[cb22] ブロックチェーンにC&Cサーバー情報を隠ぺいした攻撃者との直接対峙により得られたもの by 谷口剛

1. CODE BLUE 2022 ブロックチェーンに C&C サーバ情報を隠ぺいした攻撃者との直接対峙により得られたもの 2022 年 10 月 27 日株式会社富士通システム統合研究所谷口剛 Copy right 2022 Fujitsu System Integration Laboratories Limited 1

2. DNS 悪用とブロックチェーン悪用 Copy right 2022 Fujitsu System Integration Laboratories Limited C&C server C&C server DNS server Blockchain DNS 悪用検知脅威情報利活用, Passive DNS, Active DNS, WHOIS 履歴, サブドメイン CODE BLUE 2017 Day0 CODE BLUE 2018, 2020, 2021 ブロックチェーン悪用検知 Black Hat Asia 2021 Briefings ASIACCS 2021 Christian Doerr 教授 (Hasso Plattner Institute) との国際協業 2

3. 谷口剛 Tsuyoshi TANIGUCHI ⚫株式会社富士通システム統合研究所研究員，博士 (情報科学) ⚫2008 年 3 月北海道大学大学院情報科学研究科博士号 (情報科学) ⚫2008 年 4 月～富士通株式会社 ⚫2016 年 4 月～現職 ⚫主な講演 ⚫CODE BLUE 2017 Day0 特別トラックサイバー犯罪対策トラック ⚫CODE BLUE 2018, 2020, 2021 ⚫Black Hat Asia 2021 Briefings , ACM ASIACCS 2021 (CORE2021: A ランク) ⚫ Christian Doerr 教授 (Hasso Plattner Institute) との国際協業の成果 Copy right 2022 Fujitsu System Integration Laboratories Limited ACM & Tsuyoshi Taniguchi で検索 -> C&C サーバ IP アドレスのテーブル (Table 5) -> VirusTotal で IP アドレスを検索すれば検体の検証可能 (本件に関係ない検体もあるのでご注意を) 3

4. タイムライン Copy right 2022 Fujitsu System Integration Laboratories Limited 2019 2020 2021 10 11 12 1 2 3 4 5 6 7 8 9 10 11 12 1 2 3 4 5 6 WS 監視開始ビットコインアドレス構成変更検知協業提案富士通単独協業開始 HPI との国際協業 4

5. タイムライン Copy right 2022 Fujitsu System Integration Laboratories Limited 2019 2020 2021 10 11 12 1 2 3 4 5 6 7 8 9 10 11 12 1 2 3 4 5 6 WS 監視開始ビットコインアドレス構成変更検知協業提案協業開始富士通単独 HPI との国際協業テイクオーバ C&C 通信の直接誘導に成功回避メカニズム実装約 2 週間の素早い対応 5

6. タイムライン Copy right 2022 Fujitsu System Integration Laboratories Limited 2019 2020 2021 10 11 12 1 2 3 4 5 6 7 8 9 10 11 12 1 2 3 4 5 6 WS 監視開始ビットコインアドレス構成変更検知協業提案協業開始富士通単独 HPI との国際協業テイクオーバ回避メカニズム実装攻撃インフラ放棄 Black Hat Asia 2021 ASIACCS 2021 6

7. 本講演の内容 Copy right 2022 Fujitsu System Integration Laboratories Limited 2019 2020 2021 10 11 12 1 2 3 4 5 6 7 8 9 10 11 12 1 2 3 4 5 6 WS 監視開始ビットコインアドレス構成変更検知協業提案協業開始富士通単独 HPI との国際協業テイクオーバ回避メカニズム実装攻撃インフラ放棄テイクオーバを成功に導くために必要不可欠だった (事前) 分析におけるエッセンス For CODE BLUE 2022 7

8. ブロックチェーンに C&C サーバ情報を隠ぺいした攻撃者との直接対峙により得られたもの 1. 2. 3. 4. 5. 6. Copy right 2022 Fujitsu System Integration Laboratories Limited 8

9. システムの全体像と役割分担 Copy right 2022 Fujitsu System Integration Laboratories Limited Defender ビットコインブロックチェーンシンクホールサーバ C&C サーバマルウェア (Pony) フィッシング詐欺グループ HPI: マルウェア分析シンクホールサーバ運用富士通：ビットコイン運用分析監視システム 9

10. ブロックチェーンに C&C サーバ情報を隠ぺいした攻撃者との直接対峙により得られたもの 1. 倫理的な配慮 2. 3. 4. 5. 6. Copy right 2022 Fujitsu System Integration Laboratories Limited 10

11. C&C サーバ情報のブロックチェーン隠ぺい方法 Copy right 2022 Fujitsu System Integration Laboratories Limited C&C server 142.93.0.206 特定のビットコインアドレスに関連した直近 2 トランザクションに隠ぺい 11

12. テイクオーバの原理 -> 2020/8/14 に成功 ⚫シンクホールサーバの IP アドレスを潜ませたビットコインを攻撃者が運用しているビットコインアドレスに送金 Copy right 2022 Fujitsu System Integration Laboratories Limited C&C サーバ Ours Ours シンクホールサーバ 12

13. 1. 倫理的な配慮：窃取ファイル Copy right 2022 Fujitsu System Integration Laboratories Limited シンクホールサーバ C&C サーバ ⚫窃取ファイルをダウンロードすることはあってはならない窃取ファイル 13

14. DLL ダウンロード Copy right 2022 Fujitsu System Integration Laboratories Limited シンクホールサーバ C&C サーバ 14

15. 自己防御装置により自滅 Copy right 2022 Fujitsu System Integration Laboratories Limited シンクホールサーバ C&C サーバ ⚫テイクオーバによってマルウェアを駆除 15

16. 1. 倫理的な配慮 ⚫サイバーセキュリティにおいて倫理的に配慮すべきこと ⚫IP アドレスが悪用されているプロバイダへの通報 ⚫脆弱性があるソフトウェアのベンダーへの通知 ⚫今回のケース：感染端末から窃取されたファイルへの配慮 ⚫窃取ファイルをダウンロードしてしまうと，被害者から見て犯罪者と同族 ⚫テイクオーバ設計後，実施まで多くの時間と配慮を要する ⚫C&C サーバ通信妨害とマルウェア駆除を同時に実現 ⚫自分たちの身を守るためにも絶対に見落とせない点であった Copy right 2022 Fujitsu System Integration Laboratories Limited 16

17. ブロックチェーンに C&C サーバ情報を隠ぺいした攻撃者との直接対峙により得られたもの 1. 倫理的な配慮 2. 仮説検証の重要性 3. 4. 5. 6. Copy right 2022 Fujitsu System Integration Laboratories Limited 17

18. 国際協業のハイライトから監視初期段階に戻る Copy right 2022 Fujitsu System Integration Laboratories Limited 2019 2020 2021 10 11 12 1 2 3 4 5 6 7 8 9 10 11 12 1 2 3 4 5 6 WS 監視開始ビットコインアドレス構成変更検知協業提案協業開始富士通単独 HPI との国際協業テイクオーバ回避メカニズム実装攻撃インフラ放棄 18

19. 2. 仮説検証の重要性 ⚫サイバーセキュリティにおける仮説検証 ⚫組織ネットワークの脆弱な部分を推測し，関連ツールで検証 ⚫ツールの脆弱性を推測し，検証 ⚫今回のケースにおける仮説検証 ⚫テイクオーバ回避行動 ⚫仮説：攻撃者はテイクオーバを認識した際に，回避しようとする ⚫検証： Copy right 2022 Fujitsu System Integration Laboratories Limited 19

20. 初期のビットコイン運用 ⚫3 種類の役割のビットコインアドレス ⚫Sender: 取引所経由の使い捨てアドレス ⚫IP signal: 攻撃者自身が作成した固定アドレス ⚫Collector Copy right 2022 Fujitsu System Integration Laboratories Limited Collector Sender IP signal Sender Sender ⋮ Sender IP signal 20

21. 攻撃に使用されたビットコインアドレス ⚫IP signal ⚫1BkeGqpo8M5KNVYXW3obmQt1R58zXAqLBQ: 1BkeG と表記 ⚫1CeLgFDu917tgtunhJZ6BA2YdR559Boy9Y: 1CeLg と表記 ⚫Collector ⚫1PFSS4kdTxvVhrti4fM3jK9FLhUt5zZf6i: 1PFSS と表記 ⚫ブロックチェーンのトランザクションはオープンデータなので， 1BkeG, 1CeLg と 1PFSS に関連した全てのトランザクションは検証可能 ⚫ASIACCS 論文の Table1 Copy right 2022 Fujitsu System Integration Laboratories Limited 21

22. 初期の仮説 ⚫攻撃者が IP signal を変更した場合，ビットコイン循環の中で検知可能なのでは？ Copy right 2022 Fujitsu System Integration Laboratories Limited IP signal 1 Sender A Sender B C&C サーバ IP signal 2 Sender X Sender Y Collector 22

23. ビットコインの運用：Nov. 15 to 30, 2019 Copy right 2022 Fujitsu System Integration Laboratories Limited 1BkeG 1CeLg 1PFSS Gephi: https://gephi.org/ 23

24. ビットコインの運用：Dec. 1 to 10, 2019 Copy right 2022 Fujitsu System Integration Laboratories Limited 1BkeG 1CeLg • IP signal を 1BkeG から 1CeLg に変更 • 1CeLg に通信した検体も確認済み 24

25. ビットコインの運用：Dec. 10 to 12, 2019 Copy right 2022 Fujitsu System Integration Laboratories Limited 1BkeG 1CeLg 1N94r 1PFSS 19hi8 1BkeG と 1CeLg のビットコインを 1PFSS に回収 -> 1PFSS から 1N94r に移動 -> 1N94r から 1BkeG と 19hi8 に送金 25

26. 新たに追加されたビットコインアドレス ⚫IP signal ⚫19hi8BJ7HxKK45aLVdMbzE6oTSW5mGYC82: 19hi8 と表記 ⚫Collector ⚫1N94rYBBCZSnLoK56omRkAPRFrpr5t8C1y: 1N94r と表記 Copy right 2022 Fujitsu System Integration Laboratories Limited 26

27. 最終的なビットコイン運用 ⚫Sender と Collector の機能を 1N94r に集約 ⚫IP signal を 1CeLg から 1BkeG に戻す Copy right 2022 Fujitsu System Integration Laboratories Limited 1N94r 1BkeG 19hi8 27

28. ブロックチェーン隠ぺいにおける設計ミス Copy right 2022 Fujitsu System Integration Laboratories Limited IP signal Sender Our sender 誰でもどんな IP アドレスでも送信可能 C&C サーバ IP アドレスを隠ぺいして送金送信側ビットコインアドレスのチェック無し 28

29. テイクオーバ回避メカニズム Copy right 2022 Fujitsu System Integration Laboratories Limited IP signal Sender 約 2 週間で実装完了 Our sender 攻撃者管理の Sender からの送金トランザクションのみ読み込み送金自体は可能だった 29

30. テイクオーバ回避メカニズム ⚫ https://blockchain.info/rawaddr/1BkeGqpo8M5KNVYXW3obmQt1 R58zXAqLBQ -> 1N94rYBBCZSnLoK56omRkAPRFrpr5t8C1y Copy right 2022 Fujitsu System Integration Laboratories Limited 1BkeG 1N94r 1BkeG 1N94r 1BkeG 1BkeG Our sender Our sender 1BkeG 1N94r 30

31. テイクオーバ回避メカニズムへの対抗 ⚫シンクホールサーバの IP アドレスを潜ませたビットコインを 1N94r に送金 Copy right 2022 Fujitsu System Integration Laboratories Limited 1BkeG 1N94r 1BkeG 1N94r Our sender Our sender 1N94r 1N94r 1N94r 31

32. ビットコインアドレス変更による検知回避 Copy right 2022 Fujitsu System Integration Laboratories Limited IP signal Sender IP signal Refuge 2019 年 12 月に IP signal 変更を検知済み -> 技術的には可能なはず，だがテイクオーバ回避後に実施なし 32

33. 2. 仮説検証の重要性 ⚫仮説：IP signal 変更による検知回避 ⚫検証：2019 年 12 月に変更したが，テイクオーバ後に IP signal を変更しなかった ⚫気づき ⚫IP signal 変更: 技術的に可能，だが，マルウェア実装とビットコインアドレス変更の同期には大きなコストが発生？ ⚫検証プロセスにおいて，攻撃者側の課題を認識 ⚫仮説検証のプロセス自体が重要 Copy right 2022 Fujitsu System Integration Laboratories Limited 33

34. ブロックチェーンに C&C サーバ情報を隠ぺいした攻撃者との直接対峙により得られたもの 1. 倫理的な配慮 2. 仮説検証の重要性 3. サイバー攻撃と世界的なイベントとの関連の意識 4. 5. 6. Copy right 2022 Fujitsu System Integration Laboratories Limited 34

35. C&C サーバ更新時間帯変更 Copy right 2022 Fujitsu System Integration Laboratories Limited Aug. 2019 May 2020 Aug. 2020 Jan. 2021 Mar. 2020 昼 -> 夜 (UTC) ビットコイン半減期の影響により手数料相場混乱・高騰 Metabase: https://www.metabase.com/ 35

36. 3. サイバー攻撃と世界的なイベントとの関連の意識 ⚫C&C サーバ更新時間帯 (ビットコイン取引時間帯， 2020 年 5 月) ⚫昼 -> 深夜 (UTC) ⚫様々な観点からデータを深堀し，取引手数料の高騰に気づく ⚫取引手数料について調査 ⚫ビットコイン半減期について認識 ⚫2020 年 5 月 11 日 (UTC) に 63 万ブロック ⚫取引手数料は取引量が減る深夜に低い傾向 ⚫歴史的なイベントなど含め，目の前の攻撃から視野を広げることが重要 Copy right 2022 Fujitsu System Integration Laboratories Limited 36

37. ブロックチェーンに C&C サーバ情報を隠ぺいした攻撃者との直接対峙により得られたもの 1. 倫理的な配慮 2. 仮説検証の重要性 3. サイバー攻撃と世界的なイベントとの関連の意識 4. 攻撃手法の進化の裏にある攻撃者の意図 5. 6. Copy right 2022 Fujitsu System Integration Laboratories Limited 37

38. 4.攻撃手法の進化の裏にある攻撃者の意図 ⚫攻撃手法の進化の裏に… ⚫手法を改良したい ⚫不具合に対処しなければならない ⚫取引時間帯変更 (2020 年 5 月) ⚫ビットコイン半減期の影響による手数料抑制 ⚫取引ブロック戦略変更 (2020 年 7 月) ⚫Black Hat Asia 2021 の 2 番目のケーススタディで詳細を紹介済み ⚫2 つのトランザクションの順番の制御方法の模索 Copy right 2022 Fujitsu System Integration Laboratories Limited 38

39. ブロックチェーンに C&C サーバ情報を隠ぺいした攻撃者との直接対峙により得られたもの 1. 倫理的な配慮 2. 仮説検証の重要性 3. サイバー攻撃と世界的なイベントとの関連の意識 4. 攻撃手法の進化の裏にある攻撃者の意図 5. 攻撃者も運用ミス 6. Copy right 2022 Fujitsu System Integration Laboratories Limited 39

40. ビットコイン誤送金 ⚫3 つは 2019 年 12 月のビットコイン構成変更時 (テスト送金?) ⚫他 3 つは誤送金 Copy right 2022 Fujitsu System Integration Laboratories Limited 1BkeG Date Bitcoin IP Octet 5:33:19, Dec. 11, 2019 31,683 195.123 8:39:45, Jul. 24, 2020 10,818 66.42 19hi8 Date Bitcoin IP Octet 5:22:28, Dec. 11, 2019 31,683 195.123 9:39:13, Apr. 22, 2020 15,573 213.60 3:11:43, Jul. 22, 2020 27,052 172.105 1CeLg Date Bitcoin IP Octet 12:9:19, Dec. 10, 2019 19,508 52.76 テスト？テスト？テスト？ 40

41. ビットコイン誤送金 Copy right 2022 Fujitsu System Integration Laboratories Limited 2020/7/24 5:46 31,366 satoshi -> 134.122 2020/7/24 5:55 64,792 satoshi -> 24.253 2020/7/24 8:39 10,818 satoshi -> 66.42 2020/7/24 8:58 31,366 satoshi -> 134.122 2020/7/24 9:02 64,792 satoshi -> 24.253 134.122.24.253 -> 検体あり 66.42.134.122 -> 検体なし ⚫攻撃者側：影響なし ⚫送り間違えたらすぐに正しい 2 つのトランザクションを再送金すればよい ⚫防御側：影響大 ⚫過去に遡って分析する際に誤送金トランザクションはどのトランザクションともペアにならない 41

42. ブロックチェーンに C&C サーバ情報を隠ぺいした攻撃者との直接対峙により得られたもの 1. 倫理的な配慮 2. 仮説検証の重要性 3. サイバー攻撃と世界的なイベントとの関連の意識 4. 攻撃手法の進化の裏にある攻撃者の意図 5. 攻撃者も運用ミス 6. 可能な限り長期間データ収集 Copy right 2022 Fujitsu System Integration Laboratories Limited 42

43. 6. 可能な限り長期間データ収集 ⚫C&C サーバ IP アドレス更新：約 200 回，2019 年 9 月～ 2020 年 8 月 ⚫本研究におけるデータ収集：2019 年 9 月～ 2021 年 1 月 ⚫データ収集の仕組みの設計 ⚫ブロックチェーン API のトランザクション数制限への対処 ⚫Ex. 1 回 50 トランザクション等 ⚫誤送金トランザクションへの対処 Copy right 2022 Fujitsu System Integration Laboratories Limited 43

44. ブロックチェーンに C&C サーバ情報を隠ぺいした攻撃者との直接対峙により得られたもの 1. 倫理的な配慮 2. 仮説検証の重要性 3. サイバー攻撃と世界的なイベントとの関連の意識 4. 攻撃手法の進化の裏にある攻撃者の意図 5. 攻撃者も運用ミス 6. 可能な限り長期間データ収集 Copy right 2022 Fujitsu System Integration Laboratories Limited 44

45. 3. サイバー攻撃と世界的なイベントとの関連の意識 Copy right 2022 Fujitsu System Integration Laboratories Limited IP signal Sender 100 万 Satoshi 10 万 Satoshi Sender 87 万 Satoshi Fee 3 万 Satoshi -> 6 万 Satoshi ビットコイン半減期の影響による手数料高騰 3 万 Satoshi: 約 3 ドル (2020 年 8 月, 1BTC = 10,000 ドルとする) -> 約 18 ドル (2021 年 3 月, 1BTC = 60,000 ドルとする) ビットコイン価値高騰 -> 攻撃インフラ放棄 97 万 Satoshi 45

46. Copy right 2022 Fujitsu System Integration Laboratories Limited Thank you

[cb22] ブロックチェーンにC&Cサーバー情報を隠ぺいした攻撃者との直接対峙により得られたもの by 谷口剛

Esté a ler uma amostra.

Confira estes a seguir

[cb22] ブロックチェーンにC&Cサーバー情報を隠ぺいした攻撃者との直接対峙により得られたもの by 谷口剛

Mais Conteúdo rRelacionado

Semelhante a [cb22] ブロックチェーンにC&Cサーバー情報を隠ぺいした攻撃者との直接対峙により得られたもの by 谷口剛 (20)

Mais de CODE BLUE (20)

Mais recentes (20)