細工された製品が突然牙をむく「サプライチェーン攻撃」の脅威
553 Views
December 11, 17
スライド概要
『新潟県サイバーセキュリティフォーラム2017』(第6回反社会的勢力排除分科会),2017/12/11
http://www.cyber.niigata.jp/html/antisocial.html
・サプライチェーン攻撃の類型
・開発環境の汚染、更新プロセス汚染、モジュールすり替えの手口
・CSIRT機能の成熟度を高め、自組織の状況把握をすること
セキュリティアナリスト @TrendMicro , 高知高専 副業先生 , Udemyベストセラー 講師 | サイバー犯罪対策、特にオンライン詐欺が専門。2002年よりこの領域で活動。マルウェア解析、インシデントハンドラー等の経験を経て現職。投稿は個人の見解であり、所属組織とは関係ありません。
関連スライド
各ページのテキスト
新潟県サイバー脅威対策協議会 新潟県サイバーセキュリティフォーラム 2017 細工された製品が突然牙をむく 「サプライチェーン攻撃」の脅威 トレンドマイクロ株式会社 公共ビジネス戦略推進室 林 シニアリサーチャー 憲明(Noriaki Hayashi)
林 憲明 トレンドマイクロ株式会社 シニアリサーチャー サイバー犯罪対策、特にオンライン詐欺を専門に調査・研究 活動を行う研究員。 サイバーセキュリティに関する多数の寄稿、著書がある。 また、APWG(Anti-Phishing Working Group)や情報セキュ リティ EXPO、サイバー犯罪に関する白浜シンポジウム、情報 セキュリティワークショップin越後湯沢など国内外のセキュリ ティ会議にて研究発表も行っている。 ■最近の主な活動 □ □ □ □ 2 サイバー犯罪捜査知識体系(CIBOK)著者 フィッシング対策協議会 運営委員、STC普及啓発WG 主査 情報処理技術者試験委員・情報処理安全確保支援士試験委員 NPO日本ネットワークセキュリティ協会 教育部会 ゲーム教育WG Copyright © 2017 Trend Micro Incorporated. All rights reserved.
目次 • 「サプライチェーン攻撃」とは何か? • 変遷を確認 • 洗練された諜報活動における事例 • 三大手口の理解を深める • レッドチーム視点で成熟度を評価 • 加速化する脅威に対する一手 3 Copyright © 2017 Trend Micro Incorporated. All rights reserved.
「サプライチェーン攻撃」とは何か? ライフサイクルにおける任意の時点で、敵対者がマルウェ アやその他の脆弱性を仕掛けることにより、情報技術に関 するハードウェア、ソフトウェア、オペレーティングシス テム、周辺機器(情報技術製品)、その他情報サービスに 対する不正アクセスを試みる攻撃。 Attacks that allow the adversary to utilize implants or other vulnerabilities inserted prior to installation in order to infiltrate data, or manipulate information technology hardware, software, operating systems, peripherals (information technology products) or services at any point during the life cycle. Source:米国国家安全保障システム委員会(CNSS 4009-2015)Glossary 4 Copyright © 2017 Trend Micro Incorporated. All rights reserved.
サイバー サプライチェーンリスクマネジメント NISTの C-SCRM プログラム • なぜリスクが高まったのか - 利点を可能にする要因(低コスト 相互運用性、イノベーション、さまざ まな製品機能)による、妥協の誘引 • なにが起こりうるのか - 模倣品の挿入、不正生産、改ざん 盗難、マルウェアと不正ハードウェア 米国におけるITサプライチェーン構造 出典:NIST SP 800-161, "Supply Chain Risk Management Practices for Federal Information System and Organizations" 5 Copyright © 2017 Trend Micro Incorporated. All rights reserved.
開発者 環境 攻撃者 個人情報 詐取 6 攻撃基盤 ウェブ汚染 フィッシング Copyright © 2017 Trend Micro Incorporated. All rights reserved. 汚染環境 で開発 ソフトウェア 利用者 端末の ボット化
2009年8月 Delphi 汚染ウイルス 80,404件 • 人気ソフトの汚染 - 「 Glary Utilities」/「Glary Undelete 」 7 Copyright © 2017 Trend Micro Incorporated. All rights reserved. PE_INDUC.Aの感染報告数 http://blog.trendmicro.co.jp/archives/3011
2015年9月 iOS Xcode Ghost 汚染された開発環境 • 開発環境の二次配布、汚染 • 人気アプリの汚染 - - Xcode や Unityプラットフォーム 「WeChat」中国No.1 メッセンジャー 銀行、モバイル通信、地図、株取引、 タクシー配車など 「Xcode」のコピーを宣伝するフォーラム 8 Copyright © 2017 Trend Micro Incorporated. All rights reserved. http://blog.trendmicro.co.jp/archives/12251
2015年11月 AndroidOS Moplus SDK • 信頼の崩壊(悪質アドウェア) • SDK汚染の影響力 • 機能の悪用 - 9 「百度(Baidu)」が提供するSDKにロ ーカルHTTPサーバを立ち上げる機能 Moplus SDK組み込みアプリは14,112件 個人情報の収集 特定のファイルをアップロード 任意アプリのインストール SMS送信、電話の発信 Copyright © 2017 Trend Micro Incorporated. All rights reserved. スマートフォンに 連絡先が追加され る様子を遠隔から 監視 http://blog.trendmicro.co.jp/archives/12566
2017年5月 OSX「Proton」マルウェア DeepWeb上で売買のmacOS RAT Proton • - YouTubeに専門チャネル 感染端末からキーチェーンや1Password、その他Wallets情報 を盗み出す HandBrake 相次いでオンラインソフトに仕込まれる • - 2017年5月:DVDリッピングソフト - HandBrake 2017年10月:メディアプレイヤー - Elmedia Player 2017年10月:ダウンロード管理 – Folx 2017年11月:偽ソフト – Symantec Malware Detector $ cat /System/Library/CoreServices/XProtect.bundle/Conten ts/Resources/XProtect.plist |grep -A1 “OSX.Proton" (SAH1: 4322ee3d2d26f490a1b06634e4f9c81f3c937020) OSX マルウェア定義リスト「XProtect」の登録確認 ソースコードの盗難被害 • - 10 ファイル名:HandBrake-1.0.7.dmg Panic社のWebエディタの「Coda」やFTPアプリ「Transmit」 SHA1:0935a43ca90c6c419a49e4f8f1d75e68cd70b274 のソースコードを盗まれる 検出名:OSX_PROTON.A https://panic.com/blog/ja/stolen-source-code/ Copyright © 2017 Trend Micro Incorporated. All rights reserved.
「サプライチェーン攻撃」の 変遷を確認 11 Copyright © 2017 Trend Micro Incorporated. All rights reserved.
1999年1月 TCP Wrapper 配布パッケージのすり替え • 信頼の崩壊 - セキュリティ製品「TCP Wrapper」 にトロイの木馬 - root権限の取得 • CERT勧告 CA-99.02 - Linuxのツール集「util-linux」の偽 者。ユーザ名とログインIDを電子メ ールで送信。 https://www.cert.org/historical/advisories/CA-1999-01.cfm 12 Copyright © 2017 Trend Micro Incorporated. All rights reserved.
2002年11月 Bofishyバックドア 配布パッケージのすり替え • 信頼の崩壊 - パケットキャプチャライブラリの 「libpcap」「tcpdump」が汚染 - リモートからのシェルアクセスを 提供するバックドアが混入。 https://www.cert.org/historical/advisories/CA-2002-30.cfm 13 Copyright © 2017 Trend Micro Incorporated. All rights reserved.
2004年頃? 偽 Cisco 製品 問題 • 障害や火災などの事故? - 米連邦政府機関向けに大量販売 • 諜報活動?が疑われたサプ ライチェーン攻撃 • FBIによる「Op#Cisco Raider」 - 捜査資料?とされるFBIのパワー ポイントが漏洩し注目が高まる 14 Copyright © 2017 Trend Micro Incorporated. All rights reserved. 写真・真贋判定ガイド https://www.andovercg.com/services/whitepapers.shtml
参考情報 15 Copyright © 2017 Trend Micro Incorporated. All rights reserved. http://www.abovetopsecret.com/forum/thread350381/pg1
2010年5月 Op#CiscoRaider 30件の告発 • 「Op#Cisco Raider」成果 - 3500万ドル以上の偽造シスコ製品 を押収 - 94,000件以上の偽造品のラベルと ネットワークコンポーネント押収 16 Copyright © 2017 Trend Micro Incorporated. All rights reserved. https://archives.fbi.gov/archives/news/pressrel/press-releases/departments-ofjustice-and-homeland-security-announce-30-convictions-more-than-143-millionin-seizures-from-initiative-targeting-traffickers-in-counterfeit-network-hardware
2011年7月 改ざんされた ALZip Update 更新プロセスの汚染 - 更新チェックの脆弱性を突く • 標的が明確(諜報活動)な攻撃 17 脆弱な ALCMUpdate.exe 更新要求 正規とは異なる攻撃者の用意したCDN (Content Delivery Network)へ接続 • - 改ざんされた ALZip Update Server 正当な「ALAd.dll」の代わりに悪意ある DLLをロード 標的「SK Communications」からの更 新要求のみを悪意CDNへ接続 標的外からの更新要求は正規CDNへ接続 Copyright © 2017 Trend Micro Incorporated. All rights reserved. 接続元 判定 標的外 正規 CDN 標的 悪質 CDN https://www.commandfive.com/papers/C5_APT_SKHack.pdf http://blog.estsoft.co.kr/139
「サプライチェーン攻撃」による 洗練された諜報活動の事例 18 Copyright © 2017 Trend Micro Incorporated. All rights reserved.
2013年8月 台湾: KMPlayer事件 • 自己解凍形式でパッケージ化 • 有効なデジタル署名 • PlugXはRAT(Remote Access Tool) - - - 19 7z SFX: Self-extracting archive 内部に含まれている「time.exe」にも デジタル署名が付与 CnCサーバ リスト pen.abacocafe.com pens.abacocafe.com cdn.abacocafe.com vpen.abacocafe.com Copyright © 2017 Trend Micro Incorporated. All rights reserved. ファイル名:KMP_3.7.0.87.EXE SHA1:107e48a8c4cbbd1738b96984e2105c37ece4c1ae 検出名:BKDR_PLUGX.ZZXX
2014年1月 日本:GOM Player事件 標的が明確(諜報活動)な攻撃 • - 標的からの更新要求のみを偽の更新ファ イル配布サイトへ接続 IPアドレスに基づく接続元判定 日本原子力研究開発機構が被害 を公式発表 • 20 キャプチャー画像、ファイル/フォルダ 名称、IPアドレス、ユーザアカウント情 報が漏洩 http://www.jaea.go.jp/02/press201 3/p14022801/ Copyright © 2017 Trend Micro Incorporated. All rights reserved. KMPlayer事例と同様に自己解凍機能で マルウェアをドロップ ファイル名:GoMPLAYERJPSETUP.EXE SHA1:295b91daa7e7cbf61ced13eaeb074356ea64de8e 検出名:TROJ_DROPPR.YZ
2014年8月 日本:EmEditor事件 • 標的が明確(諜報活動)な攻撃 • 影響によるマルウェアの詳細は 公表されていない - IPアドレスに基づく接続元判定 大学、省庁、報道機関などを標的 更新サーバに残された痕跡 .htaccess ファイル ※公式サイトより引用 https://jp.emeditor.com/general/今回のハッカーに よる攻撃の詳細について/ 21 Copyright © 2017 Trend Micro Incorporated. All rights reserved.
2014年12月 台湾:オンラインゲーム事件 • 標的が明確(諜報活動)な攻撃 • 有効なデジタル署名 • 別の攻撃時に使用されていた登 録情報の転用 - - 22 台湾版のみ改ざん。世界的に人気ゲー ムの正規ランチャ プログラム中の「Cooper」 別攻撃におけるCnCサーバの登録者名 Copyright © 2017 Trend Micro Incorporated. All rights reserved. ファイル名:FO3Launcher.EXE SHA1:f920e6b34fb25f54c5f9b9b3a85dca6575708631 検出名:BKDR_PLUGX.ZTBL-EC http://blog.trendmicro.co.jp/archives/10738
2017年3月 ウクライナ NotPetya 標的が明確(諜報活動)な攻撃 - ウクライナ警察が感染ベクト ルを発表 - 会計ソフト「MeDoc」のア ップデート(EzVit.exe)に より感染 • 23 Copyright © 2017 Trend Micro Incorporated. All rights reserved.
2017年8月 日米:CCleaner 事件 • 標的が明確(諜報活動)な攻撃 • 有効なデジタル署名 • 悪質なコードはバイナリに組み 込み - - 24 標的ドメインは、Cisco / HTC / Samsung / ソニー / VMWare / Intel / Microsoft / Linksys / D-Link ccleaner.exe Copyright © 2017 Trend Micro Incorporated. All rights reserved. ファイル名:CCleaner_5.33.exe SHA1:c705c0b0210ebda6a3301c6ca9c6091b2ee11d5b 検出名:BKDR_CCHACK.B http://blog.trendmicro.co.jp/archives/10738
「サプライチェーン攻撃」に関する 三大手口の理解を深める 25 Copyright © 2017 Trend Micro Incorporated. All rights reserved.
手口類型を知れば、次の一手が見えてくる 開発環境汚染 26 Copyright © 2017 Trend Micro Incorporated. All rights reserved. 更新プロセス汚染 モジュールすり替え
脅威を与える役者「Threat Actor」 Threat Actor モチベーション シナリオ 諜報機関 国家 経済、政治的または軍事的な優位性 の確立 悪意あるコードの挿入 偽造者 (組織犯罪者) 即時性の高い財政利益 将来の財政利益に向けての基盤づく り 偽物を挿入 従業員 (インサイダー) 個人的な利益(不満解消/復讐)、金 知的財産の損失 銭的利益 ハクティビスト 政治的/社会的な変化を及ぼす扇動 慣行を変革させようとする圧力 27 Copyright © 2017 Trend Micro Incorporated. All rights reserved. 不正アクセス 妨害工作
「サプライチェーン攻撃」への耐性 レッドチーム視点で成熟度を評価 28 Copyright © 2017 Trend Micro Incorporated. All rights reserved.
敵対的思考から防衛を支援する • BLUE:ディフェンスを主 - サービスの安定稼働 - 検出と対応 - アラートの抑制 • RED:アタックを主 - 敵対的思考からシナリオ作成 - 検出のバイパス(迂回) - あらゆる可能性の列挙 • ゴールはデジタル資産の防衛 29 Copyright © 2017 Trend Micro Incorporated. All rights reserved.
ISR-EvilGrade – 偽の自動更新 • 偽の自動更新を注入 - DNSトラフィックのハイジャック • 複数のモジュールに対応 - Java / Winzip / MacOSX / Safari / iTunes… • 多くのソフトは脆弱な更新 - 電子署名チェックは一部のみ - CRCチェックは署名ではない https://github.com/infobyte/faraday/wiki/Evilgrade 30 Copyright © 2017 Trend Micro Incorporated. All rights reserved.
さまざまな手口が考えられる • 外部に細工 - 偽のアクセスポイント、EvilTwin(Wi-Phishing)、ファーミング - BGPハイジャック 2017年8月:グーグルによる誤った経路情報の大量送信 • 内部侵入後に細工 - 31 DNSサーバのハイジャック、キャッシュポイズニング ARPスプーフィング DHCPスプーフィング Webプロキシ自動検出(WPAD)、BadWPAD Copyright © 2017 Trend Micro Incorporated. All rights reserved.
mitmproxy - 通信内容の分析 • 通信を傍受し分析 - Man-in-the-middle攻撃の手法を 倫理的に活用 - 暗号化(SSL/TLS)通信を復号し 分析 • モバイルやIoT機器の分析 • MITM分析の仮想イメージ - CERT Tapioca: https://www.cert.org/vulnerability-analysis/tools/certtapioca.cfm 32 Copyright © 2017 Trend Micro Incorporated. All rights reserved. https://mitmproxy.org/
加速化する脅威に対する一手 33 Copyright © 2017 Trend Micro Incorporated. All rights reserved.
経営者に向けてのアドバイス 『サイバーセキュリティ経営ガイドライン Ver2.0』抜粋 • http://www.meti.go.jp/policy/netsecurity/mng_guide.html 34 Copyright © 2017 Trend Micro Incorporated. All rights reserved.
開発者に向けてのアドバイス • 適切な鍵の管理 - コード証明のための鍵は更新サーバ とは独立して管理を行う • 検証可能なHTTPS通信で更 新を行う • 更新プログラムの適用前に デジタル署名の検証を行う 35 Copyright © 2017 Trend Micro Incorporated. All rights reserved.
管理者に向けて NIST SP 800-61 R2 • インシデント対応ライフサイクルを意識する - フェーズの差し戻し、インシデント宣言を恐れない 準備 検出・分析 封じ込め・ 根絶・復旧 Detection & Analysis Containment Eradication & Recovery Preparation 36 Copyright © 2017 Trend Micro Incorporated. All rights reserved. 教訓 PostIncident Activity
CSIRT機能の頂を知り、成熟度を高める OGCの「組織対応力ベンチマークチェックシート」では、以下①~⑥を必要な要素と定義し、計25問のチェックシートによっ て達成度合いを5段階で評価します。 達成度合いが「3」以上であれば一定のレベルに達していると評価できますので、「2」以下の項目を優先的に組織に実装するこ とが求められます。 ①文書類の整備状況 • • • • インシデント対応ポリシー インシデント対応計画 インシデント対応手順 関係組織への周知徹底と合意 ②インシデント対応チームの構成 • • • インシデント対応チームの構成検討 インシデント対応の参加グループ インシデント対応チームが担うインシデント対応以外の 役割 ④予防 • • • • • • リスク評価 パッチ管理 ホストのセキュリティ管理 ネットワークのセキュリティ管理 悪意のコードを予防する仕組み ユーザのセキュリティ意識向上 ③インシデント対応の準備 • • • • ⑤検知と分析 • • • • 攻撃検知 異常検知 ログの管理と相関分析 知識やスキルの向上 インシデント対応担当者への連絡と設備 インシデント分析のためのハードウェアとソフトウェア インシデント分析のための準備 インシデント鎮静化のためのソフトウェア ⑥封じ込め・根絶・復旧および事後活動 • • • • インシデントの封じ込め 証拠保全 揮発性データ及び完全なディスクイメージの収集 インシデント対応の事後活動 ベンチマークシートに対する解説書も用意されています。まずはこちらを活用し、自組織の状況 把握を推奨します。 http://ogc.or.jp/archives/1525 37 Copyright © 2017 Trend Micro Incorporated. All rights reserved. 引用元:一般社団法人オープンガバメン ト・コンソーシアム(OGC) 「組織対応力 ベンチマークチェックシート」
ソフトウェアの完全性を確認 1999年の教訓 • - 18年前からやるべきことは変わっていない • 脅威は継続中 - 2016年「Linux Mint」に「Tsunami」 ボットネットが組み込まれる • 複数ミラー、ハッシュ確認 • まずはテスト環境へ、そして本番に C:¥>certutil –hashfile ファイル名 SHA1 - PGP署名によるチェックが望ましい https://www.cert.org/historical/advisories/CA-1999-01.cfm 38 Copyright © 2017 Trend Micro Incorporated. All rights reserved.
ネットワーク分離とセグメンテーション • 洗練された攻撃の泣き所 - ネットワーク侵入後の横方向の動き に依存 • 被害の拡大を防止 - 目的・用途ごとにセグメントの分割 - 自分のネットワーク内で何が起きて も、他に迷惑をかけない Citrix XenDesktop • シンクライアントも有効 - 複雑なゾーニングと分離の手助けに 39 Copyright © 2017 Trend Micro Incorporated. All rights reserved. VMWare Horizon
IOC:Indicator Of Compromise 脅威の痕跡情報 内部で得られた知見こそが最高の情報 40 Copyright © 2017 Trend Micro Incorporated. All rights reserved.
境界監視の強化が重要 • イベント収集に役立つゾーン - ネットワーク境界線 ホスト境界線 システムレベルの検知 アプリケーションレベルの検知 • 理想はネットワーク境界線で の検知 - システムレベルの検知を強化する EDR(Endpoint Detection & Response)の導入が注目 41 Copyright © 2017 Trend Micro Incorporated. All rights reserved.
DNSデータとProxyログの見直し • DNSトラフィックの分析 - DNS名前解決の履歴を蓄積しておく - サブドメインの長さに注目 - 「dns-blacklists.py」にて既知の脅威 を見つけ出す - 「dnstwist」、「URLCrazy」による 積極的なThreat Hunting • 定期的なProxyログのチェック - ユーザーエージェント名に注目 42 Copyright © 2017 Trend Micro Incorporated. All rights reserved.
まとめ 「サプライチェーン攻撃」は古典な手口 • - 1999年から現在まで、ハードウェア・ソフトウェアにて報告されている 利点を可能にする要因により妥協が誘因され、脅威が高まっている 洗練された 攻撃者集団が多用する攻撃手口 • - 国内外で深刻な実害が報告されている ベンダーが常に信頼できるとは限らない • - 侵害された場合、デジタル署名すら信頼できない フィッシングなどソーシャルエンジニアリングな手法すら不要 考慮すべきは人・技術・プロセスと多岐にわたる • 43 仕入れ(新たに利用する製品)の本番環境適用ポリシーを定義する 許容(健全な)ベンダーの把握、管理を行う 平常値を把握し、異常値の早期発見。出血は直ちに処置する Copyright © 2017 Trend Micro Incorporated. All rights reserved.
Thank you. 本ドキュメントに記載されている各社の社名、製品名およびサービス名は、各社の商標または登録商標です。