Comments
Transcript
2014年サイバー攻撃の脅威予測から考える - (ISC)2 Japan Chapter
2014年サイバー攻撃の脅威予測から考える 今すべきこと ファイア・アイ株式会社 2014年3月24日 山下 慶子, CISSP Copyright (c) 2011, FireEye, Inc. All rights reserved. | CONFIDENTIAL 2 自己紹介 – 山下 慶子 マイクロソフト Windows OS の開発エンジニアおよびプログラムマネージャ Windows XP, Windows Vista, Windows 7, Windows 2003 Server, Windows Server 2008のOSの開発に従事 トレンドマイクロ 脅威情報の分析エンジニア 持続的標的型攻撃の対策製品のサポートと有償サービスに従事 ファイア・アイ(現職) 標的型攻撃対策ソリューションのシステムエンジニア 技術営業支援としてお客様へのFireEyeソリューションの提案に従事 CISSPは2013年9月取得 Copyright (c) 2011, FireEye, Inc. All rights reserved. | CONFIDENTIAL 3 目次 1. 2013年サイバー攻撃の振返り (出展:2013年FireEye Labsで収集されたサイバー攻撃情報より) 2. 2014年サイバー攻撃の脅威予測 (出展: FireEye ブログより) http://www.fireeye.com/blog/corporate/2013/11/top-security-predictions-for-2014.html 3. セキュリティの専門家として 私達が今すべきこと Copyright (c) 2011, FireEye, Inc. All rights reserved. | CONFIDENTIAL 4 1. 2013年サイバー攻撃の振返り (出展:2013年FireEye Labsで収集されたサイバー攻撃情報より) Copyright (c) 2011, FireEye, Inc. All rights reserved. | CONFIDENTIAL 5 2013年サイバー攻撃の振返り – 日本の現状 (1) 2013年で観測されたAPTの標的となっている国 順位 APTの標的となっている国 1 米国 2 韓国 3 カナダ 4 日本 5 英国 6 ドイツ 7 スイス 8 台湾 9 サウジアラビア 10 イスラエル Copyright (c) 2011, FireEye, Inc. All rights reserved. | CONFIDENTIAL Top10 Top10 6 2013年サイバー攻撃の振返り – 日本の現状 (2) 2013年 サイバー攻撃に使用された日本をターゲットにしたマルウェアと 米国をターゲットにしたマルウェア数の比較 FireEyeで収集されたサイバー攻撃(APT)に使用されたマルウェア総数 (159種類のマルウェア) 米国 日本 78.6% 23.4% (125種) (37種) Copyright (c) 2011, FireEye, Inc. All rights reserved. | CONFIDENTIAL 7 2013年サイバー攻撃の振返り – 攻撃手法 2013年上半期は の脆弱性をついた攻撃が主流 2013年下半期は の脆弱性をついた攻撃が増加 • アメリカの政府機関を狙った攻撃や、日本をターゲットにした攻撃 (2013年9月: Operation Deputy Dog – MS013-080)も、 すべてWebサイトを利用した水飲み場攻撃 出典: FireEye ブログ http://www.fireeye.com/blog/corporate/2013/11/top-security-predictions-for-2014.html Copyright (c) 2011, FireEye, Inc. All rights reserved. | CONFIDENTIAL 8 エクスプロイト 脆弱性をついた攻撃 設計者が意図していない、メモリ領域の破壊を引き起こすバグなどを利用 プログラムのセキュリティ上の脆弱性(セキュリティホール)を攻撃するために作 成された簡易なプログラムの総称 Internet Explorer、Office、Java、Adobeなどの未知の脆弱性を利用 スタックバッファオーバーフロー、ヒープオーバーフロー 単体では自己増殖機能を持たない ツールキットとして配布される場合も多く(Exploit Pack)、Blackhole Exploit Kit やRedKitなどドライブバイダウンロード攻撃でも使用される Copyright (c) 2011, FireEye, Inc. All rights reserved. | CONFIDENTIAL 9 ドライブ バイ ダウンロード 標的型攻撃対策で重要なのはエクスプロイトの検出 From: attacker@... To: Victim@... AAA.comへ アクセス Please visit… http://www.aaa.com/... 改ざんサイト AAA.com (不正なiframeを設置) WebサイトA http://www.AAA.com 自動的に BBB.comに リダイレクト 暗号化 ペイロード WebサイトB http://www.BBB.com WebサイトCCC これら複数の マルチフロー 解析がポイント http://www.CCC.com エクスプロイト (シェルコード) Copyright (c) 2011, FireEye, Inc. All rights reserved. | CONFIDENTIAL さらに CCC.comにリダイレクト (難読化されたJavaScript等が媒介) 10 水飲み場攻撃 1. 2. 3. 4. 5. 獲物(ターゲットユーザ)のWeb利用動向を調査 利用するWebサイトの脆弱性を調査 脆弱性を悪用、侵入、改ざん(乗っ取り) 罠(悪質コード)を仕掛けて獲物を待ち伏せ 別サイトへの誘導(ドライブバイダウンロード) HTML JavaScript 6. ゼロデイ攻撃(エクスプロイト) Internet Explorer PDF Flash 7. 獲物を捕獲(感染させることに成功) Copyright (c) 2011, FireEye, Inc. All rights reserved. | CONFIDENTIAL 11 Operation Deputy Dog • 日本の企業や組織を標的にした攻撃キャンペーン • Internet Explorerの脆弱性を悪用 – 未知の脆弱性(検知当時) – CVE-2013-3893 – Internet Explorerメモリ破損の脆弱性 • Mshtml.dll内のSetMouseCaptureの開放済みメモリを不正使用 • 任意のJavaScriptをリモートで実行することが可能 • Internet Explorer6から11に影響 • 8月19日以降に攻撃開始 – FireEyeラボによる検知、解析 • 9月18日Microsoft ゼロデイ脆弱性に関する情報を公開 – 回避方法の公開 (Microsoft Fix it の公開) • 9月21日FireEye Security Blogでの情報公開 • 10月9日Microsoft 緊急パッチリリース – MS13-080 Copyright (c) 2014, FireEye, Inc. All rights reserved. 12 攻撃の特徴 • 複合攻撃 – 水飲み場攻撃 – 最初にダウンロードされるマルウェアは拡張子が「jpg」であり実行不可 • AVゲートウェイなどをスルー – 難読化による実行ファイルの実態化(隠蔽) – C&Cサーバへの通信(コールバック) • 標的となった企業、組織の名称がハードコード • ポート443を使用するが、ペイロードは平文 • 標的ごとに接続先ホストのIPアドレスを変更 Copyright (c) 2014, FireEye, Inc. All rights reserved. 13 Deputydogアタックフロー 1 XP IE8、Win7 IE8、IE9の開放済み メモリ使用の脆弱性を利用するエク スプロイトをWebサイトに仕込む 2 エクスプロイトコードが香港のC&Cに 接続し(コールバック)難読化された 実行ファイルをダウンロード 3 エクスプロイトコードがマルウェアを 復号 (XOR 0x95) 4 感染した端末が韓国のC&Cサーバーに 接続(コールバック) Copyright (c) 2014, FireEye, Inc. All rights reserved. Exploit in compromised Web page 1 埋め込まれた エクスプロイト が端末に感染 Callback 2 コールバック Encrypted Malware 3 暗号化された マルウェアの ダウンロード Command and Control Server 4 コールバック 情報窃盗 14 2. 2014年サイバー攻撃の脅威予測 (出展: FireEye ブログより) http://www.fireeye.com/blog/corporate/2013/11/top-security-predictions-for-2014.html Copyright (c) 2011, FireEye, Inc. All rights reserved. | CONFIDENTIAL 15 2014年サイバー攻撃の脅威予測 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 高度な脅威の検知は今後も難しい 盗まれたユーザ認証情報や証明書をマルウェアが利用 モバイル向けマルウェアの高度化 Javaのゼロディは減少傾向 ブラウザを狙った脆弱性の増加 ステルス型のC&C通信の増加 スピアフィッシングメールの減少、水飲み場攻撃の増加 サプライチェーンを狙ったマルウェアの増加 BIOSやファームウェアへの攻撃の出現 ヒープスプレー攻撃の新手法出現 サンドボックスを回避するマルウェアの出現 OSを破壊するマルウェアの増加 "Quartermaster" や "SunShop DQ"系の増加 国際連携によるサイバー犯罪者の逮捕の増加 サイバー犯罪のターゲットが個人情報にも移行 高度なマルウェアの検知にはこれまで以上の時間がかかる 出典: FireEye ブログ http://www.fireeye.com/blog/corporate/2013/11/top-securitypredictions-for-2014.html Copyright (c) 2011, FireEye, Inc. All rights reserved. | CONFIDENTIAL 16 2014年 - さらに高度化する標的型攻撃 Javaのゼロディの減少 ブラウザの脆弱性攻撃の増加 スピアフィッシングメールの減少 水飲み場攻撃の増加 サンドボックス解析を 回避するマルウェアの出現 ヒープスプレー攻撃の新手法出現 Copyright (c) 2011, FireEye, Inc. All rights reserved. | CONFIDENTIAL 17 サンドボックス解析回避テクニック 人的挙動検知 • ネットワーク接続、ブラ ウザ、メール • マウス、キーボード他 プロセスレベル検知 • 実行プロセス、ドライバ • 不自然な結果・パターン • 例: VMwareuser.exe プロセッサレベル (結果の相違) Copyright (c) 2011, FireEye, Inc. All rights reserved. | CONFIDENTIAL スリープ (だんまり) フック・ホッピング (DeputyDog) コード盗用 (Theoretical attacks) 18 2014年 - 新しい攻撃傾向も出現 盗まれたユーザ認証情報や証明書をマルウェアが利用 モバイル向けマルウェアの高度化 サプライチェーンを狙ったマルウェアの増加 BIOSやファームウェアへの攻撃の出現 サイバー攻撃のターゲットがコンシューマにも移行 Copyright (c) 2011, FireEye, Inc. All rights reserved. | CONFIDENTIAL 19 進化する攻撃手法 何が違うのか? 複雑化 高度化 何が進化しているのか? ステルス性 自立性 確実性 Copyright (c) 2011, FireEye, Inc. All rights reserved. | CONFIDENTIAL 20 3. セキュリティの専門家として 私達が今すべきこと Copyright (c) 2011, FireEye, Inc. All rights reserved. | CONFIDENTIAL 21 今すべきこと ~セキュリティの専門家として~ 情報収集 Copyright (c) 2011, FireEye, Inc. All rights reserved. | CONFIDENTIAL 分析 行動 22 セキュリティの専門家として 私達が今すべきこと – 情報収集 セキュリティの現状を理解する 今どんな攻撃が流行しているのか? 自組織と同業種への攻撃は? 自組織と同業での対応状況は? どんな対策が必要なのか? 既存の製品・サービスで防御は可能なのか? Copyright (c) 2011, FireEye, Inc. All rights reserved. | CONFIDENTIAL 23 セキュリティの専門家として 私達が今すべきこと – 分析 自組織の現状を把握する 現在のネットワークの状況を可視化できているか? 攻撃および被害のリスク分析をしているか? 自組織の課題を把握する 現状の対策で足りない部分はどう補足するか? 攻撃から被害に及んだ際の報告プロセスを確認する 攻撃を受ける前提での対応・報告プロセスの作成 攻撃を受ける前提でのユーザーの教育 Copyright (c) 2011, FireEye, Inc. All rights reserved. | CONFIDENTIAL 24 セキュリティの専門家として 私達が今すべきこと – 行動 対策の実施 継続的なユーザー教育 新しいソリューションの導入 既存ソリューションの見直しと強化 とか… この機会にぜひ再考してください 来年度の予算でいいですか?いつまで先延ばしますか? 現状のセキュリティで攻撃から守られていると言い切れますか? コスト重視で大切なことを忘れていませんか? そのソリューションは本当に自組織を守り切れますか? Copyright (c) 2011, FireEye, Inc. All rights reserved. | CONFIDENTIAL 25 最後に~具体的に~ FireEye 製品を購入しましょう! 宣伝はさておき...基本中の基本ですが 狙われるのはサーバ端末ではなくクライアント端末です • クライアント端末のパッチ管理 攻撃されにくい環境 • アンチウイルスの更新 • ユーザー教育 攻撃を受けたことを 知り得る環境 • 異常なネットワーク通信の監視 • クライアント端末の監視 • 不審なファイルの解析 • 端末の隔離・駆除・復帰プロセス 攻撃に対処できる環境 • 感染原因の特定プロセス • 報告と運用フローへの振返りのプロセス Copyright (c) 2011, FireEye, Inc. All rights reserved. | CONFIDENTIAL 26 ありがとうございました Copyright (c) 2011, FireEye, Inc. All rights reserved. | CONFIDENTIAL 27