--- title: 攻撃者はクラウドを どう使うのか サイバー攻撃の事例_公開版 [Nasotasy] tags: author: [Nasotasy](https://www.docswell.com/user/7307437316) site: [Docswell](https://www.docswell.com/) thumbnail: https://bcdn.docswell.com/page/G75M235L74.jpg?width=480 description: 20260416 CloudSecJP #005 published: April 16, 26 canonical: https://www.docswell.com/s/7307437316/5272Y9-how_do_attackers_use_the_cloud --- # Page. 1 ![Page Image](https://bcdn.docswell.com/page/G75M235L74.jpg) 攻撃者はクラウドを どう使うのか サイバー攻撃の事例 by Nasotasy # Page. 2 ![Page Image](https://bcdn.docswell.com/page/9J294ZN3ER.jpg) Who is Nasotasy? ナソタシ は どんなお仕事してる? インシデントレスポンス フォレンジック ときどき リサーチ 𝕏 @nasotasy # Page. 3 ![Page Image](https://bcdn.docswell.com/page/DEY4MRP8JM.jpg) シナリオ1 Tencent Cloud メールからマルウェア配布に悪用 メールが送られる 受信してリンクを開く ファイルをダウンロードする マルウェアを実行 # Page. 4 ![Page Image](https://bcdn.docswell.com/page/VJNYWD5978.jpg) シナリオ1 Tencent Cloud COS (Cloud Object Storage) myqcloud.comのドメインで提供される分散型クラウドストレージ <BucketName-APPID>.cos.<Region>.myqcloud.com 任意に設定できる アカウント固有 リージョン固有 https://www.tencentcloud.com/jp/products/cos # Page. 5 ![Page Image](https://bcdn.docswell.com/page/YE9PXGY3J3.jpg) シナリオ1 Tencent Cloud COS (Cloud Object Storage) 攻撃者のAPPIDが固有値なら、悪用が確認されたAPPID + myqcloudでネットワークをブロックすればいいのでは ^[A-Za-z0-9.-]+-1393918816\.cos\.[A-Za-z0-9-]+\.myqcloud\.com$ 正規表現で任意のAPPID + myqcloudドメインを設定する例 .*-1393918816\.cos\..*\.myqcloud\.com$ ちょっと広く任意のAPPID + myqcloudドメインを設定する例 過激派 そもそもTencent cloud周りをあまり業務で使わないなら myqcloudのドメインごとブロックするのも一つの方法 # Page. 6 ![Page Image](https://bcdn.docswell.com/page/GE8D2V6LED.jpg) シナリオ2 AWS 怪しいファイルの配布 ブラウジング中の広告遷移 フリーソフトのダウンロード ファイルをダウンロードする マルウェア(?)を実行 # Page. 7 ![Page Image](https://bcdn.docswell.com/page/LELM259Q7R.jpg) シナリオ2 AWS 怪しいファイルの配布 Softnicなどから遷移するアドウェア? # Page. 8 ![Page Image](https://bcdn.docswell.com/page/4JMY83VKJW.jpg) シナリオ2 AWS Cloudfront cloudfront.netのドメインで提供されるコンテンツ配信高速化 サービス(CDN) <DistributionDomain>.cloudfront.net/<path> 既定ドメイン(ランダム) 攻撃者の用意した任意の オブジェクトパス # Page. 9 ![Page Image](https://bcdn.docswell.com/page/PJR95Q2679.jpg) シナリオ2 AWS Cloudfront + 怪しいexeをどう防ぐか 入口で防ぐ Microsoft Defender AntivirusのPUA Protectionを利用 Chrome Enterpriseで DownloadRestrictionsポリシーを活用 Group Policy(GPO)でも設定可能 実行で防ぐ App Control for Business(WDAC)またはAppLockerの制御 運用で防ぐ 制御アプリ(配布/Intune)からの導入経路のみ許可する 端末で実行されたexeのログをSysmon(ID:1 , 11, 3)で追う 後追いでも ええで思考 # Page. 10 ![Page Image](https://bcdn.docswell.com/page/PEXQK5DDJX.jpg) シナリオ3 AWS + Cloudflare フィッシングサイト メールが送られる 受信してリンクを開く 認証情報を入力 # Page. 11 ![Page Image](https://bcdn.docswell.com/page/3EK956XDED.jpg) シナリオ3 AWS + Cloudflare Workersの悪用 Redirect S3静的 Webサイト スクリプト 動作 Workers.dev Webサイト ブラウザソー スチェック or 直コピペ アクセス # Page. 12 ![Page Image](https://bcdn.docswell.com/page/L73WK65P75.jpg) シナリオ3 AWS + Cloudflare Workers workers.devのドメインで動作する、 サーバーレスのインターネットに公開できるホスティング基盤 <WorkerName>.<SubDomain>.workers.dev 任意に設定できる 任意に設定できる https://developers.cloudflare.com/workers/configuration/routing/workers-dev/ # Page. 13 ![Page Image](https://bcdn.docswell.com/page/87DK3VD3JG.jpg) シナリオ3 AWS + Cloudflare Workersの悪用サイトどう防ぐか 業務で使うworkersのURLだけをプロキシ等でAllowしておく 使わないworkersのURLは基本すべてブロックしておく 耐フィッシングはユーザだけに頼るのも難しい IdP側での対策 (MFA + 条件付きアクセス + etc..) を忘れずに # Page. 14 ![Page Image](https://bcdn.docswell.com/page/VJPK4VXPE8.jpg) シナリオ4 Azure サポート詐欺(Callback Phising) ブラウジング中の広告遷移 フリーソフトのダウンロード 受信して中身を見る 書いてある電話番号に電話 出典: BleepingComputer https://www.bleepingcomputer.com/news/security/microsoft-azure-monitor-alertsabused-in-callback-phishing-campaigns/ # Page. 15 ![Page Image](https://bcdn.docswell.com/page/2EVVXZLVEQ.jpg) シナリオ4 Azure Azure Monitor Alert Azureにおける設定条件を満たした時 に通知あるいは実行するサービス ここにフィッシング文を 入れてくる 通知先のメールアドレスにフィッシン グ対象を含めて悪用されている 出典: Microsoft Learn https://learn.microsoft.com/ja-jp/azure/azure-monitor/alerts/alerts-create-metricalert-rule # Page. 16 ![Page Image](https://bcdn.docswell.com/page/57GLV4X1EL.jpg) シナリオ4 Azure Azure Monitor Alertの悪用 Microsoftドメインから届く正規メールであるためspf=pass, dkim=pass, dmarc=passとなってしまう たどり着く先は結局サポート詐欺と同じらしい AnyDeskが誘導される事例など (Reddit) # Page. 17 ![Page Image](https://bcdn.docswell.com/page/4EQY6G8NJP.jpg) まとめ 今回はTencent Cloud, AWS, Cloudflare, Azureの悪用事例 を紹介しました 大手クラウドに限らずユーザを狙う、騙す攻撃に悪用されている 気を付けないとね!気を付けよう! # Page. 18 ![Page Image](https://bcdn.docswell.com/page/KJ4W452371.jpg) Appendix # Page. 19 ![Page Image](https://bcdn.docswell.com/page/LE1Y4WMZ7G.jpg) Appendix : シナリオ1 Tencent Cloud 調査のながれ 1.urlscan.ioでドメインから調べる https://urlscan.io/search/#page.domain%3A%22myqcloud.com%22 クエリできるよ → page.domain: “myqcloud.com” # Page. 20 ![Page Image](https://bcdn.docswell.com/page/GEWGX636J2.jpg) Appendix : シナリオ1 Tencent Cloud 調査のながれ 2.urlscan.ioでさらに深堀りする https://urlscan.io/search/#page.url%3A%22168-1393918816.cos.aptokyo.myqcloud.com%22 クエリできるよ → page.url:"168-1393918816.cos.ap-tokyo.myqcloud.com" # Page. 21 ![Page Image](https://bcdn.docswell.com/page/47ZL6YVRJ3.jpg) Appendix : シナリオ1 Tencent Cloud 調査のながれ 3.ハッシュ値をググったりする URLhaus Virustotal # Page. 22 ![Page Image](https://bcdn.docswell.com/page/YJ6W2D51JV.jpg) Appendix : シナリオ2 AWS 調査のながれ 1.urlscan.ioでドメインから調べる https://urlscan.io/search/#page.domain%3A%22cloudfront.net%22%20AND%20date%3A%3 Enow-30d%20%20AND%20files.mimeType%3A%22application%2Fx-dosexec%22 クエリできるよ → page.domain:"cloudfront.net" AND date:>now-30d AND files.mimeType:"application/x-dosexec" # Page. 23 ![Page Image](https://bcdn.docswell.com/page/GJ5M23YLJ4.jpg) Appendix : シナリオ2 AWS 調査のながれ 2.urlscan.ioでさらに深堀りする https://urlscan.io/search/#page.url%3A%22dyox3t14ouzkr.cloudfront.net%22%20AND%20fi les.mimeType%3A%22application%2Fx-dosexec%22 ダウンロードされるファイルのうち、 application/x-dosexec(実行ファイル)のみを狙い打つ 一つのCloudfront(バケット)からいろいろなインストーラ? クエリできるよ → page.url:"dyox3t14ouzkr.cloudfront.net" AND files.mimeType:"application/x-dosexec" # Page. 24 ![Page Image](https://bcdn.docswell.com/page/LE3WK65DE5.jpg) Appendix : シナリオ2 AWS 調査のながれ 3.URLをググったり調べる https://urlquery.net/search?q=dyox3t14ouzkr.cloudfront.net urlquery Virustotal # Page. 25 ![Page Image](https://bcdn.docswell.com/page/8EDK3VD27G.jpg) Appendix: シナリオ3 AWS + Cloudflare 調査のながれ 1. BurpとかでアクセスしてResponse(ソース)を見る # Page. 26 ![Page Image](https://bcdn.docswell.com/page/V7PK4VXLJ8.jpg) Appendix: シナリオ3 AWS + Cloudflare 調査のながれ 2. Base64 DecodeしてAES-GCMをDecryptする 難読化解除されたソース(Script)が見える # Page. 27 ![Page Image](https://bcdn.docswell.com/page/2JVVXZL6JQ.jpg) Appendix: シナリオ3 AWS + Cloudflare 調査のながれ 3. JavaScriptのコードを見ると中身がわかる # Page. 28 ![Page Image](https://bcdn.docswell.com/page/5EGLV4X2JL.jpg) Thank you