed[16]; __int16 little_ANSI_codepage; __int16 little_OEM_codepage; int big_beacon_ID; // up to 0x7FFFFFFE int big_pid; __int16 big_port; char flags; // 1:None, 2:beacon_x64, 4:is64, 8:is_admin char victim_info; /* flexible length, tab delimited "%d.%d\t%s\t%s\t%s\t%s", dwMajorVersion, dwMinorVersion, ipaddr, computer_name, user_name, process_name */ }; struct struc_metadata_41 // version 4.1/4.2 metadata { int big_signature; // 0xbeef int big_size; char session_seed[16]; __int16 little_ANSI_codepage; __int16 little_OEM_codepage; int big_beacon_ID; // up to 0x7FFFFFFE int big_pid; __int16 big_port; char flags; // 1:None, 2:beacon_x64, 4:is64, 8:is_admin char dwMajorVersion; char dwMinorVersion; __int16 big_build; char bytes[4]; // GetModuleHandleA/GetProcAddress char gmh[4]; // GetModuleHandleA (low dword) char gpa[4]; // GetProcAddress (low dword) int little_IP_addr; char victim_info; /* flexible length, tab delimited "%s\t%s\t%s", computer_name, user_name, process_name */ };

  19. 19 Beaconプロトコル共通の暗号化 キーの生成 前半16バイト for AES CBCモード 後半16バイト for HMAC-SHA256

    HMAC(前半16バイトのみ)

  20. 20 HTTP/HTTPS Beacon • デフォルトではセッションメタデータはGET、タスク実行結果はPOSTで送信 • CSユーザは、Malleable C2 profile [5]

    を用いて、リクエストメソッドやURIパ ス・パラメータ、ヘッダの値、送信データのエンコーディング等を指定 • マルウェアアナリストは、Beaconに含まれるコンフィグをパースすることでその設定 を把握できる (コンフィグの構造については後述) buf C2_REQUEST (http-get.client) transform at 0x584: - BUILD at 0x58a: 0 = metadata or id - BASE64 at 0x592 - HEADER (Store data in an HTTP header) at 0x596: b'Cookie'

  21. 21 DNS Beacon • DNS Aレコードをリクエストして、タスク実行をポーリングする • [beacon ID].[CSユーザが所有するドメイン名] •

    セッションメタデータは毎回送信しない • タスクの有無に応じて応答のアドレス値が変化 • タスク無 -> C2 profileのdns_idleに設定された値 • デフォルトは0.0.0.0 • タスク有 -> 上記値をDNS Beaconの“mode”に応じてxorした値 タスクダウンロード時のmode プロトコル サブドメイン http (version 4で廃止) HTTP - dns (version 3のデフォルト) DNS Aレコード cdn dns-txt (version 4のデフォルト) DNS TXTレコード api dns6 DNS AAAAレコード www6

  22. 22 DNS Beacon (タスクのダウンロード) • タスクがある場合、第4オクテットをxor • xorする値の計算 • ベース値は240

    • セッションメタデータの送信が必要 -> ベース値 |= 1 • mode dns-txt ->ベース値 |= 2 • mode dns6 ->ベース値 |= 4 Team Serverが セッションメタデータ送信と、 タスクのダウンロード (dns-txt mode) を要求

  23. 23 DNS Beacon (タスクのダウンロード、続) • e.g., dns-txt modeの場合、サブドメインにapiをつけてリクエスト • Aレコード(タスク情報のデコード後のサイズ)

    • TXTレコード(タスク情報) dns_idleとサイズをxor 暗号化されたタスク情報 (base64-encoded)

  24. 24 DNS Beacon (データの送信) • セッションメタデータ or タスク実行結果を、DNS Aレコードのリクエ ストとして送信

    • データはサブドメインに含まれる セッション メタデータ 送信 タスクの ダウンロード タスク実行 結果送信

  25. 25 DNS Beacon (データの送信、続) • データ送信時のサブドメインの形式 post = タ スク

    実行結果送信 1f4e9a5b688bb8cf9 = [データ に使われるサブド メ イ ンの数を表す1 文字] + [データ ] 2d9039bc = DNS cache data ID 40a3ffe = Beacon ID

  26. External C2 プロトコル 26 Cobalt Strikeの各プロトコル詳細

  27. 27 External C2 プロトコル • third-party C2プロトコルはユーザが自由に決めて良い • e.g., DNS

    over HTTPS [6] • third-party controllerとTeam Serverの間のプロトコルはTCP • frameと呼ばれるシンプルなフォーマットを使う • バッファサイズ (リトルエンディアン4バイト) + バッファ • 通信開始時、”キー=値”の文字列バッファを含むオプション情報を送信 キー 説明 デフォルト値 arch Beaconのアーキテクチャ (x86 or x64) x86 pipename 名前付きパイプの名前 externalc2 block 応答前にタスク情報を待つ時間 (ミリ秒) 100 type 未使用 rdll

  28. 28 External C2 プロトコル (続) • オプション情報の送信後、third-party controllerが“go” frameを送信することで、Beaconをダウンロード •

    セッションメタデータ、タスク情報とその結果のやりとりも、同じframe 形式でやりとりされる

  29. スキャナの実装 29

  30. 30

  31. 31 本手法のアプローチ • Stagerプロトコルにフォーカスする [4] • 静かに実施する • BeaconプロトコルのエミュレーションはCSユーザに気づかれやすい •

    認証のようなセキュリティ機構を回避しない • クライアント認証プロトコルへのスキャンはログイン試行の誤解を招く • 誤検知を避ける • HTTPレスポンスやTLSのハンドシェイク、DNS Aレコードの応答に基づく単純な判断 では誤検知を0にできない

  32. 32 本手法のアプローチ (続) • Stagerプロトコル (HTTP/HTTPS/DNS/ExternalC2) によっ てBeaconをダウンロードし、そのコンフィグを抽出する • Stagerを無効にするC2

    Profile設定 (version 3.5.1以降) • HTTP/HTTPS/DNS Stagerが無効になる • External C2のstagingは無効にできない • 無効にした場合は、Beaconを配置する仕組みが別途必要 • 大半のTeam Serverは利便性のために有効にしたまま? set host_stage "false";

  33. 33 従来手法 概要 公開元 対象 プロトコル 誤検知 備考 NanoHTTPDの挙動に 基づく検出

    Fox-IT [7] HTTP/HTTPS あり (NanoHTTPD) 3.13で修正 済み HTTPレスポンス ヘッダに基づく検出 ZoomEye [8] FireEye [9] HTTP/HTTPS あり TLS Server Helloレス ポンスに基づく検出 Salesforce [10] HTTPS あり (同じバージョン のJava web server) JARMを公開 Stagerプロトコルを 使ったコンフィグ 抽出 [11] [12] [13] [14] [15] HTTP/HTTPS なし 450-781 (1スキャン) DNS/ExternalC2未対応、HTTP/HTTPS Stagerは後で性能を比較

  34. コンフィグパーサー の実装 34 スキャナの実装

  35. 35 Beaconのコンフィグ構造 • ネストしたバイナリ構造 • 各コンフィグ値は6バイトのヘッダを持つ • typeがbufの場合、以下のいずれか • 文字列

    • transform data • HTTP設定 • プロセスインジェクション設定 struct struc_config_param_header { __int16 id; // 0 is end __int16 type; // 1:word, 2:dword, 3:buf __int16 size; };

  36. 36 transform data • プロセスインジェクション transform data はシンプル • インジェクションコードのprepend/append

    • 各々は、4バイトサイズ情報+データ • HTTP transform data は若干カオス • コンフィグと異なり、各transform値のヘッダは4バイトのIDのみ • IDごとにタイプ・サイズが異なる、ヘッダのみのIDもあり • transform IDが同じでも、異なるtransform dataであれば、その形式が異 なってくる • e.g., サーバ応答 (C2_RECOVER) vs セッションメタデータ送信 (C2_REQUEST)

  37. 37 既存公開パーサー [16][17][18] との違い • 最新バージョンのコンフィグ値に対応、各HTTP transform dataを 完全にパース ...

    buf C2_RECOVER (http-get.server.output) transform at 0x47e: - PRINT (Send data as transaction body) at 0x484 - APPEND at 0x488: size = 1522 (0x5f2) - PREPEND at 0x490: size = 84 (0x54) - PREPEND at 0x498: size = 3931 (0xf5b) - BASE64URL (URL-safe Base64) at 0x4a0 - MASK (XOR mask w/ random key) at 0x4a4 buf C2_REQUEST (http-get.client) transform at 0x584: - _HEADER at 0x58a: b'Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8' - _HEADER at 0x5d9: b'Referer: http://code.jquery.com/' - _HEADER at 0x601: b'Accept-Encoding: gzip, deflate' - BUILD at 0x627: 0 = metadata or id - BASE64URL (URL-safe Base64) at 0x62f - PREPEND at 0x633: b'__cfduid=‘ - HEADER (Store data in an HTTP header) at 0x644: b'Cookie’ ... jquery C2 profile [20] に対するパース結果

  38. Internet-wideに Team Serverを 見つけるために 38 スキャナの実装

  39. 39 Internet-wideにTeam Serverを見つけるために • ターゲットプロトコル・ポートの選定 • DNS以外はポートを自由に変更可能 • HTTP/HTTPS •

    過去のインシデント、公開レポート • 過去のBeacon検体からのパース結果 [20] • twitterでの検索 • 他組織によるStagerプロトコルを使ったコンフィグ抽出 [14][15] • External C2 • とにかく実際にテストしてみる • ターゲットを増やせば増やすほど取得数は増えるが、インターバルが長くなる

  40. 40 Internet-wideにTeam Serverを見つけるために (続) • オープンホストリストの取得 • リアルタイム性を求めるのであれば自ら生成 (e.g., Zmap

    [21]) • 省エネで行きたいならサードパーティが配布しているリストを使う (e.g., Rapid7 [22]) • データ更新間隔の長さを許容できるかで判断 • 送信元の匿名化 • TCPベースのリクエストはTorを通す • UDPベースのリクエストは匿名化VPNを通す

  41. 収集した脅威情報の 活用 41

  42. 観測データ 42 収集した脅威情報の活用

  43. 43 累計とプロトコル別割合 • 観測期間 • 2020/02から現在まで • Team Serverの累計数 •

    6,336 (IP/portユニーク) 56% 31% 12% 1% HTTPS HTTP DNS ExternalC2

  44. 44 バージョン別割合 • コンフィグ値に基づく分類 • version 3.8 以下は、 WATERMARK (Customer

    ID) なし [19] • version 4.1 以降は、実際は 多い可能性あり 65% 15% 15% 4% 1% 4.0 4.1 and later 3.14 3.9 - 3.13 3.8 and below

  45. 45 リーク・クラック版の割合 • 以下の4つのCustomer IDは、リーク・クラック済み • 1873433027 • 305419896 •

    16777216 • 1359593325 • customer ID = 0 • トライアル版のはずだが.. 35% 8% 6% 1% 1% 49% 305419896 0 (trial&cracked) 1873433027 16777216 1359593325 その他

  46. 46 クラック済みトライアル版 • トライアル版の場合、version 3.6以降は、Beaconのタスク実行 の暗号化がoffになる [23] • コンフィグ値の SETTING_CRYPTO_SCHEME

    = 1 • トライアル版&3.6以降で、当該値が0になっているTeam Server がin the wildに多数存在 ... word CRYPTO_SCHEME (1 = disable encryption) at 0x746: 0 (0x0) ... dword WATERMARK at 0x798: 0 (0x0) ...

  47. 47 1スキャン毎の取得数の推移 (well-knownのみ) 0 100 200 300 400 500 600

    700 800 900 Feb-20 Mar-20 Apr-20 May-20 Jun-20 Jul-20 Aug-20 Sep-20 Oct-20 Nov-20 Dec-20 Jan-21 HTTPS/443 HTTP/80 DNS/53 ExternalC2/2222

  48. 48 HTTP/HTTPS 1スキャン性能比較 (2020/12) [11] 450 複数ポートをスキャン (HTTP/HTTPS) [12] 503

    443のみスキャン JARMベース (HTTPS) [13] 520 複数ポートをスキャン JARMベース (HTTPS)

  49. 49 HTTP/HTTPS 1スキャン性能比較 (2020/12、続) [14] 568 443 & 80スキャン (HTTP/HTTPS)

    [15] 781 複数ポートをスキャン (HTTP/HTTPS)

  50. 50 ドメインフロンティング • CDN等でのルーティングを悪用するテクニック [42] • HTTPS通信で、DNSクエリとTLSのSNIフィールドに無害なCDNのドメイン、HTTPの Hostヘッダに攻撃者のサーバドメインを指定する • 双方のドメインが同じCDNから提供されていれば、HTTPSの接続先が無害なCDNで

    あっても、実際の通信を攻撃者のサーバに転送できる • Cobalt StrikeでのHostヘッダ設定 • Malleable C2 Profile [43] -> HTTP transform data • GUIメニュー (C2 Profile設定を上書き)-> コンフィグ値 (ID=54) ... buf DOMAINS (C2 URLs) at 0x13a: ajax.microsoft.com,/gp/cerberus/gv ... buf C2_REQUEST (http-get.client) transform at 0x412: - _HOSTHEADER at 0x418: 'Host: cdndev94.azureedge.net' ...

  51. 51 観測データで見るドメインフロンティング • 過去の古いBeacon検体の調査 [44]によると、 以下の悪用がメジャーだったが.. • Amazon CloudFront (cloudfront.net)

    • Google App Engine (appspot.com) • Microsoft Azure (azureedge.net) • AmazonとGoogleは2年前に対策済み [45][46] • 現在1、2件程度でほぼ絶滅 • Microsoft Azureが、観測期間中のドメインフ ロンティング悪用のほとんどを占める • Azure = 140, Fastly = 24 期間中観測された ドメインフロンティングされている Team Serverの数 0 50 100 150 Microsoft Azure Fastly

  52. 52 なぜMicrosoftは対策しない?

  53. コンフィグ値に 基づいた攻撃者の グルーピング 53 収集した脅威情報の活用

  54. 54 コンフィグ値に基づいた攻撃者のグルーピング • コンフィグ値の共通点から、特定の脅威アクター・キャンペーンに結び つくクラスタを作れないか? • 有効な情報 • PUBKEY •

    WATERMARK • その他 • HTTPヘッダ情報 (USERAGENT, HOST_HEADER, transform data) • PROCINJ_STUB (jarファイルパスのハッシュ値)

  55. 55 PUBKEY • セッションメタデータ暗号化に使われる公開鍵 • コンフィグ内にDERフォーマットで保存 • 元となるRSAのキーペアファイルは、Team Serverのディレクトリに .cobaltstrike.beacon_keys

    として初ログイン時に生成 • 仮にそのディレクトリが別ホストにコピーされた場合、そのキーペアファ イルは使い回されることになる →PUBKEYが同一なTeam Serverは、同じ脅威アクターによって 管理されている可能性が高い

  56. 56 WATERMARK • customer ID [19] • authorization file (cobaltstrike.auth)

    から抽出 • version 3.9以降で実装された仕組み • アップデートプログラムを実行するたびに値が変わる • リーク・クラック版でなければ、同一アクターであることを保証 • リーク・クラック版であっても、レッドチームか攻撃者かを区別可能

  57. 57 公開事例1: Mustang Panda [24] (2020/03) • COVID-19をテーマとしたファイルを囮に、Cobalt Strikeを感染さ せるエスピオナージキャンペーン

    • 公開Team ServerのPUBKEYに一致: 185.62.56[.]217 • 資料作成時点で未だアクティブ

  58. 58 公開事例2: ランサムウェア インシデント • MAZE ランサムウェア [25] (2020/05) •

    公開Team ServerのPUBKEYに一致: 152.89.244[.]48 • Sodinokibi ランサムウェア [26] (2020/06) • 公開Team ServerのPUBKEYに一致: 5.101.1[.]202 • 公開Team ServerのCustomer ID (452436291) に、別の19のIP が一致

  59. 59 公開事例3: PyXie [27] (2020/11) • Vatet ローダー、PyXie RAT、Defray777 ランサムウェアのコンビ

    ネーションを使うサイバークライムキャンペーン • PyXie RATが使われる前は、ほとんどがCobalt StrikeのBeaconや Stager • 公開Team ServerのPUBKEYに、別の151のIPが一致

  60. 60 公開事例4: Blackrota [28] (2020/11) • Docker Remote APIをexploitするバックドア •

    Geacon [30] ベースの実装 • 公開Team ServerのPUBKEYに一致: 187.33.236[.]62 • 資料作成時点で未だアクティブ

  61. 61 公開事例5: LuckyMouse/TA428 [29] (2020/12) • Able Desktopがサプライチェーン攻撃に悪用された事例 • インストーラ実行時にデプロイされるKorplugのC2に、同時期に

    Cobalt Strike Team Serverが稼働していた [31] • 当該Team ServerのPUBKEYに、別の253のIPが一致

  62. 62 その他の公開事例 • ヒットするが非公開のIP無し • Kiya [32], Chimera [33], IndigoDrop

    [34], RYUK, etc.. • ポートが変則的で当時見逃し • APT41 [35], CVE-2020-14882 スキャンキャンペーン [36] • Stager無効 • UNC2452 [37] • 観測期間外の、時間が経ち過ぎた攻撃との関連付けは難しい • APT10 [38], TA505 [39], OceanLotus [40][41]

  63. まとめ 63

  64. 64 まとめ • Cobalt Strikeプロトコルの分析結果を共有 • プロトコルエミュレーションによって、インターネット上のTeam Serverを発見する 手法の実装 •

    観測期間中に稼働していたTeam Serverを、ほぼリアルタイムで捕捉 • 攻撃開始前のサーバも、デプロイした段階で検出 • 1年間で6,300超のTeam Serverが稼働、過半数がリーク・クラック済み • 今後の課題 • External C2の独自プロトコルの調査・対応 • ハニーポットによるCSユーザの実行タスクパターンの収集 • あなたのソリューションは?

  65. 65 リファレンス (1/4) [1] https://www.carbonblack.com/blog/active-c2-discovery-using-protocol-emulation-part1-hydseven-netwire/ [2] https://www.carbonblack.com/blog/threat-analysis-active-c2-discovery-using-protocol-emulation-part2-winnti-4-0/ [3] https://www.cobaltstrike.com/ [4]

    https://blog.cobaltstrike.com/2019/02/19/cobalt-strike-team-server-population-study/ [5] https://www.cobaltstrike.com/help-malleable-c2 [6] https://github.com/SpiderLabs/DoHC2 [7] https://blog.fox-it.com/2019/02/26/identifying-cobalt-strike-team-servers-in-the-wild/ [8] https://80vul.medium.com/identifying-cobalt-strike-team-servers-in-the-wild-by-using-zoomeye-part-2-acace5cc612c [9] https://www.fireeye.com/blog/threat-research/2020/07/scandalous-external-detection-using-network-scan-data-and- automation.html [10] https://engineering.salesforce.com/easily-identify-malicious-servers-on-the-internet-with-jarm-e095edac525a [11] https://twitter.com/MichalKoczwara/status/1338110430498197505?s=20 [12] https://twitter.com/notwhickey/status/1335031839430479872?s=20

  66. 66 リファレンス (2/4) [13] https://www.randhome.io/blog/2020/12/20/analyzing-cobalt-strike-for-fun-and-profit/ [14] https://www.zoomeye.org/searchResult?q=%22CobaltStrike%20Beacon%20configurations%22 [15] https://quake.360.cn/quake/#/reportDetail?id=5fc6fedd191038c3b25c4950 [16]

    https://github.com/Sentinel-One/CobaltStrikeParser [17] https://blog.didierstevens.com/2020/11/07/1768-k/ [18] https://github.com/sysopfb/malware_decoders/blob/master/cs_beacon/proper_beacon_decoder.py [19] https://www.cobaltstrike.com/help-authorization-files [20] https://github.com/threatexpress/malleable-c2 [21] https://github.com/zmap/zmap [22] https://opendata.rapid7.com/ [23] https://blog.cobaltstrike.com/2015/10/14/the-cobalt-strike-trials-evil-bit/ [24] https://www.anomali.com/blog/covid-19-themes-are-being-utilized-by-threat-actors-of-varying-sophistication

  67. 67 リファレンス (3/4) [25] https://www.fireeye.com/blog/threat-research/2020/05/tactics-techniques-procedures-associated-with-maze-ransomware- incidents.html [26] https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/sodinokibi-ransomware-cobalt-strike-pos [27] https://unit42.paloaltonetworks.com/vatet-pyxie-defray777/

    [28] https://blog.netlab.360.com/blackrota-an-obfuscated-backdoor-written-in-go-en/ [29] https://www.welivesecurity.com/2020/12/10/luckymouse-ta428-compromise-able-desktop/ [30] https://github.com/darkr4y/geacon [31] https://twitter.com/KorbenD_Intel/status/1217121790872424448 [32] https://insight-jp.nttsecurity.com/post/102fz2k/kiya [33] https://www.cycraft.com/download/%5BTLP-White%5D20200415%20Chimera_V4.1.pdf [34] https://blog.talosintelligence.com/2020/06/indigodrop-maldocs-cobalt-strike.html [35] https://www.fireeye.com/blog/threat-research/2020/03/apt41-initiates-global-intrusion-campaign-using-multiple-exploits.html [36] https://isc.sans.edu/diary/rss/26752

  68. 68 リファレンス (4/4) [37] https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain- compromises-with-sunburst-backdoor.html?1 [38] https://www.lac.co.jp/lacwatch/people/20180521_001638.html [39] https://www.fsec.or.kr/user/bbs/fsec/163/344/bbsDataView/1382.do?page=1&column=&search=&searchSDate=&

    searchEDate=&bbsDataCategory= [40] https://www.paloaltonetworks.jp/company/in-the-news/2019/tracking-oceanlotus-new-downloader-kerrdown [41] https://www.volexity.com/blog/2020/11/06/oceanlotus-extending-cyber-espionage-operations-through-fake- websites/ [42] https://attack.mitre.org/techniques/T1090/004/ [43] https://blog.cobaltstrike.com/2017/02/06/high-reputation-redirectors-and-domain-fronting/ [44] https://paper.seebug.org/1190/ [45] https://aws.amazon.com/blogs/security/enhanced-domain-protections-for-amazon-cloudfront-requests/ [46] https://blog.torproject.org/domain-fronting-critical-open-web