コロナの影響で医療機関を狙った攻撃が急増

Notice
この記事はまだ編集中です。
十分な事実検証を実施しておりませんので利用の際はご注意ください。

概要

国連のグテーレス事務総長は(5月)27日、安保理で開かれたテレビ会議形式の公開討論で、「市民生活に不可欠な施設への悪質なサイバー攻撃に対処しなければならない。新型コロナウイルスの感染が拡大する中、いくつかの国で医療施設に対する攻撃が増加しているという報告がある」と指摘しました。

ICRC=赤十字国際委員会が(5月)25日、新型コロナウイルスの感染が拡大して以降、チェコやフランス、スペイン、アメリカなどの欧米諸国とアジアのタイで起きているとして、医療機関の機能が損なわれて患者の生命が脅かされるおそれがあるとする声明を発表しています。
引用:「医療機関ねらったサイバー攻撃急増」 国連事務総長 コロナ | NHKニュース

CrowdStrikeの最近のレポートによると、医療機関に対する侵入は2019年の第4四半期から2020年の第1四半期にかけて倍増しました。
引用:コロナウィルス(COVID-19)によって医療機関に対する攻撃が急増 – バラクーダネットワークス

なぜ医療機関が攻撃されるのか

  • 医療機関のシステムの機能を停止を解除する代わりに多額の金品を要求する
    • 新型コロナ禍の中、ランサムウエア攻撃を受けた病院は、治療に遅れが生じる恐れから、金銭を払ってでもコンピューターの復元を選ばざるを得ない状況に陥りやすい
  • 新型コロナウイルスに関する研究情報を盗むため
    • ワクチンの開発情報
    • 感染者のデータ
    • 多くの医療機関が仮設病院の設置を急いでおり、セキュリティのベストプラクティスを考慮せずに、仮設病院の多くを設置しているケースがある
  • 十分な検討なしで進む医療のオンライン化
続きを読む

2020年5月 セキュリティトピック備忘録

行政

コロナ

マルウェア・APT

最新技術

その他

情報収集のコツ(随時更新)

情報収集のコツ(備忘録)

  • とりあえずググる
    • 必ずダブルクォーテーションでくくって検索する
      仮に間違えてC2通信先を入れてしまうとそのままC2サーバへアクセスしてしまうことがあるので要注意
    • 画像検索が活用できる場合もある

情報収集に役立つツール

  • PassiveTotal
    • 主に不審なドメインやIPアドレスの通信先の情報を元に、関連する情報(Whoisや証明書、関連URLなど)を結果表示してくれるサービス
  • VirusTotal
  • Twitter
    • Tweetdeckで情報収集
  • Google
    • 検索は必ずダブルクォーテーションでくくること

APTのリサーチ

キーワード

  • 国勢・歴史・思想
  • 政治・資源のニュース
  • 地政学
  • 第一列島線
  • HUMINT
  • VirusTotal
続きを読む

CALDERAの環境構築とテスト

Notice
この記事はまだ編集中です。
記載の内容は十分な事実確認を実施していない場合があるためご注意ください。

環境構築

環境

1
2
3
4
5
6
7
8
OS:Ubuntu18.04(Chromeを利用するためGUI)
RAM:8GB
CPU:1コア(CALDERAの推奨は2コア以上)

その他:
- Python3.6以上
- PIP
- (pipenv)
続きを読む

CTFのための暗号技術

証明書関連

  • Certutil
    • マクロおよび証明書サービス関連の機能
  • WMIC
    • Windows の管理

      Windows の 2 つの正規コマンドラインツール「WMIC(wmic.exe)」および「CertUtil(certutil.exe)」を悪用し、感染 PC に不正なファイルをダウンロードするマルウェアが確認されました。WMIC はWindows の管理を担当し、CertUtil はマクロおよび証明書サービス関連の機能を担う正規ツールです。これらの正規ツールは、通常の機能の一部としてファイルのダウンロードに使用されるため、不正活動においても検出回避を目的としてよく利用されます。
      引用:Windows の正規機能 WMIC および CertUtil を利用しブラジルのユーザを狙うマルウェアを確認

その他

  • XOR暗号

参考リスト

Web

Blog

CTFのためのバイナリ解析

Notice
この記事はまだ編集中です。
十分な事実検証を実施しておりませんので利用の際はご注意ください。

マルウェア解析の流れ

  • 検体が既知のマルウエアかどうかを判別する
    • データベース化された既知のマルウエアと検体の比較を高速に実行するため、マルウエア検体のハッシュ値が利用されるが、従来のハッシュ関数では、類似の検体は全く異なる検体として扱われる
    • そのため、fuzzy hash関数(ssdeep)や、PE(portable executable)のインポートテーブルから値を算出するimphash(import hash)が利用される
      関連:impfuzy
続きを読む

ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge)とは

Notice
この記事はまだ編集中です。
記載の内容は十分な事実確認を実施していない場合があるためご注意ください。

概要

  • デジタル世界の攻撃者が使用するさまざまな攻撃タイプの戦術、手法、および手順(TTP)を体系化し分類したプラットフォーム
  • 企業や組織が防御の弱点を特定するのに役立つ
  • ナレッジベースとフレームワークの両側面を持つ
  • 4半期に一度、公開情報や提供された情報から更新を行う
  • オープンソースのレポートに基づいて、既知の手法およびツールなど、数多くの攻撃者および攻撃グループに関する詳細情報を提供している
  • MITRE ATT&CKは、各ベンダの製品に対して点数によるランク付けを行い、単純な優劣を比較するためのものではない

攻撃の大きな流れを表現したサイバーキルチェーンをより詳細な方法論に整理しつつ、実際に駆使された具体的な攻撃テクニックまでしっかり結びつけることを意図して生み出されたものと言えます。
引用:https://www.socyeti.jp/posts/4873582

攻撃主体として「APT28」が、「Mimikatz」というソフトウェアを利用して、「Credential Dumping」というテクニックで、「Credential Access」を達成した、というような整理が可能になります。
引用:https://www.socyeti.jp/posts/4873582

続きを読む

What is MITRE

Notice
この記事はまだ編集中です。
記載の内容は十分な事実確認を実施していない場合があるためご注意ください。

MITREとは何か

MITREは1958年に設立された非営利法人であり、「世界をより安全にするために問題を解決する」ことを使命としています。
この目標の一部は、MITREが新たにキュレーションしたナレッジベースMITRE ATT&CKによって達成されています。

参考リスト

APT19について

概要

防衛、金融、エネルギー、製薬、通信、ハイテク、教育、製造、法律サービスなど、さまざまな業界を標的とした中国を拠点とする脅威グループ。
2017年、フィッシングキャンペーンが7つの法律および投資会社を標的にするために使用されました。一部のアナリストはAPT19とDeep Pandaを同じグループとして追跡していますが、グループが同じであるかどうかはオープンソース情報からは不明です。
参照:https://attack.mitre.org/groups/

詳細は以下を参照

参考リスト

WEB