...

2014年サイバー攻撃の脅威予測から考える - (ISC)2 Japan Chapter

by user

on
Category: Documents
86

views

Report

Comments

Transcript

2014年サイバー攻撃の脅威予測から考える - (ISC)2 Japan Chapter
2014年サイバー攻撃の脅威予測から考える
今すべきこと
ファイア・アイ株式会社
2014年3月24日
山下 慶子, CISSP
Copyright (c) 2011, FireEye, Inc. All rights reserved. | CONFIDENTIAL
2
自己紹介 – 山下 慶子
 マイクロソフト
Windows OS の開発エンジニアおよびプログラムマネージャ
 Windows XP, Windows Vista, Windows 7, Windows 2003 Server, Windows
Server 2008のOSの開発に従事
 トレンドマイクロ
脅威情報の分析エンジニア
 持続的標的型攻撃の対策製品のサポートと有償サービスに従事
 ファイア・アイ(現職)
標的型攻撃対策ソリューションのシステムエンジニア
 技術営業支援としてお客様へのFireEyeソリューションの提案に従事
 CISSPは2013年9月取得
Copyright (c) 2011, FireEye, Inc. All rights reserved. | CONFIDENTIAL
3
目次
1. 2013年サイバー攻撃の振返り
(出展:2013年FireEye Labsで収集されたサイバー攻撃情報より)
2. 2014年サイバー攻撃の脅威予測
(出展: FireEye ブログより)
http://www.fireeye.com/blog/corporate/2013/11/top-security-predictions-for-2014.html
3. セキュリティの専門家として
私達が今すべきこと
Copyright (c) 2011, FireEye, Inc. All rights reserved. | CONFIDENTIAL
4
1. 2013年サイバー攻撃の振返り
(出展:2013年FireEye Labsで収集されたサイバー攻撃情報より)
Copyright (c) 2011, FireEye, Inc. All rights reserved. | CONFIDENTIAL
5
2013年サイバー攻撃の振返り – 日本の現状 (1)
2013年で観測されたAPTの標的となっている国
順位
APTの標的となっている国
1
米国
2
韓国
3
カナダ
4
日本
5
英国
6
ドイツ
7
スイス
8
台湾
9
サウジアラビア
10
イスラエル
Copyright (c) 2011, FireEye, Inc. All rights reserved. | CONFIDENTIAL
Top10
Top10
6
2013年サイバー攻撃の振返り – 日本の現状 (2)
2013年 サイバー攻撃に使用された日本をターゲットにしたマルウェアと
米国をターゲットにしたマルウェア数の比較
FireEyeで収集されたサイバー攻撃(APT)に使用されたマルウェア総数
(159種類のマルウェア)
米国
日本
78.6%
23.4%
(125種)
(37種)
Copyright (c) 2011, FireEye, Inc. All rights reserved. | CONFIDENTIAL
7
2013年サイバー攻撃の振返り – 攻撃手法
2013年上半期は
の脆弱性をついた攻撃が主流
2013年下半期は
の脆弱性をついた攻撃が増加
•
アメリカの政府機関を狙った攻撃や、日本をターゲットにした攻撃
(2013年9月: Operation Deputy Dog – MS013-080)も、
すべてWebサイトを利用した水飲み場攻撃
出典: FireEye ブログ http://www.fireeye.com/blog/corporate/2013/11/top-security-predictions-for-2014.html
Copyright (c) 2011, FireEye, Inc. All rights reserved. | CONFIDENTIAL
8
エクスプロイト
 脆弱性をついた攻撃
 設計者が意図していない、メモリ領域の破壊を引き起こすバグなどを利用
 プログラムのセキュリティ上の脆弱性(セキュリティホール)を攻撃するために作
成された簡易なプログラムの総称
 Internet Explorer、Office、Java、Adobeなどの未知の脆弱性を利用
 スタックバッファオーバーフロー、ヒープオーバーフロー
 単体では自己増殖機能を持たない
 ツールキットとして配布される場合も多く(Exploit Pack)、Blackhole Exploit Kit
やRedKitなどドライブバイダウンロード攻撃でも使用される
Copyright (c) 2011, FireEye, Inc. All rights reserved. | CONFIDENTIAL
9
ドライブ バイ ダウンロード
標的型攻撃対策で重要なのはエクスプロイトの検出
From: attacker@...
To: Victim@...
AAA.comへ
アクセス
Please visit…
http://www.aaa.com/...
改ざんサイト
AAA.com
(不正なiframeを設置)
WebサイトA
http://www.AAA.com
自動的に
BBB.comに
リダイレクト
暗号化
ペイロード
WebサイトB
http://www.BBB.com
WebサイトCCC
これら複数の
マルチフロー
解析がポイント
http://www.CCC.com
エクスプロイト
(シェルコード)
Copyright (c) 2011, FireEye, Inc. All rights reserved. | CONFIDENTIAL
さらに
CCC.comにリダイレクト
(難読化されたJavaScript等が媒介)
10
水飲み場攻撃
1.
2.
3.
4.
5.
獲物(ターゲットユーザ)のWeb利用動向を調査
利用するWebサイトの脆弱性を調査
脆弱性を悪用、侵入、改ざん(乗っ取り)
罠(悪質コード)を仕掛けて獲物を待ち伏せ
別サイトへの誘導(ドライブバイダウンロード)
 HTML
 JavaScript
6. ゼロデイ攻撃(エクスプロイト)
 Internet Explorer
 PDF
 Flash
7. 獲物を捕獲(感染させることに成功)
Copyright (c) 2011, FireEye, Inc. All rights reserved. | CONFIDENTIAL
11
Operation Deputy Dog
• 日本の企業や組織を標的にした攻撃キャンペーン
• Internet Explorerの脆弱性を悪用
– 未知の脆弱性(検知当時)
– CVE-2013-3893
– Internet Explorerメモリ破損の脆弱性
• Mshtml.dll内のSetMouseCaptureの開放済みメモリを不正使用
• 任意のJavaScriptをリモートで実行することが可能
• Internet Explorer6から11に影響
• 8月19日以降に攻撃開始
– FireEyeラボによる検知、解析
• 9月18日Microsoft ゼロデイ脆弱性に関する情報を公開
– 回避方法の公開 (Microsoft Fix it の公開)
• 9月21日FireEye Security Blogでの情報公開
• 10月9日Microsoft 緊急パッチリリース
– MS13-080
Copyright (c) 2014, FireEye, Inc. All rights reserved.
12
攻撃の特徴
• 複合攻撃
– 水飲み場攻撃
– 最初にダウンロードされるマルウェアは拡張子が「jpg」であり実行不可
• AVゲートウェイなどをスルー
– 難読化による実行ファイルの実態化(隠蔽)
– C&Cサーバへの通信(コールバック)
• 標的となった企業、組織の名称がハードコード
• ポート443を使用するが、ペイロードは平文
• 標的ごとに接続先ホストのIPアドレスを変更
Copyright (c) 2014, FireEye, Inc. All rights reserved.
13
Deputydogアタックフロー
1
XP IE8、Win7 IE8、IE9の開放済み
メモリ使用の脆弱性を利用するエク
スプロイトをWebサイトに仕込む
2
エクスプロイトコードが香港のC&Cに
接続し(コールバック)難読化された
実行ファイルをダウンロード
3
エクスプロイトコードがマルウェアを
復号 (XOR 0x95)
4
感染した端末が韓国のC&Cサーバーに
接続(コールバック)
Copyright (c) 2014, FireEye, Inc. All rights reserved.
Exploit in compromised
Web page
1
埋め込まれた
エクスプロイト
が端末に感染
Callback
2
コールバック
Encrypted Malware
3
暗号化された
マルウェアの
ダウンロード
Command and
Control Server
4
コールバック
情報窃盗
14
2. 2014年サイバー攻撃の脅威予測
(出展: FireEye ブログより)
http://www.fireeye.com/blog/corporate/2013/11/top-security-predictions-for-2014.html
Copyright (c) 2011, FireEye, Inc. All rights reserved. | CONFIDENTIAL
15
2014年サイバー攻撃の脅威予測
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
高度な脅威の検知は今後も難しい
盗まれたユーザ認証情報や証明書をマルウェアが利用
モバイル向けマルウェアの高度化
Javaのゼロディは減少傾向
ブラウザを狙った脆弱性の増加
ステルス型のC&C通信の増加
スピアフィッシングメールの減少、水飲み場攻撃の増加
サプライチェーンを狙ったマルウェアの増加
BIOSやファームウェアへの攻撃の出現
ヒープスプレー攻撃の新手法出現
サンドボックスを回避するマルウェアの出現
OSを破壊するマルウェアの増加
"Quartermaster" や "SunShop DQ"系の増加
国際連携によるサイバー犯罪者の逮捕の増加
サイバー犯罪のターゲットが個人情報にも移行
高度なマルウェアの検知にはこれまで以上の時間がかかる
出典: FireEye ブログ http://www.fireeye.com/blog/corporate/2013/11/top-securitypredictions-for-2014.html
Copyright (c) 2011, FireEye, Inc. All rights reserved. | CONFIDENTIAL
16
2014年 - さらに高度化する標的型攻撃
 Javaのゼロディの減少
ブラウザの脆弱性攻撃の増加
 スピアフィッシングメールの減少
水飲み場攻撃の増加
 サンドボックス解析を
回避するマルウェアの出現
 ヒープスプレー攻撃の新手法出現
Copyright (c) 2011, FireEye, Inc. All rights reserved. | CONFIDENTIAL
17
サンドボックス解析回避テクニック
人的挙動検知
• ネットワーク接続、ブラ
ウザ、メール
• マウス、キーボード他
プロセスレベル検知
• 実行プロセス、ドライバ
• 不自然な結果・パターン
• 例: VMwareuser.exe
プロセッサレベル
(結果の相違)
Copyright (c) 2011, FireEye, Inc. All rights reserved. | CONFIDENTIAL
スリープ
(だんまり)
フック・ホッピング
(DeputyDog)
コード盗用
(Theoretical
attacks)
18
2014年 - 新しい攻撃傾向も出現
 盗まれたユーザ認証情報や証明書をマルウェアが利用
 モバイル向けマルウェアの高度化
 サプライチェーンを狙ったマルウェアの増加
 BIOSやファームウェアへの攻撃の出現
 サイバー攻撃のターゲットがコンシューマにも移行
Copyright (c) 2011, FireEye, Inc. All rights reserved. | CONFIDENTIAL
19
進化する攻撃手法
 何が違うのか?
 複雑化
 高度化
 何が進化しているのか?
 ステルス性
 自立性
 確実性
Copyright (c) 2011, FireEye, Inc. All rights reserved. | CONFIDENTIAL
20
3. セキュリティの専門家として
私達が今すべきこと
Copyright (c) 2011, FireEye, Inc. All rights reserved. | CONFIDENTIAL
21
今すべきこと
~セキュリティの専門家として~
情報収集
Copyright (c) 2011, FireEye, Inc. All rights reserved. | CONFIDENTIAL
分析
行動
22
セキュリティの専門家として
私達が今すべきこと – 情報収集
 セキュリティの現状を理解する
 今どんな攻撃が流行しているのか?
 自組織と同業種への攻撃は?
 自組織と同業での対応状況は?
 どんな対策が必要なのか?
 既存の製品・サービスで防御は可能なのか?
Copyright (c) 2011, FireEye, Inc. All rights reserved. | CONFIDENTIAL
23
セキュリティの専門家として
私達が今すべきこと – 分析
 自組織の現状を把握する
現在のネットワークの状況を可視化できているか?
攻撃および被害のリスク分析をしているか?
 自組織の課題を把握する
現状の対策で足りない部分はどう補足するか?
 攻撃から被害に及んだ際の報告プロセスを確認する
攻撃を受ける前提での対応・報告プロセスの作成
攻撃を受ける前提でのユーザーの教育
Copyright (c) 2011, FireEye, Inc. All rights reserved. | CONFIDENTIAL
24
セキュリティの専門家として
私達が今すべきこと – 行動
 対策の実施




継続的なユーザー教育
新しいソリューションの導入
既存ソリューションの見直しと強化
とか…
 この機会にぜひ再考してください




来年度の予算でいいですか?いつまで先延ばしますか?
現状のセキュリティで攻撃から守られていると言い切れますか?
コスト重視で大切なことを忘れていませんか?
そのソリューションは本当に自組織を守り切れますか?
Copyright (c) 2011, FireEye, Inc. All rights reserved. | CONFIDENTIAL
25
最後に~具体的に~
 FireEye 製品を購入しましょう!
宣伝はさておき...基本中の基本ですが
狙われるのはサーバ端末ではなくクライアント端末です
• クライアント端末のパッチ管理
攻撃されにくい環境
• アンチウイルスの更新
• ユーザー教育
攻撃を受けたことを
知り得る環境
• 異常なネットワーク通信の監視
• クライアント端末の監視
• 不審なファイルの解析
• 端末の隔離・駆除・復帰プロセス
攻撃に対処できる環境
• 感染原因の特定プロセス
• 報告と運用フローへの振返りのプロセス
Copyright (c) 2011, FireEye, Inc. All rights reserved. | CONFIDENTIAL
26
ありがとうございました
Copyright (c) 2011, FireEye, Inc. All rights reserved. | CONFIDENTIAL
27
Fly UP