Torを使ったサイバー攻撃の戦術とその対策案（転載）

Torを使ったサイバー攻撃の戦術とその対策案:

US-CERTより、FBIとの共同寄稿として、Torを使ったサイバー攻撃の戦術およびその対策案についてのアラートが発行されました。

本記事では、US-CERTの記事を中心として、Torについて、また、最近何かと話題のATT＆CKについてご紹介しつつ、解説していこうと思います。

まずTorについて

Torは、The Onion Routerの略で、ユーザが特定のサイトにアクセスする際に、いくつものノードを経由して接続することで、元の通信先を秘匿する暗号化通信技術を用いたソフトウェアです。

通信を中継するノード間の通信は暗号化されているため、盗聴や改ざんも防止されています。

以下は、@ITが公開している記事の図です。参考の図として掲載しておきます。

そしてこのソフトウェアはTorプロジェクトによって管理されています。

www.torproject.org

元々はインターネットの民主性と匿名利用の促進のための使用を意図されていましたが、攻撃者にとっても好都合であるこの技術は徐々に悪用されるようになりました。

実はこのTor、名探偵コナンの映画でもNorと名前を変えて登場していました。

ちなみに、こんなロゴです。

玉ねぎが白菜になっていますが、NorだからOnionが抜けてないやん！みたいなテンションですが(笑)

まあ、アニメだし、そんなことを言い始めたらコナン君空飛んだりするし。。

---

Torのアクセスはたどれないの？

先ほど述べたTorの技術により、通信時の送信元や、通信経路におけるネットワーク監視、トラフィック分析を困難にしています。

その結果、最終的に宛先のサーバへ通信を行うTorのExitノードからの通信情報のみしか、分析などで活用できないというのが勘所です。

ちなみに、中継点であるノードを一つ一つ、たどっていけば、理論的には送信元IPをたどることは可能なはずです。

ただし、それらノードの管轄は別々の国、別々の管理者の所有物であるボランティアサーバであり、それらをすべての通信をつなぎ合わせるためには中継点すべてのノードの管理者の協力が必要となります。

現実的には不可能だと思います。

さらに言うと、Torの中継ルートは一定時間で変更されることから難易度はさらに高いといえます。

---

Torを利用した攻撃の戦術

さて、ここからは、MITREが公開しているATT&CKフレームワークに基づいた攻撃戦術のお話をしていきます。

ATT&CKとは

ATT&CKと書いてアタックと読みます。

そうなんだ～って感じですよね。(怒られそう(笑))

このATT&CKは脆弱性の識別子CVEの発行組織として有名なMITRE社が開発した、攻撃の手法や戦術を体系化したフレームワークです。

attack.mitre.org

このフレームワークの利用によって、

攻撃グループやマルウェアがサイバー攻撃におけるどの段階のどんな戦術と関連があるのか

がわかります。

攻撃の段階として、よく用いられるサイバーキルチェーンで示すと、Exploit以降の段階をATT&CKでは示しています。

上図は、McAfeeのブログを参照(引用元はMITRE社)

最近公開されている、標的型攻撃の記事などでは、記事のAppendixとして、IoCに添えてATT&CKの指標が書かれることが多いので、注目してみるといいかもしれません。

Torを用いた悪意のある活動

Torを用いた攻撃の活動としては以下が挙げられています。

• Pre-ATT＆CK（侵入準備段階）
  
  • 標的の選択
  • 技術情報収集
    
    • アクティブスキャンの実行
    • パッシブスキャンの実行
    • ドメインとIPアドレス空間の決定
    • セキュリティ防御機能の特定
  • 技術的な弱点の特定
    
    
• ATT＆CK（侵入後）
  
  • 初期侵入
    
    • 公開されたアプリケーションへの侵入
  • C&C（コマンド&コントロール）
    
    • Well-Knownポートの利用
    • プロキシの利用
    • カスタムコマンドや制御プロトコルの利用
    • カスタム暗号化プロトコルの利用
    • 多段プロキシの利用
    • 多段暗号化の利用
    • 標準アプリケーション層プロトコルの利用
  • 情報窃取
  • データ破壊や改ざん
    
    • データの暗号化(ランサムウェアなど)
    • エンドポイントのDoS（サービス拒否）
    • ネットワークのDoS（サービス拒否）

---

Torを利用した攻撃のへの対応策

US-CERTのアラートでは、Torを利用した攻撃を検出するための手法として、例を紹介しています。

ExitノードのIPアドレスを用いた検知

Torプロジェクトより、TorのExitノード一覧が公開されています。

blog.torproject.org

このリストをSIEMやログ分析プラットフォームに取り込むことで、不審な通信が発生した際の検知を可能にできます。

なお、このExitノード一覧は1時間ごとに更新されるので定期的な更新が推奨されます。

Torを用いた通信の特徴を踏まえた検知

• Torの通信で利用させるポート
  
  • 9001
  • 9030
  • 9040
  • 9050
  • 9051
  • 9150
• ドメイン名の末尾
  
  • torproject[.]org
    
    • Torの正規ドメイン
      
    • 別のマルウェアに感染したのち、Torを取得する試みにて検知される可能性あり
    • 事例
      
      • https://blog.trendmicro.co.jp/archives/24640
  • [.]onion
    
    • Torネットワーク内のドメイン
      
    • Tor内のC2サーバへ接続を試みた場合に検知される可能性あり

これら、Torを用いた際の通信の特徴をセキュリティ機能の検知ルールに加えることで、検知が可能になります。

具体的な防御策

• 定常運用において
  
  • TorのEntryノードおよびExitノードのIPアドレスリストを常に最新に維持する
• SIEMの活用
  
  • Torの使用状況をインバウンドおよびアウトバウンドの両面の通信から把握できる運用を行う
• ネットワークトラフィックの検査
  
  • トラフィックの検査を行い、Tor利用状況における通常時のトラフィック量を把握することで、異常を早期に検知する
• インバウンド通信制御
  
  • 既知のExitノードからの通信のブロックもしくは監視設定をセキュリティ機器およびソフトウェアに設定する
  • Tor通信の特徴的なポート番号利用をブロックもしくは監視する
• アウトバウンド通信制御
  
  • 組織からEntryノードへの通信のブロックもしくは監視設定をセキュリティ機器およびソフトウェアに設定する
  • Tor通信の特徴的なポート番号利用をブロックもしくは監視する

---

まとめ

今回は、US-CERTのアラートを中心にTorを用いた攻撃やその対応策についてご紹介しました。

とはいえ、あまりピンとこない方も多いと思いますし、「百聞は一見に如かず」ということで、一度Torを使ってみるのもよいかもしれません。

わかりやすい例がないかなーと思って事例を探してみたのですが、日本の記事だとLACが出している以下の記事くらいしか見当たりませんでした。

とはいえ、攻撃の流れ含めわかりやすいと思いますので、ぜひご参考にしてみてください。

www.lac.co.jp