講演タイトル:週末なにしてますか? 忙しいですか? DbDを解析してもらっていいですか?
Drive-by Download攻撃は依然として行われており、特に2018年後半にはUnderminer Exploit KitとFallout Exploit Kitという新たなExploit Kitが登場しました。そうした新たなExploit Kitは、CVE-2018-4878やCVE-2018-8174を悪用します。また、公開鍵暗号で処理の一部を隠したり、HTMLを用いて悪性コードを生成するなど、様々なテクニックを使って巧妙に活動を行っています。しかし、それらの詳細な情報はほとんど報告されておらず、特に日本での最新の脅威情報は公開されていません。
本講演では、まず昨今の日本で観測されたDrive-by Download攻撃について、攻撃キャンペーンという観点からその活動を紹介します。また、新たに観測されたUnderminer Exploit KitとFallout Exploit Kitについて、それらがどのように解析を妨害し、攻撃を行っているのか、細部まで解析を行った結果を共有します。また、そこで用いられたマルウェアのファミリや挙動について説明します。さらに、キャンペーン毎やEK・地域毎に現れるマルウェアの特徴を明らかにします。
日本電気株式会社 小池倫太郎
2018年、日本電気株式会社に入社。学生時代からチームnao_secにてDrive-by Download攻撃やマルウェアのトラフィックの調査・解析、脅威情報の収集などを行っている。Japan Security Analyst Conference 2018 スピーカー、BlackHat USA 2018 Arsenal プレゼンター。
株式会社サイバーディフェンス研究所 中島将太
フォンジック、マルウェア解析業務に従事。さらにnao_secに所属し、シェルコードやマルウェアなどのリバースエンジニアリングを担当している。Japan Security Analyst Conference 2018 スピーカー、BlackHat Europe 2018 Arsenal プレゼンター。
|
講演タイトル:A lesson that should be learned from the cyber-attack in Korea
Many Korean public institutions, defense industries and corporations are under APT attacks. Even a cyber-attack occurred in international sports events held in South Korea. The attack lead to an IT network failure interrupted IPTV image transmission
at the main press center, operation of the official website for sales and issuance of entrance tickets, wi-fi services, etc. At first, a DDoS attack was suspected, but then the internal system was infiltrated and files on the server deleted.
In most cases, the attacker meant to steal confidential information. It was an interesting incident, in that it provided evidence that a cyber-attack could happen against a sporting event. The media and many security companies were interested
in this incident and commented about it, but it became a typical example of false attribution.
Some threat actors active in Korea are also active in Japan, meaning that Japanese security experts should also pay attention to what’s happening in Korea.
Through the presentation, I will describe the main attack vectors of the attacker and the lateral movement to grasp the internal system through cyber-attacks in Korea. Lastly, I will introduce the lessons from this incident that security managers
must be aware of.
We hope that this presentation would be of little help to Japanese officials who are working to successfully hold the 2020 Summer Olympics as well as Japanese security officers.
AhnLab CHA Minseok (Jacky)
He is a Senior Principal Malware Researcher at AhnLab. He joined AhnLab as a malware analyst in 1997. He has been appointed as a member of the Private/Public Cooperative Investigation Group and Cyber Expert Group in South Korea. He is a reporter
for the WildList Organization International. He is a member of the boardof directors of AVAR (Association of Anti-Virus Asia Researches) since 2018. He was awarded the ISC2 ISLA Asia-Pacific Information Security Practitioner Award in 2018. He
is a speaker at security conferences, including AVAR, AVTOKYO, CARO Workshop, CODE BLUE, CodeEngn, CODEGATE, ISCR(International Symposium on Cybercrime Response), SECUINSIDE, Virus Bulletin Conference and so on. When he has free time, he enjoys
old video games and old anime.
AhnLab LEE Myeong-Su
He is currently working as an incident analyst at AhnLab in South Korea. He started as a software developer in 1999. He left the IT field in 2003 and put up his own business such as pizzeria and PC cafe. He experienced, at an early age, the
arduousness of being self-employed so he came back to the field of IT again. He taught hacking and security to students, private companies, military, police and public institutions for 5 years. He joined AhnLab's A-FIRST (AhnLab Forensics & Incident
Response Service Team), that was established in 2011, where he analyzed various APT incident cases. He likes to play musical instruments as a hobby. He started to learn the violin 3 years ago, finished seventh volume of Suzuki Violin School book,
and is currently practicing Mozart Violin Concerto No.3.
|
講演タイトル:Deep Dive Into The Cyber Enemy: Various Case Study
One dark country has been using the Internet only for military purposes. Especially, that country has cyber warfare organization, and there are several sub groups under cyber warfare organization. Each sub groups has cyber warfare activities
with different purposes. I will explain not only structure of the cyber warfare organization of dark country, but also as well as the types of cyber weapons they use and how they are used. I will explain it all with case analysis of real APT
incidents.
Each sub groups of dark country cyber warfare using similar attack vector and malicious codes and similar attack tools. And each groups purpose and target depend on each agency character. For example, there is a group of dark country which has
attacked oversea government agency, nuclear power plant, defense industry, airport. Another group has targeted dark country defector to gather information, and other group has hacked financial sector to earn USD.
In my presentation, I will explain dark country's agencies which order commands to group and purposes. Additionally, this talk takes a deep-dive into APT attacks associated with dark country, why they hacked the targets, which IPs they used
while attack, and also many logs remained on real systems.
Trusted Third Party Agency 朴文範(Park Moonbeom)
He is working in cyber security and incident response sector of South Korea as a general researcher and cyber investigation advisory member of the national investigation agency. Also he is responsible for research on hacking methods, analyze
hacking incident also, profiling the relationships. And he has been talking and presentation at many international hacking & security conference as AVTOKYO, Ekoparty, FIRST, HITCON, HITB-GSEC, Swiss Cyber Storm, TDOH Conf, TROOPERS.
|
講演タイトル:セキュリティログ分析のフィールドはエンドポイントへ ~Windows深層における攻防戦記~
日々巧妙化するサイバー攻撃においてマルウェア自身もアンチウィルス,IPS/IDS,サンドボックスといったセキュリティ製品からの検知を逃れるためにファイルレス化、C&C通信の暗号化、C&C通信先に正規サイトを利用するなど進化を遂げており、ネットワークセキュリティ製品による監視のみでマルウェア感染を見つけることは困難になってきています。そこでこれまでのネットワークログの監視にプラスしてホスト内の挙動ログを監視することに注目が集まってきています。
本講演では、まずエンドポイントログ分析の利点や課題点、弊社SOCでのネットワークログと比較した際のエンドポイントログによるインシデント発見割合などについて簡単に紹介します。その後、弊社SOCで観測された複数の攻撃グループによるサイバー攻撃の具体的な事例紹介とともに、プロセス・コマンドライン・ファイル操作・レジストリ操作等のログを利用してマルウェア感染・感染元ファイル・漏えい情報などの調査を行う際の分析のコツを紹介します。また、コードインジェクションが利用された場合など分析時の注意点についてもを紹介します。最後にファイルのエンコードやコピーによるプロセス名の置換など実際に攻撃者によって利用されたさまざまなWindowsコマンドを駆使したエンドポイントログ監視の回避テクニックとその対策事例について紹介します。
NTTセキュリティ・ジャパン株式会社 林 匠悟
NTTセキュリティ・ジャパンのSOCアナリスト。SOCの運用チームに所属して10年目。アラート監視・デバイス設定変更・分析・カスタムシグネチャ作成等を幅広く経験。また、日本SOCアナリスト情報共有会(SOCYETI)の立ち上げメンバーとして積極的に情報共有活動を実施。
|
講演タイトル:仮想通貨を要求するセクストーションスパム
2018年9月、仮想通貨を要求するセクストーションのスパムメールが世界中で拡散した。 一般的に、セクストーションとは個人の性的なコンテンツを盾に取り相手を脅す行為を指す。今回利用された攻撃メールの大きな特徴は、メッセージの受信者を焦らせる巧妙なソーシャルエンジニアリングとBitcoinを利用した金銭要求である。
同様のスパムメールは同年7月にも観測されていたものの、9月以降このスパムメール拡散は本格化し、多様な言語での拡散と攻撃手法の変化は現在もなお続いている。
スパムメール送信という単純な攻撃ではあるものの、攻撃に利用されたBitcoinアドレスにはスパムメールで要求された金額に近い額のトランザクション記録が存在するものがある。高度なマルウェアを利用しなくとも、スパムメール配信というごくシンプルな攻撃手法で攻撃者が収益を上げており、人々が騙されて金銭被害や心理的被害を受けているという事実がある。それは日本でも例外ではない。
海外ではこのスパムメール拡散について多くの企業や公的機関がブログ記事や注意喚起を出しているが、日本語で出ている情報は少ない。本発表は攻撃の概要を掴むとともに、他国の状況と日本について比較し、日本を狙った攻撃について考察する。
今回のセクストーションのスパムメールは、海外から拡散が開始し、遅れて日本でも拡散が開始された。様々な言語を標的にしたセクストーションのスパムメールを早期に把握することで、日本を狙ったスパムメールを早期に検知できる可能性がある。上記の調査によって得られた技術情報を参加者へ共有することで、自組織におけるスパムメール判定やユーザーへの注意喚起等早期の対応に役立てていただきたい。
株式会社カスペルスキー 大沼 千亜希
IT関連企業での勤務を経て2008年カスペルスキー入社。カスペルスキー製品の日本市場向け製品開発および検証、グローバルでの製品テストに携わる。2013年より情報セキュリティラボの一員として、フィッシングや偽ショッピングサイトの調査、カスペルスキー製品への脅威情報の反映、ブログ執筆、情報セキュリティ啓発活動での講演などを担当。
|
講演タイトル:BRONZE RIVERSIDE(APT10)による ANEL を利用した攻撃手法とその詳細解析
BRONZE RIVERSIDE (別名:APT10, ChessMaster, StonePanda, menuPass, etc…)は近年活発に国内組織を標的としたサイバー攻撃を行っている攻撃者グループの1つである。BRONZE RIVERSIDEがこれまでに利用しているマルウェアで代表的なものはRedLeaves、Cobalt Strike、ChChes、ANELなどが挙げられる。
これらのマルウェアの内、ANELは2017年9月下旬から現在にかけて攻撃者がマルウェアのバージョンを頻繁にアップデートし、バックドア機能や検出回避機能を改良しながら攻撃に利用している事が確認されている。
本講演では、BRONZE RIVERSIDEが用いるマルウェアの中でも特にANELに焦点を当てて、ANELを詳細解析した結果得られた特徴や機能を解説する。
特に、ANELのアンパックの方法や、バージョンアップによるANELの機能進化の推移として、通信の暗号化手法の改良部分やバックドアコマンドの機能増加などの情報を、作成したツールを用いて解説する。
また、ANELを用いた攻撃から自組織を守るために必要な情報として、標的型メールに添付されるファイルの特徴や通信の特徴などから、攻撃を検知・対処するための情報を共有する。
SecureWorks Japan 株式会社 玉田 清貴
セキュリティベンダーにて、企業・官公庁に対するインシデントレスポンスサービスの中で、端末調査、マルウェア解析およびフォレンジック分析業務を経て、2018年7月から現職。現在も、マルウェア解析およびフォレンジック分析業務に従事するとともに、主に国内を標的にした脅威情報の収集・分析に従事。
|
講演タイトル:公開サーバを狙った仮想通貨の採掘を強要する攻撃について
昨今、インターネットにおいて公開サーバを狙った仮想通貨の採掘を強要する攻撃活動が行われています。このような攻撃活動は少なくとも2017年4月から確認しており、終息の兆しは見受けられません。攻撃の観測だけでなく実際の状況として、攻撃者は数千万円単位の収入を得ていることも分かっています。
従来お金を稼ぐという目的の活動は、その手段としてバンキングトロイやランサムウェアなどが代表的でした。しかし仮想通貨の普及から、攻撃者の活動傾向に変化がありました。
仮想通貨の採掘に必要なのは単純な計算リソースです。ゆえに攻撃者は脆弱な公開サーバに対し採掘を強要させることで、金銭価値のある仮想通貨を直接かつ継続的に得ることが出来るようになりました。さらに採掘の強要行為は本質的には任意コード実行であるため、攻撃者はこれまで使われてきた攻撃コードやボットネットなど、様々な資産を流用することができます。このように、悪意を持つ者はお金を稼ぐという単純な動機で、容易に攻撃活動を実施できる現状があります。
また、攻撃者の多くは仮想通貨Moneroを採掘させています。Moneroは匿名性の高い仮想通貨として知られているものの、ウォレットアドレスを特定することにより、収入状況の確認が可能な場合があります。攻撃者の収入状況と、採掘を強要する攻撃を観測した時期や狙った脆弱性には関係が見受けられました。
本セッションでは仮想通貨の採掘を強要する活動に関して、攻撃者がどのように仮想通貨を採掘しているのかと、収入の傾向についてを調査法とあわせて紹介します。
株式会社ラック 西部 修明
2015年に株式会社ラック入社。セキュリティセンターJSOCのアナリストとしてリアルタイムセキュリティ監視、インシデント分析に従事する。その他に、脆弱性の検証やカスタムシグネチャの作成、JSOCの検知傾向からレポートの執筆などを務める。
|
講演タイトル:C&C 完全に理解した - 標的型攻撃に使用されたマルウェア xxmm から学ぶ、HTTPを用いたコマンド&コントロール実装
標的型攻撃で使用される RAT マルウェアの解析結果は、検知のみならずインシデント対応における攻撃者の行動を把握するために非常に重要な情報となる。しかしながら、標的攻撃マルウェアの解析記事では機能全般についての説明や、一部の特徴的な処理についての説明に終始しているケースが多く、インシデント対応に活用ができない場合もある。特に、ネットワーク検知からインシデント対応まで広く活用が可能な通信実装の詳細を解説した記事は国内では少ないのが現状である。
本発表では、過去標的型攻撃に使用された RAT であり HTTP 通信を利用し且つ独自のデータ構造を持つ xxmm を題材とし、その通信がどのように実現されているのかを完全に解説する。具体的には、xxmm の C2 通信における、暗号化や圧縮といった技術とそのデータ構造の解説、C2 の命令および結果を格納するデータの構造とそこに格納される値とその意味などを詳細に解説することで、マルウェア解析者をはじめとしたアナリスト・研究者それぞれにとって有益な情報を提供すること目指す。
SecureWorks Japan 株式会社 中津留 勇
セキュリティインシデント対応支援業務、マルウェア分析・対策研究業務を経て、2016年3月から現職。Secureworksのリサーチチーム、Counter Threat Unitの一員として、最新のサイバー攻撃の調査研究を行うと共に、インシデント対応および関連するマルウェア等の解析業務に従事している。セキュリティ啓蒙活動にも力を入れており、WASForum Hardening Project実行委員、Internet Week プログラム委員、セキュリティ・キャンプ全国大会講師などを務める。
|
