Notice
この記事はまだ編集中です。
十分な事実検証を実施しておりませんので利用の際はご注意ください。

概要

国連のグテーレス事務総長は(5月)27日、安保理で開かれたテレビ会議形式の公開討論で、「市民生活に不可欠な施設への悪質なサイバー攻撃に対処しなければならない。新型コロナウイルスの感染が拡大する中、いくつかの国で医療施設に対する攻撃が増加しているという報告がある」と指摘しました。

ＩＣＲＣ＝赤十字国際委員会が(5月)25日、新型コロナウイルスの感染が拡大して以降、チェコやフランス、スペイン、アメリカなどの欧米諸国とアジアのタイで起きているとして、医療機関の機能が損なわれて患者の生命が脅かされるおそれがあるとする声明を発表しています。
引用：「医療機関ねらったサイバー攻撃急増」 国連事務総長 コロナ | NHKニュース

CrowdStrikeの最近のレポートによると、医療機関に対する侵入は2019年の第4四半期から2020年の第1四半期にかけて倍増しました。
引用：コロナウィルス（COVID-19）によって医療機関に対する攻撃が急増 – バラクーダネットワークス

なぜ医療機関が攻撃されるのか

• 医療機関のシステムの機能を停止を解除する代わりに多額の金品を要求する
  • 新型コロナ禍の中、ランサムウエア攻撃を受けた病院は、治療に遅れが生じる恐れから、金銭を払ってでもコンピューターの復元を選ばざるを得ない状況に陥りやすい
• 新型コロナウイルスに関する研究情報を盗むため
  • ワクチンの開発情報
  • 感染者のデータ
  • 多くの医療機関が仮設病院の設置を急いでおり、セキュリティのベストプラクティスを考慮せずに、仮設病院の多くを設置しているケースがある
• 十分な検討なしで進む医療のオンライン化

行政

• 行政処理のオペレーションエラーインシデント
  • １０万円申請でミス相次ぐ　チェック欄に「落とし穴」　確実にもらうには…
  • 10万円 二重給付のミス 福島
  • 10万円給付金　事務処理ミスで1200世帯に振り込まれず【新潟・阿賀野市】
  • 委託先事業者による誤送信で273件のアドレス流出｜大阪府

コロナ

• 医療機関を狙ったサイバー攻撃が急増
  • 「医療機関ねらったサイバー攻撃急増」 国連事務総長 コロナ | NHKニュース

• 中国がコロナのワクチン研究成果を盗もうとする

  • China Trying to Steal Coronavirus Vaccine Research, But U.S. Will Develop It First: Trump National Security Advisor
  • インターポールが新型コロナウイルス便乗脅威啓発キャンペーンを開始

• VPNの概要と安全性

  • 安全な接続のために個人向けVPNを使用するメリット

• テレワークツールの安全性

  • Using Zoom During Covid-19 Lockdown Exposes Users To New Data and Privacy Cyberattacks
  • Zoom人気に便乗し遠隔操作を狙う攻撃を確認
  • 偽のZoomインストーラーに隠されたバックドア、デビルシャドウボットネット

マルウェア・APT

• Twin Flower
  • ブラウザ情報の窃取と特定サイトのアクセス数操作を行う「Twin Flower」活動について解説

• 「Dealply」、「IsErIk」、「ManageX」、これら３つのアドウェアのイベントの解析結果について

  • 悪質なモジュール型アドウェアの活動を徹底調査

• RAT

  • Analyzing Dark Crystal RAT, a C# backdoor

• フィッシング

  • フィッシングサイト構築にクラウドサービスを利用する手口を連続して確認

最新技術

• 5G
  • IoT機器や5G想定したセキュリティレポート公開｜総務省
    • サプライチェーンリスクの増大

• IoT
  • IoT機器や5G想定したセキュリティレポート公開｜総務省
  • IoT機器セキュリティ調査「NOTICE」2019年度に2,249端末に注意喚起

その他

• SNSにおける誹謗中傷の特定

  • ＳＮＳ発信者特定容易に　高市総務相、誹謗中傷「許しがたい」

• トレンドマイクロの「telfhash」でLinux IoTマルウェアをクラスタリングする

  • トレンドマイクロの「telfhash」でLinux IoTマルウェアをクラスタリングする

情報収集のコツ(備忘録)

• とりあえずググる
  • 必ずダブルクォーテーションでくくって検索する
    仮に間違えてC2通信先を入れてしまうとそのままC2サーバへアクセスしてしまうことがあるので要注意
  • 画像検索が活用できる場合もある

情報収集に役立つツール

• PassiveTotal
  • 主に不審なドメインやIPアドレスの通信先の情報を元に、関連する情報(Whoisや証明書、関連URLなど)を結果表示してくれるサービス
• VirusTotal
• Twitter
  • Tweetdeckで情報収集
• Google
  • 検索は必ずダブルクォーテーションでくくること

APTのリサーチ

キーワード

• 国勢・歴史・思想
• 政治・資源のニュース
• 地政学
• 第一列島線
• HUMINT
• VirusTotal

Notice
この記事はまだ編集中です。
記載の内容は十分な事実確認を実施していない場合があるためご注意ください。

環境構築

環境

1
2
3
4
5
6
7
8

OS：Ubuntu18.04(Chromeを利用するためGUI)
RAM：8GB
CPU:1コア(CALDERAの推奨は2コア以上)

その他：
 - Python3.6以上
 - PIP
 - (pipenv)

証明書関連

• Certutil
  • マクロおよび証明書サービス関連の機能
• WMIC
  • Windows の管理

    Windows の 2 つの正規コマンドラインツール「WMIC（wmic.exe）」および「CertUtil（certutil.exe）」を悪用し、感染 PC に不正なファイルをダウンロードするマルウェアが確認されました。WMIC はWindows の管理を担当し、CertUtil はマクロおよび証明書サービス関連の機能を担う正規ツールです。これらの正規ツールは、通常の機能の一部としてファイルのダウンロードに使用されるため、不正活動においても検出回避を目的としてよく利用されます。
    引用：Windows の正規機能 WMIC および CertUtil を利用しブラジルのユーザを狙うマルウェアを確認

その他

• XOR暗号

参考リスト

Web

• Windows の正規機能 WMIC および CertUtil を利用しブラジルのユーザを狙うマルウェアを確認

Blog

• certutilによる証明書管理 [Fedora14]

Notice
この記事はまだ編集中です。
記載の内容は十分な事実確認を実施していない場合があるためご注意ください。

概要

参考リスト

Web

資料

• 高度サイバー攻撃（APT）への備えと対応ガイド～企業や組織に薦める一連のプロセスについて(JPCERT コーディネーションセンター)

Slide

Notice
この記事はまだ編集中です。
十分な事実検証を実施しておりませんので利用の際はご注意ください。

マルウェア解析の流れ

• 検体が既知のマルウエアかどうかを判別する
  • データベース化された既知のマルウエアと検体の比較を高速に実行するため、マルウエア検体のハッシュ値が利用されるが、従来のハッシュ関数では、類似の検体は全く異なる検体として扱われる
  • そのため、fuzzy hash関数(ssdeep)や、PE(portable executable)のインポートテーブルから値を算出するimphash(import hash)が利用される
    関連：impfuzy

Notice
この記事はまだ編集中です。
記載の内容は十分な事実確認を実施していない場合があるためご注意ください。

MITREとは何か

MITREは1958年に設立された非営利法人であり、「世界をより安全にするために問題を解決する」ことを使命としています。
この目標の一部は、MITREが新たにキュレーションしたナレッジベースMITRE ATT&CKによって達成されています。

参考リスト

Notice
この記事はまだ編集中です。
記載の内容は十分な事実確認を実施していない場合があるためご注意ください。

概要

• デジタル世界の攻撃者が使用するさまざまな攻撃タイプの戦術、手法、および手順（TTP）を体系化し分類したプラットフォーム
• 企業や組織が防御の弱点を特定するのに役立つ
• ナレッジベースとフレームワークの両側面を持つ
• 4半期に一度、公開情報や提供された情報から更新を行う
• オープンソースのレポートに基づいて、既知の手法およびツールなど、数多くの攻撃者および攻撃グループに関する詳細情報を提供している
• MITRE ATT＆CKは、各ベンダの製品に対して点数によるランク付けを行い、単純な優劣を比較するためのものではない

攻撃の大きな流れを表現したサイバーキルチェーンをより詳細な方法論に整理しつつ、実際に駆使された具体的な攻撃テクニックまでしっかり結びつけることを意図して生み出されたものと言えます。
引用：https://www.socyeti.jp/posts/4873582

攻撃主体として「APT28」が、「Mimikatz」というソフトウェアを利用して、「Credential Dumping」というテクニックで、「Credential Access」を達成した、というような整理が可能になります。
引用：https://www.socyeti.jp/posts/4873582

概要

防衛、金融、エネルギー、製薬、通信、ハイテク、教育、製造、法律サービスなど、さまざまな業界を標的とした中国を拠点とする脅威グループ。
2017年、フィッシングキャンペーンが7つの法律および投資会社を標的にするために使用されました。一部のアナリストはAPT19とDeep Pandaを同じグループとして追跡していますが、グループが同じであるかどうかはオープンソース情報からは不明です。
参照：https://attack.mitre.org/groups/

詳細は以下を参照

• APT19 MITRE ATT&CK

参考リスト

WEB

• APT19 MITRE ATT&CK