lazarusholic

Everyday is lazarus.dayβ

攻撃キャンペーン「Operation Bitter Biscuit」を実行した標的型攻撃グループに関する脅威情報

2021-01-17, JPCERT
https://jsac.jpcert.or.jp/archive/2020/pdf/JSAC2020_3_takai_jp.pdf
JSAC2020_3_takai_jp.pdf, 2.7 MB
#BitterBiscuit

Contents

攻撃キャンペーン「Operation Bitter Biscuit」
を実行した標的型攻撃グループに関する脅威情報
2020/1/17
高井 一


自己紹介
⚫ 元ソフトウェアエンジニア


3年前、NTTセキュリティ・ジャパンに転職し、
セキュリティエンジニアに転身

⚫ SOCアナリスト


24時間365日の監視業務



セキュリティデバイスのアラート監視



マルウェア解析



Taidoorを用いた標的型攻撃解析レポート

2/72


はじめに
発表内容
⚫ 攻撃キャンペーン「Operation Bitter Biscuit」の概要
⚫ SOCで観測した標的型攻撃の解析結果


メールからバックドア感染までの解析結果



バックドアを用いた攻撃者の活動の解析結果

⚫ マルウェアBisonalの亜種間の比較
⚫ まとめ

3/72


攻撃キャンペーン
「Operation Bitter Biscuit」
の概要
4/72


Operation Bitter Biscuitの概要
Opearation Bitter Biscuitは攻撃キャンペーンを表しており、
セキュリティベンダー各社から情報が公開されている。[1],[2],[3]

5/72


Operation Bitter Biscuitの概要
Operation Bitter Biscuitの特徴
⚫ 標的国: 韓国、ロシア、日本
⚫ 標的業種: 政府関係、軍事・国防関連企業
(IT企業も攻撃されたという情報有り[4])

⚫ マルウェア: Bisonal

Operation Bitter Biscuitに関する脅威情報
⚫ 日本に対する攻撃事例が少ない。
⚫ 攻撃に利用されるメールやマルウェア等の報告は存在するが、
感染後の攻撃者による活動に関する報告が少ない。

脅威情報の少ないグループ
6/72


SOCで観測した
標的型攻撃の解析結果

7/72


メールからバックドア感染
までの解析結果

8/72


メールからバックドア感染までの流れ
端末がメールを起点に3つのバックドアに感染した。
ACE形式
圧縮ファイル

2つのWordファイル

①ユーザー
が解凍

DOCX

DOCX
②ドロッパー
を起動

ドロッパー
(word.wll)
①ユーザー
が解凍

1次バックドア
(csrcc.exe)

③1次バックドア
を作成・実行

2次バックドア
(Acrobat.exe)

⑤2次バックドア
を実行

④2次バックドア
をダウンロード

3次バックドア
(conime.exe)

⑦3次バックドア
を実行

⑥3次バックドア
をダウンロード

C&Cサーバー

C&Cサーバー

9/72


メールからバックドア感染までの流れ
端末がメールを起点に3つのバックドアに感染した。
ACE形式
圧縮ファイル

2つのWordファイル

①ユーザー
が解凍

DOCX

DOCX
②ドロッパー
を起動

ドロッパー
(word.wll)
①ユーザー
が解凍

1次バックドア
(csrcc.exe)

③1次バックドア
を作成・実行

これから

2次バックドア
(Acrobat.exe)

⑤2次バックドア
を実行

④2次バックドア
をダウンロード

3次バックドア
(conime.exe)

⑦3次バックドア
を実行

⑥3次バックドア
をダウンロード

話す内容
C&Cサーバー

C&Cサーバー

10/72


標的型攻撃メール

非公開

11/72


標的型攻撃メールに添付された圧縮ファイル
下記が悪用されて、圧縮ファイル内のドロッパーが起動した。
⚫ CVE-2018-20250: WinRarに存在する任意のパスにファイルを設置される脆弱性
⚫ Wordのアドインフォルダ: Word起動時に実行されるファイルの設置フォルダ
ACE形式
圧縮ファイル

2つのWordファイル

①ユーザー
が解凍

DOCX

DOCX

標準のパスに設置される

②いずれかのWordファイルを開くと、
アドインフォルダ内のドロッパーが起動
①ユーザー
が解凍

ドロッパー
(word.wll)
CVE-2018-20250により、
Wordのアドインフォルダに設置される
12/72


添付の圧縮ファイル内のWordファイル

非公開

13/72


ドロッパー(word.wll)の解析結果
⚫ 検体に含まれる1次バックドアのバイナリデータをファイルとして出力している。
⚫ レジストリを用いて1次バックドアを永続化させている。
レジストリ「HKEY_CURRENT_USER¥Microsoft¥Windows¥CurrentVersion¥Run」の設定

1次バックドアのバイナリデータ

14/72


メールからバックドア感染までの流れ
端末がメールを起点に3つのバックドアに感染した。
ACE形式
圧縮ファイル

2つのWordファイル

①ユーザー
が解凍

DOCX

DOCX
②ドロッパー
を起動

ドロッパー
(word.wll)
①ユーザー
が解凍

これから
話す内容
1次バックドア
(csrcc.exe)

③1次バックドア
を作成・実行

2次バックドア
(Acrobat.exe)

⑤2次バックドア
を実行

④2次バックドア
をダウンロード

3次バックドア
(conime.exe)

⑦3次バックドア
を実行

⑥3次バックドア
をダウンロード

C&Cサーバー

C&Cサーバー

15/72


1次バックドアのC&Cサーバーとの通信
C&Cサーバーから受信した命令に応じた処理を実行する。

16/72


1次バックドアのコマンド一覧
これらのコマンドを用いて感染端末を操作された。
受信データ

動作

c

ドライブ一覧の送信

d

ファイル情報の送信

e

ファイルのダウンロード

f

ファイルの実行

g

ファイルの削除

h

ファイルのアップロード

j

プロセス情報の送信

l, m

コマンドの実行(cmd.exe)

n

サービス情報の送信

o

端末情報の送信

17/72


1次バックドアの通信例
2次バックドアをダウンロード・実行したときの通信キャプチャ
• 受信データ: e(ファイルのダウンロード)

• ファイル名: Acrobat.exe

2次バックドアのバイナリデータ

18/72


1次バックドアの通信例
2次バックドアをダウンロード・実行したときの通信キャプチャ

• 受信データ: m(コマンドの実行)

• 実行されたコマンド: cd Adobe

• 受信データ: m(コマンドの実行)
• 実行されたコマンド: Acrobat.exe

19/72


1次バックドアの特徴
特定のデータを受信することで、モードが変更する。
⚫ データ「1」を受信すると、命令を実行するモードに移行にする。
⚫ データ「u」を受信すると、命令を実行しないモードに戻る。
データを受信

NO

受信データ
が「1」

YES
データを受信

NO

受信データ
が「1」

YES

コマンドを実行
20/72


1次バックドアの特徴
C&Cサーバーとの通信はHTTPプロトコルを使用する。
Fig. ) コマンド受信時の通信キャプチャ

Fig. ) コマンド結果送信時の通信キャプチャ

• GETメソッド
• URLパスは「news.php」の後に3種のパラメータ
• type:1(命令を実行しないモード)
2(命令を実行するモード)

• POSTメソッド

• hash: macアドレスのmd5値

• Refererは「upfile」

• time: 感染端末のシステム時間

• コマンドの実行結果のデータ形式が
キーが「para」で始まるJSONのような形式

• URLパスは「news.php」

21/72


1次バックドアの特徴
URLやポート番号等の値がエンコードされずに検体に含まれている。

22/72


1次バックドアの正体
これまで「Operation Bitter Biscuit」の犯行グループが

特徴の一致する検体を使用したという報告は無い。

23/72


メールからバックドア感染までの流れ
端末がメールを起点に3つのバックドアに感染した。
ACE形式
圧縮ファイル

2つのWordファイル

①ユーザー
が解凍

DOCX

DOCX

これから

②ドロッパー
を起動

ドロッパー
(word.wll)
①ユーザー
が解凍

話す内容
1次バックドア
(csrcc.exe)

③1次バックドア
を作成・実行

2次バックドア
(Acrobat.exe)

⑤2次バックドア
を実行

④2次バックドア
をダウンロード

3次バックドア
(conime.exe)

⑦3次バックドア
を実行

⑥3次バックドア
をダウンロード

C&Cサーバー

C&Cサーバー

24/72


2次バックドアの正体
マルウェア「Bisonal」との共通点
⚫ バックドアの機能を有している。
⚫ 通信先やポート番号のエンコードに使用されるアルゴリズムが同一である。

25/72


2次バックドアとBisonalの共通点
バックドアの機能を有している。
Fig. ) Bisonalに関する解析レポート[5]

Bisonalがバックドアだという
解析レポートがある

Fig. ) Acrobat.exe(2次バックドア)のコードの一部

Acrobat.exeにも
バックドアの機能が
確認された
26/72


2次バックドアのコマンド一覧
受信データ 動作

受信データ 動作

2

送信データのprefixの変更

12

ファイルのダウンロード

3

プロセス情報の送信

13, 15

ファイルのアップロード

5

システム時間の送信

16

ファイルを削除

6

ドライブ一覧の送信

17

ソケットの再作成

7

ファイル情報の送信

18

ソケットオブジェクトの送信

9

プロセスの終了

19

ファイルの実行

10, 11

コマンドの実行(cmd.exe)

20

ソケットのクローズ

21

自身のプロセスの終了
自身のファイルの削除

27/72


2次バックドアとBisonalの共通点
通信先やポート番号のエンコードアルゴリズムが同一である。
Fig. ) 過去のBisonalのエンコード[5]

Fig. ) 2次バックドアのエンコード

1213=0x4BD
使用されるキーも

0x4BD

過去のBisonalと同じ

28/72


2次バックドアのエンコードアルゴリズム
⚫ 2次バックドアのアルゴリズムの一部分が、
PostScript Type1で利用されている暗号アルゴリズムと同じ。

⚫ 独自と思われるアルゴリズムも含まれている。
Fig. ) 2次バックドアのデコード処理

Fig. ) PostScript Type1 Font Formatに記載のコード[6]

独自?
C1=52845=0x58BF
C2=22719=-0x3193
0x58BF-0x3193
29/72


2次バックドアの特徴
C2への送受信データがカスタムされたRC4で暗号化されている。
Fig. ) 2次バックドアのRC4のKSA

SBOXの配列の長さが
256から128にカスタムされている

30/72


メールからバックドア感染までの流れ
端末がメールを起点に3つのバックドアに感染した。
ACE形式
圧縮ファイル

2つのWordファイル

①ユーザー
が解凍

DOCX

DOCX

これから

②ドロッパー
を起動

ドロッパー
(word.wll)
①ユーザー
が解凍

話す内容
1次バックドア
(csrcc.exe)

③1次バックドア
を作成・実行

2次バックドア
(Acrobat.exe)

⑤2次バックドア
を実行

④2次バックドア
をダウンロード

C&Cサーバー

3次バックドア
(conime.exe)

⑦3次バックドア
を実行

⑥3次バックドア
をダウンロード

C&Cサーバー

31/72


3次バックドアの正体
2次バックドアと同じBisonalと考えれる。
⚫ BinDiffで差分がなく、コード領域が一致している。
⚫ C2コマンドも一致しており、C&Cサーバーの通信先ドメインも一致している。

2次バックドアとの差分も見つかった。
⚫ C&Cサーバーと通信する際のポート番号は異なっていた。
Fig. ) 2次バックドアの
エンコードされたポート番号

CIIU

80

Fig. ) 2次バックドアの
3次バックドアの
エンコードされたポート番号

BWATFM

443
32/72


バックドアの通信先に関する分析
⚫ C&CサーバーのドメインのWhois情報
⚫ C&Cサーバーの使い回し

33/72


C&CサーバーのWhois情報
changeipというDynamicDNSのドメインがC&Cサーバーに使用された。
Fig. ) 1次バックドアの通信先

Fig. ) 2次バックドアの通信先

34/72


C&CサーバーのWhois情報
今回のC&Cサーバーのドメインは
Operation Bitter Biscuitで利用実績のあるchangeipのドメインである。
Fig. ) DynamicDNS毎の
Bisonalの検体の通信先数

Fig. ) 2018年に報告された
Operation …

IoC

0B24FFFCE8A5DEF63214DBE04AB05BB1
12.12.12.12
12.12.12.254
192.168.66.5
192.168.66.50
1B31C41B3DC1E31C56946B8FD8AE8A1A
1C2B058A55434F6C9066B493FE8024CE
3008AC3CCD5D9DF590878F2893CF8477
3BFCC37FA750BF6FF4A2217A3970BBAF
423262F84FCD3E6EEEB6E9898991AC69
46C3DBF662B827D898C593CA22F50231
54E3237ECE37203723F36400963E2DA2
56DF97AE98AAB8200801C3100BC31D26
5DAB4EADE11006D7D81A3F0FD8FE050F
6E9491D40225995E59194AE70F174226
6F7FAF801464E2858CE6328EAD6887AB
775A4A957AED69C0A907756793DCEC4B
802312F75C4E4214EB7A638AECC48741
8A9B594A1DA07E7309C9A3613356E5C7
95F941B8D393C515771B1EEBC583FC20
96C2D3AF9E3C2216CD9C9342F82E6CF9
9A484560846BE80D34C70EFE44069C1A
AA3E738F0A1271C2DC13722B0C2B5D19
AD3ADC82DB44B1655A921E5FDD0CBB40
B3C93FF309351CB531BE33FBD4ED7188
B59D9BCE9FBFE49B2BACF2019D8CFB2E
B871D9C06F84043E9FF9FC606DA1A423
B9471A911A76C4AAACD0D16E6FA55E9B
BEC5BF2BD310B887460103924F13962C
C0D5F9B93E799099DD07342F61C46CD1
CBABCDF63E6B4196F71DF444A8658EEC
D2D36A668CB1E3E9F9DCED3A59B19EC4
E06205CA2C80AD7870F29DE8FAE60BE7
E0C5A23FB845B5089C8527C3FA55082F
E354F8767B7077655C315C210F152947
E533247F71AA1C28E89803D6FE61EE58
E6AB1AEB7C6BA5290309C327EA6DDC58
EA084CDE17C0167E12B724D2B8CC97B4
EEB9E9B187BDF25FAB41680952C32DD5
F10EE63E777617DEF660D6CA881A7CFF
FEE03709C03AD49846A9AF6AA973C27D
http://lovehome.zzux.com
http://www.yandex2unitedstated.dynamic-dns.net