先日下記内容がYahooから届いた。
YahooとTポイントの提携が終わることは知っていたが、Tポイントがたまっていたことが衝撃だった。
33ポイントなんて何の使い道もないと思っていたのだが、Yahooでウクライナ募金をやっており、しかも1ポイントから募金できるというではないか!
「ふるさとプレミアム」にパスワードリスト型攻撃発生
株式会社ユニメディアは2022年3月2日、同社が運営するふるさと納税支援サイト「ふるさとプレミアム」への不正ログインについて発表した。
これは2022年2月17日午後1時に、同社にて「ふるさとプレミアム」管理画面の異常に気付き調査を開始したところ、ディスク使用量が100%に到達していたため、原因を確認したところ膨大な回数のパスワードリスト型攻撃を受けた可能性が判明したというもの。
同社によると、攻撃推定日は2022年2月13日から2月17日で、日本国内の2,000以上のIPアドレスから分散攻撃の形跡があり、その攻撃回数は約600万回に及んでいる。
不正ログインに成功したのは推計2,099ユーザーで、住所、氏名、性別、誕生日、電話番号、並びにAmazonギフトコードを閲覧または画像撮影できた可能性がある。
同社ではまず、大量アクセスを自動的に遮断できるシステムを導入しbotによるパスワードリスト攻撃を遮断し、続いて不正ログインと見做し得る攻撃対象5,774件について、利用者IDに紐づくパスワードの強制リセットを実施し、利用者にはパスワード強制リセットの連絡を2月17日午後21時38分までに行っている。
同社では既に、管轄の警察署に相談し捜査依頼が受理されており、その他監督省庁や専門機関への報告も完了している。
同社では現在、セキュリティを専門とする第三者機関に事態の解析を依頼しており、報告結果を受けて抜本的かつ恒久的な再発防止策の実施を決定しているとのこと。
ウクライナを救え!ランサムウェア「HermeticRansom」用の無料復号化ツール / Help for Ukraine: Free decryptor for HermeticRansom ransomware
2022年2月24日、Avast Threat Labs はデータワイパー「HermeticWiper」に付随する新しいランサムウェアを発見しました。このマルウェアはESETの仲間がウクライナで出回っているのを発見しました。この命名規則に従い、私たちはこのワイパーに付随するランサムウェアを HermeticRansom と命名することを決定しました。CrowdstrikeのIntelligence Teamが行った分析によると、このランサムウェアは暗号スキーマに弱点があり、無料で復号化することが可能です。
お使いのデバイスが HermeticRansom に感染しており、ファイルを復号化したい場合は、ここをクリックして Avast decryptor を使用してファイルを復元する方法に進んでください。
Go!
このランサムウェアはGO言語で書かれています。実行されると、ローカルドライブやネットワーク共有を検索して、潜在的に価値のあるファイルを探し、以下の拡張子のいずれかを持つファイルを探します(順番はサンプルからの抜粋です)。
.docx .doc .dot .odt .pdf .xls .xlsx .rtf .ppt .pptx .one.xps .pub .vsd .txt .jpg .jpeg .bmp .ico .png .gif .sql.xml .pgsql .zip .rar .exe .msi .vdi .ova .avi .dip .epub.iso .sfx .inc .contact .url .mp3 .wmv .wma .wtv .avi .acl.cfg .chm .crt .css .dat .dll .cab .htm .html .encryptedjb |
被害者のPCの動作を維持するために、ランサムウェアはProgram FilesとWindowsフォルダのファイルの暗号化を避けています。
ランサムウェアは、暗号化するファイルを指定するごとに、32バイトの暗号鍵を作成します。ファイルはブロック単位で暗号化され、各ブロックは1048576 (0x100000) バイトです。最大で9つのブロックが暗号化されます。9437184バイト(0x900000)を超えるデータはプレーンテキストのまま残されます。各ブロックは、対称暗号方式であるAES GCMによって暗号化されます。データの暗号化後、ランサムウェアはRSA-2048で暗号化されたファイルキーを含むファイルの末尾を追加します。公開鍵は、Base64でエンコードされた文字列としてバイナリに格納されています。
暗号化されたファイル名には、特別なサフィックスが付きます。
.[vote2024forjb@protonmail.com].encryptedJB
完了すると、"read_me.html "というファイルがユーザーのDesktopフォルダーに保存されます。
ランサムウェアのバイナリには、政治的な志向を持つ文字列が興味深いほど多く含まれています。2024年のJoe Bidenの再選に言及したファイル拡張子に加え、プロジェクト名にも彼への言及があります。
実行中、ランサムウェアは、実際の暗号化を行う子プロセスを大量に作成します。
Avast decryptor を使用してファイルを復元する方法
ファイルを復号化するには、以下の手順で行ってください。
- Avast decryptor を無償でダウンロードする。
- 実行ファイルを実行するだけです。ウィザードの形で起動し、復号化処理の設定を案内してくれます。
- 最初のページで、必要であればライセンス情報を読むことができますが、本当に必要なのは "Next" をクリックすることだけです。
- 次のページで、検索および暗号化解除を行う場所のリストを選択します。デフォルトでは、すべてのローカルドライブのリストが含まれています。
- 最後のウィザードのページでは、暗号化されたファイルをバックアップするかどうかを選択することができます。これらのバックアップは復号化処理中に何か問題が発生した場合に役立つかもしれません。このオプションはデフォルトでオンになっていますが、これはお勧めします。復号化 "をクリックすると、復号化処理が開始されます。復号機の動作に任せ、終了するまで待ちます。
IOCs
SHA256: 4dc13bb83a16d4ff9865a51b3e4d24112327c526c1392e14d56f20d6f4eaf382
ホワイトハッカーへの道 / Want to Be an Ethical Hacker? Here's Where to Begin
サイバーセキュリティのスキル不足はピークレベルに達しており、大規模なサイバー攻撃が迫る中、この分野では50万人以上の求人が出ています。その結果、企業はサイバーセキュリティを強化するために、「ホワイトハッカー」を活用するようになっています。このホワイトハッカーは、バグや脆弱性を積極的に発見することで生計を立てている経験豊富なプロフェッショナルです。
では、このホワイトハッカーはどのようにして始めるのでしょうか。
従来の技術職の仕事に縛られることなく、彼らはオンラインリソースを活用して独学し、他のハッカーを観察し、既存のプロフェッショナルから戦術を学ぶことができるのです。これらのリソースを活用することで、初心者ハッカーはサイバーセキュリティの領域で特定の情熱を見出し、最終的にホワイトハッカーの専門家として自分の足跡を残すことができます。
初心者はここを見るべし
ハッキングの世界に足を踏み入れたばかりの初心者は、基本的な資料を活用し、用語やベストプラクティス、脆弱性報告など、組織で求められる知識を身につける必要があります。
- Nahamsecの「Resources for Beginner Bug Bounty Hunters」では、ハッキングを学ぶためのリソースの索引を提供しています。
- Codingoのウェブサイト上の検索機能は、ハッカーの検索可能な公開コンテンツの膨大なスタックをインデックス化しています。
- S0cm0nkeyの「Security Reference Guide」も、サイバーセキュリティのリソースの宝庫です。
- InfosecWriteupsは、CTFやバグバウンティなどのサイバーセキュリティ関連の書き込みを大量に掲載しているMediumの出版物です。
自分で手を動かして学ぶ
時には、学ぶための最良の方法は、実行することです。以下のラボは、ハッカーが様々なタイプの倫理的ハッキングを実際に体験する機会を提供します。
- Pentesterlab:ハッキングの方法を学ぶためのハンズオンアプローチ。
- Portswigger Labs: Webアプリケーションのセキュリティラボの巨大なセットで、完全に無料です。
- Tryhackme: サイバーセキュリティのトレーニングプラットフォームと対戦型ハッキングゲームで、基礎のためのプレセキュリティ、攻撃的なペンテスト、サイバーディフェンスの3つのストリームから選択できます。
- Hackthebox: 世界的に有名なCTF(Capture The Flag)ゲーム。トレーニング用の "トラック "も提供されている。
- Kontra:アプリケーション・セキュリティについて開発者に教えるために設計された、一連のホストラボを提供するオンラインプラットフォーム。
- Hacker101.com:バグバウンティプラットフォームHackeroneによって作られた、Webセキュリティのためのオンライントレーニングプラットフォームです。
- Vulnhub:仮想マシンの脆弱性を利用した「チャレンジボックス」をアップロードすることができるプラットフォーム。目標は、様々な脆弱性を悪用して、これらのマシンのルート/システムレベルのアクセス権を得ることです。
専門家(プロ)から学ぶ
ホワイトハッカーはしばしばプロの発見を共有することに熱心で、初心者は彼らをよくフォローする必要があります。プロがどのようにバグバウンティ作業に取り組んでいるかを理解することは、 新米ハッカーが効果的に習慣を形成するのに役立ちます。(注意: これらのリソースの中には、かなり長い間更新されていないものもありますが、古い資料でも非常に有益な場合があります!)
- Hackerone Hacktivity:Hackeroneプラットフォームで公開された脆弱性のストリームを無制限に利用できます。
- Crowdstream:クラウドストリーム。HackeroneのHacktivityに相当するBugcrowd。
- Pentesterland:初心者のハッカー向けに、バグバウンティの書き込みやリソースの大規模な精選リストを提供する。
- D0nut's blog: たくさんの逸品が混在しています。
- Intigriti's Medium Publication:多くの素晴らしいバグバウンティコンテンツで満たされています。
- Secjuice:CTFの記事、チュートリアル、方法論など、サイバーセキュリティに関する記事を掲載する非営利の出版物です。
- Detectify Labs: 著名なハッカーによるサイバーセキュリティの研究を大量に掲載。
動画で学ぶ
既存のハッカーを観察するためのもう一つの素晴らしいリソースは、YouTubeのコンテンツです。多くの著名なハッカーは、知識共有のために自分の仕事に関するコンテンツを投稿します。新しいハッカーは、キャリア、新しい発見、企業の報奨金プログラムとの連携方法について理解することができます。
- Liveoverflow:サイバーセキュリティに関するYouTubeの伝説的存在で、さまざまなトピックについて300本以上のビデオを公開しています。
- John Hammond:CTFウォークスルー、プログラミングチュートリアル、インタビュー、ダークウェブ、マルウェア解析など、あらゆるトピックをカバーするチャンネルです。
- Nahamsec: 毎週日曜日に「Recon Sundays」を配信しており、偵察の様子をライブで配信したり、ゲストを招いたりしている。
- STÖK: 主にバグバウンティに関連するビデオを制作しています。ハッカーにインタビューしたり、ハッキングイベントをライブで記録したり、「Bug Bounty Thursdays」という業界ニュースを毎週発表している。
- Farah Hawa: 複雑なトピックを基本に落とし込んで、理解できるように説明する。様々なバグクラス、ハッキングのプロセス、キャリアについて説明しています。
- Codingo: ツール、ハッキングプロセス、リコンなど、バグバウンティに特化したビデオを制作しています。
- PwnFunction: 主にWebアプリケーションのハッキングにフォーカスしています。
- Ippsec: HackTheBoxのチャレンジボックスのウォークスルーを作成し、プロフェッショナルの肩越しに見ているようなシミュレーションを行う。
- InsiderPhD: ハッキング、バグバウンティ、機械学習などに関するビデオを制作しています。
- Hakluke:そして最後に、私です! 説明ビデオ、バグバウンティレポートの説明、キャリア、マインドセットビデオなど。
2022年2月16日~28日 サイバー攻撃タイムライン / 16-28 February 2022 Cyber Attacks Timeline
ロシアのウクライナ侵略は、必然的にサイバー空間にも影響を及ぼすことになりました。
ランサムウェアによる攻撃は続いており、このタイムラインでも少なくとも1件の非常に有名な犠牲者が出ていますが、より高いレベルの活動を示しているのはロシア・ウクライナ戦線であり、ウクライナの企業に対する追加攻撃が DDoS、スピアフィッシングキャンペーン、HermeticWiper という新しい破壊的マルウェアによって実施されています。そして、もう一方の戦線では、ロシア政府に宣戦布告し、データを流出させ、複数のロシア機関(主に報道機関、銀行、さらにはクレムリン)に長期にわたるDDoS攻撃を加えているAnonymous集団があります(そして、この攻撃も次のタイムラインを特徴付けることになると思われます)。
ランサムウェアは引き続き脅威を特徴づけています。
また、フィンテック分野の企業に対する大規模な攻撃も続いています。NFT OpenSeaプラットフォームのユーザー17人が、200万ドル相当の損害を受け、大変な目にあいました。
例によって、このタイムラインには複数のサイバースパイ活動が登場します。中国発の新しいステルス型バックドア「Daxin」が発見され、2年以上隠されて、複数の組織に対して展開されました。同様に、このタイムラインには、以下のような複数の既知のアクターが登場します。OilRigとMuddyWater(イラン)、APT10とAPT27(中国)、Sandworm(ロシア)。このリストには、TunneVisionと呼ばれるイランの攻撃者(VMware Horizonサーバー上のLog4jを悪用)と、米国の防衛関連企業(CDC)を標的としたロシアの攻撃者による2つの新しいオペレーションも含まれています。
日本関連は2件でした。
美容製品のeコマースを展開するACROが公表した情報漏えい事件で、10万枚以上の決済カードの情報が流出した。この情報漏洩は、第三者である決済処理ベンダーの脆弱性が利用された結果です。
トヨタ自動車は、重要部品のサプライヤーの1つである小島工業がランサムウェア攻撃を受けたと報じられ、システム障害により自動車の生産業務を停止することを発表しました。
サイトで使っている技術を分析するサイト:built with
最近のサイトは特に広告やアクセス分析などで色々なAPI、プラグイン等を使っていますが、攻撃者にそうしたソフトウェアサプライチェーンを狙われている事を考えると、自社でサードパーティサービスを把握しきれていない場合は、このbuilt withを棚卸に使う事も有効なのではないかと思います。
サイトを外部から調査する場合も、手動で調べるよりはこうしたサイトを使う方が、求める情報(例えば何のECサイト構築パッケージを使っているか・・・)にたどり着くのが早い時があります。
下記は先日紹介した詐欺サイトの調査結果
ロシアとベラルーシに向けられたアノニマスによるオペレーション #OpRedScare / OFFICIALY: [Anonymous #OpRedScare] Launched!
#OpRussia からの派生したオペレーション(以下、OP)として #OpRedScare というものが立ち上げられています。
OpRussiaは、当初ロシアをターゲットとしていたOPでしたが、OpRedScare は、ロシアに加え、ベラルーシも含まれていることから別名とされているようです。
主張に関しては、OpRussiaと同じと見て問題ありません。このOPが開始された辺りにアノニマスから出されたメッセージは以下の動画でした。
共有されたドキュメントによるとこのOPの目的は、ロシアとベラルーシのインフラ(銀行、輸送、軍事、エネルギー)を無効にすることですが、一方で、病院、学校などといったヘルスケア / 教育関連サービスへの攻撃は禁止しています。
ターゲットに対する攻撃手法や手順などの共有も行われていました。基本的な手順としては以下のような手順が紹介されていました。「」で記述しているものはソフトウェアの名前です。
- ロシアのIP空間の特定ポートに「massscan」を実行する。
- スキャンデータを収集し、何が応答しているのかを確認する。
- 「SQLmap」、「OpenVAS」、「WPScan」など特定用途に特化したスキャンを実行する。
- 複数のスキャンとOSINTでデータを検証する。
- スキャンのデータを元に脆弱性と攻撃コードを発見する。
- 「Metasploit」などで脆弱性を悪用する。
- サービスを停止させる
前述の情報以外にも様々な情報が共有されていました。主に共有されていた情報は下記の通りです。
- インターネットにおいて匿名化をはかる方法やツール
- ターゲットの情報収集手段
- WebシェルやcpanelおよびRDPなどのアクセス経路販売サイト
- ターゲットに対する調査結果(DNSやオープンポート情報など)
--
Dear fellow citizens, children of the planet earth. Today the world woke up different. Today, the world has witnessed a gross and ugly violation of international law, a violation of human rights. Today, the world has witnessed the ugly actions of President Putin, as a self-forgotten Dictator without even thinking about giving a green course to a military operation against a peaceful, Slavic and democratic state.
Anonymous Declares a WAR against Russia Federation.
Operation #OpRedScare launched!
How to Join in this Operation & Supporting:
------------------------------------------------------------------------------------------------------
Operation: #OpUkraine
Join via Web IRC chat: https://webchat.anonops.com/
Channel: /join #OpUkraine
Objects: This is NOT an offensive operation please see #OpRedScare instead || This operation is focused on providing support for Ukrainians
------------------------------------------------------------------------------------------------------
Operation: #OpRedScare
Join via Web IRC chat: https://webchat.anonops.com/
Channel: /join #OpRedScare
Objects: To identitfy Russian infrastructure (banking, transporation, military, energy) | Please do NOT attack any health/education related services as hospital, school etc
www.AnonOps.com
Join IRC in these channels, for the latest news about #OpRedScare & #OpUkraine
Wiresharkによるパケット解析講座 5: Trickbot感染の調査 / Wireshark Tutorial: Display Filter Expressions
概要
ホストが感染した、または侵害されたとき、セキュリティ専門家は、ネットワークトラフィックのパケットキャプチャ(pcaps)にアクセスして、活動の内容を理解し、それがどのような種類の感染であるかを特定しなければなりません。
本チュートリアルでは、Trickbotを特定する方法についてのヒントを提供します。Trickbotは情報窃取を行うバンキングマルウェアで、2016年以降、感染被害が確認されています。Trickbotは悪意のあるスパム(マルスパム)を介して、またはEmotet、IcedID、Ursnifなどのマルウェアによって配信されます。
Trickbotには明確なトラフィックパターンがあります。本チュートリアルでは、2つの異なる経路で起こったTrickbot感染pcapsを確認していきます。1つめはマルスパム経由でのTrickbot感染、2つめはほかのマルウェア経由で配信されたTrickbot感染です。
注意: 本チュートリアルの解説は、この回で行ったカスタマイズ済みWireshark列表示を前提としています。またこの回で解説したWiresharkディスプレイフィルタもすでに実装されているものとしています。まだ完了していない場合はこれらの内容を完了してから読み進めてください。
マルスパム経由のTrickbot
Trickbotは多くの場合マルスパム経由で配信されます。マルスパムには、請求書や文書を偽装したリンクが含まれていて、そのリンクから悪意のあるファイルをダウンロードさせようとします。ダウンロードされるファイルは、TrickbotのWindows実行可能ファイルの場合もあれば、Trickbot実行可能ファイルのためのダウンローダーである場合もあります。あるいは、電子メール内のリンクを使い、Trickbotの実行可能ファイルや、ダウンローダーを含むzipアーカイブを返してくる場合もあります。
下図は、2019年9月に発生した感染事例のフローチャートです。この事例では、メールにリンクが含まれていて、クリックするとzipアーカイブを返すようになっていました。このzipアーカイブには、Windowsショートカットファイルが含まれていて、そのショートカットファイルがTrickbot実行可能ファイルをダウンロードします。このTrickbot感染に関連するpcapは、こちら(バックアップ)に保存してあります。
このトラフィックからは、最近のTrickbot感染でよく見られる次の活動が確認できます。
- 感染したWindowsホストがIPアドレスの確認をしている
- 447/tcp、449/tcp経由でHTTPS/SSL/TLSのトラフィックが発生している
- 8082/tcp経由でHTTPのトラフィックが発生している
- 「.png」で終わるHTTPリクエストがあり、Windows実行可能ファイルを返している
このTrickbot感染に特有なのは、www.dchristjan[.]comに対するHTTPリクエストがzipアーカイブを返していること、そして144.91.69[.]195に対するHTTPリクエストがWindows実行可能ファイルを返していることでしょう。
ではここで、下図に示す手順でwww.dchristjan[.]comあてのリクエストを確認してみましょう。パケットを右クリックしてコンテキストメニューを開き、[Follow(追跡)]、[HTTP Stream(HTTPストリーム)]の順に選択してトラフィックを確認します。
表示されたHTTPストリームから、zipアーカイブが返されている痕跡を確認できます(下図参照)。
上図からは、zipアーカイブに含まれるファイル名が「InvoiceAndStatement.lnk」であることも確認できます。
Wiresharkでは、トラフィックからzipアーカイブをエクスポートすることができます。
[File(ファイル)]、[Export Objects(オブジェクトをエクスポート)]、[HTTP]を選択
HTTPオブジェクトのリストからContent Typeがapplication/zipの行を選んで[Save(保存)]をクリック
お使いの環境がBSD系、Linux系、Mac OS X 環境であれば、続けてコマンドラインから、エクスポートしたファイルがzipアーカイブであることを簡単に確認し、ファイルのSHA256ハッシュ値を確認し、アーカイブ内容を展開することができます。この事例のアーカイブ内容はWindowsショートカットファイル(InvoiceAndStatement.lnk)なので、下図に示すようにSHA256ハッシュを確認して取得することもできます。
ファイルの種類を識別するコマンドは file [ファイル名] です。また、このファイルに対応するSHA256ハッシュ値は、shasum -a 256 [ファイル名] コマンドで得られます。
さて、144.91.69[.]195へのHTTPリクエストはWindows実行可能ファイルを返していました。これはTrickbotが初期に利用するWindows実行可能ファイルです。このHTTPリクエストのHTTPストリームを追跡すると、これが実行可能ファイルであることを示す痕跡を見つけることができます。
またpcapからは、この実行可能ファイルを抽出することができます。
初期感染トラフィックに見られるのは、443/tcp、447/tcp、449/tcp経由のHTTPS/SSL/TLSトラフィックと、感染WindowsホストからのIPアドレス確認です。この例での感染の場合、Trickbot実行可能ファイルのHTTPリクエストの直後に443/tcp経由で複数のIPアドレスに対してTCP接続が試行され、その後449/tcp経由で187.58.56[.]26へのTCP接続が成功している様子が確認できます。
以前の講座で作成したディスプレイフィルタ「basic+」を使うと、これらのTCP接続試行を確認できます。
447/tcp、449/tcp経由で行われたさまざまなIPアドレスへのHTTPS/SSL/TLSトラフィックからは、まともなものではない証明書のデータが見つかります。
証明書の発行者を確認するには、Wireshark 2.xでは「ssl.handshake.type == 11」でフィルタリングします。Wireshark 3.xを使っている場合は、「tls.handshake.type == 11」でフィルタリングします。次に、フレームの詳細セクションに移動して情報を展開し、下図に示した手順に従って証明書発行者データを見つけます。
赤い四角で囲んだ部分が証明書発行者の情報
上図からは、以下の証明書発行者データが、449/tcpを介した187.58.56[.]26へのHTTPS/SSL/TLSトラフィックで使用されていることがわかります。
- id-at-countryName=AU
- id-at-stateOrProvinceName=Some-State
- id-at-organizationName=Internet Widgits Pty Ltd
まともなHTTPS/SSL/TLSトラフィックであれば、州や県の名前が「Some-State」であったり、組織名が「Internet Widgits Pty Ltd」になっていたりすることはありえません。これらは、これが悪意のあるトラフィックであることを示す痕跡です。また、証明書発行者データにこうした異常が見られるのは、Trickbotに限ったことではありません。
では、まともなHTTPS/SSL/TLSトラフィックの正常な証明書発行者とは、どのように見えるものなのでしょうか。これについては、同じpcap内で先に発生していたMicrosoftのドメイン72.21.81.200への443/tcpのトラフィックを見るとよいでしょう。これは、下図に示すような内容であることがわかります。
- id-at-countryName=US
- id-at-stateOrProvinceName=Washington
- id-at-localityName=Redmond
- id-at-organizationName=Microsoft Corporation
- id-at-organizationUnitName=Microsoft IT
- id-at-commonName=Microsoft IT TLS CA 2
Trickbotに感染したWindowsホストは、さまざまなIPアドレス確認用サイトを使用してIPアドレスを確認します。これらの確認サイト自体は悪意があるものではありませんし、トラフィックそのものも本質的には悪意はありません。ただし、この手のIPアドレス確認行為は、Trickbotその他のマルウェアファミリ全般によく見られるものです。なおTrickbotの場合、以下を含む正当なIPアドレス確認サービスを利用しています。
- api.ip[.]sb
- checkip.amazonaws[.]com
- icanhazip[.]com
- ident[.]me
- ip.anysrc[.]net
- ipecho[.]net
- ipinfo[.]io
- myexternalip[.]com
- wtfismyip[.]com
繰り返しますが、IPアドレスの確認自体はとくに悪意のある行為ではありません。ただ、IPアドレスの確認と他のネットワークトラフィックでの行為があわされば、本事例で見てきたとおり、感染の指標として使えるようになります。
449/tcp経由のHTTPS/SSL/TLSトラフィックの直後に感染WindowsホストがIPアドレスの確認をしている。
それ自体に悪意はないものの、このIPアドレス確認はTrickbot感染によって起こる活動の一部
それ自体に悪意はないものの、このIPアドレス確認はTrickbot感染によって起こる活動の一部
現時点のTrickbotによる感染は、8082/tcp経由のHTTPトラフィックを生成します。このトラフィックは、感染ホストからのシステム情報、ブラウザキャッシュとメールクライアントのパスワードといった情報を送信します。この情報は、感染ホストからTrickbotが使うコマンド&コントロール(C2)サーバーに送信されます。
C2とのトラフィックを確認するには、次のWiresharkフィルタを使用します。
http.request and tcp.port eq 8082
このフィルタを適用すると、以下のHTTPリクエストを確認できるようになります。
- 170.238.117[.]187 port 8082 - 170.238.117[.]187 - POST /ono19/BACHMANN-BTO-PC_W617601.AC3B679F4A22738281E6D7B0C5946E42/81/
- 170.238.117[.]187 port 8082 - 170.238.117[.]187 - POST /ono19/BACHMANN-BTO-PC_W617601.AC3B679F4A22738281E6D7B0C5946E42/83/
- 170.238.117[.]187 port 8082 - 170.238.117[.]187 - POST /ono19/BACHMANN-BTO-PC_W617601.AC3B679F4A22738281E6D7B0C5946E42/81/
- 170.238.117[.]187 port 8082 - 170.238.117[.]187:8082 - POST /ono19/BACHMANN-BTO-PC_W617601.AC3B679F4A22738281E6D7B0C5946E42/81/
- 170.238.117[.]187 port 8082 - 170.238.117[.]187:8082 - POST /ono19/BACHMANN-BTO-PC_W617601.AC3B679F4A22738281E6D7B0C5946E42/90
- 170.238.117[.]187 port 8082 - 170.238.117[.]187:8082 - POST /ono19/BACHMANN-BTO-PC_W617601.AC3B679F4A22738281E6D7B0C5946E42/90
「81」で終わるHTTP POSTリクエストは、webブラウザや電子メールクライアントなどのアプリケーションにキャッシュされたパスワードデータを送信しています。「83」で終わるHTTP POSTリクエストは、webブラウザなどのアプリケーションが送信したフォームデータを送信しています。また、「90」で終わるHTTP POSTリクエストは、システム情報を送信していることが確認できます。これらHTTP POSTリクエストのどれか1つをTCPストリームないしHTTPストリームとして追跡すれば、この感染で窃取されたデータを確認できます。
「81」で終わるHTTP POSTリクエストの内容を追跡したところ。Chrome webブラウザからTrickbotに窃取されたログイン資格情報(webサイト、ユーザー名、パスワード、Chrome保存のパスワード)。このデータは、Trickbot感染ホストから8082/tcpを経由のHTTPトラフィックによって送信されている
「90」で終わるHTTP POSTリクエストの内容を追跡したところ。Trickbot感染ホストが8082/tcp経由のHTTPトラフィックで送信していたシステムデータ。データは実行中のプロセスリストから始まっている
TrickbotはHTTP GETリクエストを使い、「.png」で終わるWindows実行可能ファイルをさらに送信してきます。Trickbotのフォローアップを行うこれらの実行可能ファイルは、感染WindowsホストがActive Directory環境のクライアントの場合、脆弱なドメインコントローラ(DC)に感染するために使用されます。
次のWiresharkフィルタを使うと、pcap内にあるこれらHTTP GETリクエストのURLを見つけることができます。
http.request and ip contains .png
フィルタリングで見つかった3つのGETリクエストそれぞれについて、TCPストリームないしHTTPストリームを追跡してください。Windows実行可能ファイルの痕跡が見つかるはずです。ただしこの事例でのHTTPレスポンスヘッダは、それが明らかにWindows実行可能ファイルやDLLファイルであっても、返されたファイルを「image/png」だと識別しています。
末尾が「.png」のURLを使って送信されたWindows実行可能ファイル。Content-Typeは「image/png」と認識されてしまっているが、実際にはEXEやDLLなどの実行可能ファイルであることが先頭2バイトのマジックナンバーが「MZ」であることから確認できる
これらのファイルについても、先に説明した手順でWiresharkからエクスポートし、Windows実行可能ファイルであることを確認し、SHA256ファイルハッシュを取得することができます。
他のマルウェアによって配信されるTrickbot
Trickbotはほかのマルウェアによって配信されることも多くあります。たとえばTrickbotはEmotetによる感染でフォローアップ用マルウェアと見なされることが多いですし、IcedIDやUrsnifなど別のマルウェアに感染した場合のフォローアップにもよく使われます。
ただやはりEmotetがTrickbotを配信する例が多いので、ここではEmotetとTrickbotの感染について確認してみることにしましょう。本チュートリアルではTrickbotの活動に焦点を当てたいと思います。
Trickbot + Emotet の活動を表す簡易フローチャート。Emotetに感染し、Emotetの感染後活動が見られた後、Trickbotに二次感染し、Trickbotの感染後活動が続く
対応するpcapはこちらのページ(バックアップ)からをダウンロードしてください。このpcapは、パスワードで保護されたzipアーカイブファイル「2019-09-25-Emotet-infection-with-Trickbot-in-AD-environment.pcap.zip」内にあります。パスワードには「infected」と入力し、zipアーカイブからpcapを抽出してWiresharkで開いてください。前回までの講座で作成したディスプレイフィルタ「basic」を適用して、webベースの感染トラフィックを確認します(下図参照)。
経験豊かなアナリストであれば、Emotetの生成するトラフィックとTrickbotの生成するトラフィックとをひと目で識別できるでしょう。Emotetによる感染後活動は、HTTPトラフィックでサーバーからエンコードデータを受信する内容となっています。これはコマンド&コントロール通信にHTTPS/SSL/TLSトラフィックを使うTrickbotの感染後の活動とは明らかに異なります。たとえば、下図に2019年9月の感染事例で確認されたEmotetとTrickbotの感染トラフィックを示していますが、この図からも両者が極めて異なっていることがわかります。
この特定の感染例は、感染Windowsクライアントが10.9.25.102、DCが10.9.25.9というActive Directory環境で発生したものです。トラフィックの最後のあたりに、DCがTrickbotに感染した兆候が見られます(下図参照)。
では、クライアントからどのようにしてDCに感染が広がったのでしょうか。Trickbotはある特定のEternalBlueエクスプロイトを使い、MicrosoftのSMBプロトコルを介して横展開します。この事例で感染Windowsクライアントは、445/tcp経由で10.9.25.9のDCに情報を数回送信した後、Trickbot実行可能ファイルを185.98.87[.]185/wredneg2.pngから受信していました。
「basic+」フィルタを使い、DCが185.98.87[.]185に通信を張る直前の、10.9.25.102のクライアントと10.9.25.9のDCとのトラフィックのSYNセグメントをフィルタリング表示してみましょう(下図参照)。
DCが196.98.87[.]185/wredneg2.pngからTrickbotの実行可能ファイルを取得する直前、10.9.25.102のクライアントから10.9.25.9のDC(灰色で表示)へのトラフィックを「basic+」フィルタでフィルタリング表示
TCPストリームをどれか1つ選び、右クリックしてコンテキストメニューから[追跡]を実行してください。ここでは、接続元が10.9.25.102、接続元のTCPポートが49321、接続先が10.9.35.9、接続先TCPポートが445の行を追跡しています。このトラフィックはクライアントがDCに送るものとしてはかなり特異な内容であるため、EternalBlueエクスプロイトに関連したものと考えられます。このトラフィックを表示したのが下図です。
445/tcp経由でクライアントからDCへ送信された特異なトラフィックの例。おそらくEternalBlueベースのエクスプロイトに関連している
この特異なSMBトラフィックとDCの感染を除けば、こちらのpcapで見られたTrickbot特有の活動は、マルスパムのpcapで見られた内容と非常によく似ています。
登録:
投稿 (Atom)