Japan Security Analyst Conference 2020 (オープニングトーク) 2019年のインシデント を振り返る JPCERTコーディネーションセンター インシデントレスポンスグループ 椎木 孝斉 2020年1月17日
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Japan Security Analyst Conference 2020(オープニングトーク)
2019年のインシデントを振り返るJPCERTコーディネーションセンターインシデントレスポンスグループ椎木孝斉 2020年1月17日
Copyright ©2020 JPCERT/CC All rights reserved.1
Copyright ©2020 JPCERT/CC All rights reserved.
2大攻撃タイプ
2
標的型(組織内情報の窃取を目的とした攻撃)
ばらまき系(金銭の窃取を目的とした攻撃)
Copyright ©2020 JPCERT/CC All rights reserved.
標的型攻撃
3
Copyright ©2020 JPCERT/CC All rights reserved.
JPCERT/CCで確認した標的型攻撃活動
4
Copyright ©2020 JPCERT/CC All rights reserved.
最近の標的型攻撃の特徴
クラウドサービスの悪用
• Microsoft Azure• Google Cloudなど
汎用ツールの悪用
•オープンソースツール
• PoshC2• PowerShell Empire• QuasarRATなど
• OSコマンドなど
マルウエアの複雑化
•ファイルレス
•モジュール化
•多段構成
5
Copyright ©2020 JPCERT/CC All rights reserved.
Tick
6
Copyright ©2020 JPCERT/CC All rights reserved.
スキャン観測状況
7
資産管理ソフトウエアの脆弱性を悪用しようとするスキャン観測状況(TSUBAMEの観測データ: 2017年1月~2019年12月)
Copyright ©2020 JPCERT/CC All rights reserved.
マルウエア(NodeRAT)
8
Copyright ©2020 JPCERT/CC All rights reserved.
BlackTech
9
Copyright ©2020 JPCERT/CC All rights reserved.
TSCookie Loader & TSCookie
10
Copyright ©2020 JPCERT/CC All rights reserved.
特定製品の脆弱性(CVE-2019-9489)を悪用する攻撃
11
Copyright ©2020 JPCERT/CC All rights reserved.12
攻撃概要
ウイルスバスターCorpサーバ
C2
CVE-2019-9489の悪用
配信機能を悪用した横展開
横展開標的組織
ADサーバー
初期侵害
PoshC2
Copyright ©2020 JPCERT/CC All rights reserved.
QuasarRAT(APT10)
13
Copyright ©2020 JPCERT/CC All rights reserved.
実行の流れ
14
DATADLL
Service start
Loader エンコードされたQuasarRAT本体
Copyright ©2020 JPCERT/CC All rights reserved.
設定情報
15
Copyright ©2020 JPCERT/CC All rights reserved.16
機能
Copyright ©2020 JPCERT/CC All rights reserved.
ばらまき系攻撃
17
Copyright ©2020 JPCERT/CC All rights reserved.
SSL VPN 機器の脆弱性を悪用した攻撃
18
Copyright ©2020 JPCERT/CC All rights reserved.
Alert & Advisory
19
Copyright ©2020 JPCERT/CC All rights reserved.
日本における CVE-2019-11510 脆弱性のあるPulse Secure VPN ホストの数
20
Copyright ©2020 JPCERT/CC All rights reserved.
Emotet
21
Copyright ©2020 JPCERT/CC All rights reserved.
情報発信
22
Copyright ©2020 JPCERT/CC All rights reserved.
攻撃メールの例
23
メール本文 添付ファイル
Copyright ©2020 JPCERT/CC All rights reserved.
分析ツール
24
Copyright ©2020 JPCERT/CC All rights reserved.
Ghidra
25
https://ghidra-sre.org/
https://github.com/NationalSecurityAgency/ghidra
Copyright ©2020 JPCERT/CC All rights reserved.
IDA: Undo
26
Ctrl+Z
Copyright ©2020 JPCERT/CC All rights reserved.
MalConfScan
27
https://github.com/JPCERTCC/MalConfScan
Copyright ©2020 JPCERT/CC All rights reserved.
JSAC 2020の楽しみ方
28
Copyright ©2020 JPCERT/CC All rights reserved.
インシデントに関する技術共有の場として分類 タイトル
A Evil Hidden in Shellcode: The Evolution of Malware DBGPRINT
A/D 攻撃キャンペーン「Operation Bitter Biscuit」を実行した標的型攻撃グループに関する脅威情報
B/A macOS用アーティファクト収集ツールと簡易マルウェア解析サンドボックスの実装と利用方法
B 自作ツールを使用したMac Forensicsの調査効率化
C ランサムウェアに標的型攻撃手法を求めるのは間違っているだろうか
D 100 more behind cockroaches? or how to hunt IoCs with OSINT
D 日本を狙うばらまきメールキャンペーンの脅威動向分析と対策
D An Overhead View of the Royal Road
29
[A] マルウエア関連[B] フォレンジック関連
[C] インシデント調査・対応事例・攻撃手法[D] 脅威動向・インテリジェンス
Copyright ©2020 JPCERT/CC All rights reserved.
交流の場として
30
Copyright ©2020 JPCERT/CC All rights reserved.31
Thank you!
Related Documents
![JPCERT/CCインシデント報告対応レポート[2018 …1 JPCERT-IR-2019-01 発行日: 2019-01-16 JPCERT/CC インシデント報告対応レポート [201年8 10月1日 ~ 201年812月31日]](https://static.cupdf.com/doc/110x72/5f6dc692c8a51f5ce205a968/jpcertccffffoeffff2018-1-jpcert-ir-2019-01-ceoe.jpg)
