OSINT実践~Kaspersky2020年1Q脅威レポートを見て~
現地時間の5月20日(水)、KasperskyのサイバーセキュリティブログSecurelistにて、2020年1Qの統計レポートが公開されました。
レポート中には、日本での活動が最も活発だった攻撃観測がありました。(なんとなく察しが付く方も多いとは思いますが)
今回は事実確認も含め、いろいろと調べてみたので、その調査方法などが参考になればと思い、記事にまとめてみました。
新卒でセキュリティ業界に配属された方もいるかと思うので、良い事例として活用いただけると、ありがたいなーと思っています。
目次
2020年1Qもモバイルバンキング型マルウェアによる攻撃が流行
Kasperskyの記事によると、2020年1Qの傾向として、特にモバイルバンキング型マルウェアの観測数が、2019年4Qと比較して2.5倍以上に増加していました。 同様にして、昨年同時期から比較しても1.4倍以上に増加していました。
地域別に比較してみると、日本が最も多くのユーザに影響を及ぼしていることがわかります。
順位 | 国 | % |
---|---|---|
1 | 日本 | 0.57 |
2 | スペイン | 0.48 |
3 | イタリア | 0.26 |
4 | ボリビア | 0.18 |
5 | ロシア | 0.17 |
6 | トルコ | 0.13 |
7 | タジキスタン | 0.13 |
8 | ブラジル | 0.11 |
9 | キューバ | 0.11 |
10 | 中国 | 0.10 |
表を見る限り、1位と言っても1%にも満たないあたり、全体としては、広く分布しているようですね。
レポート中では、日本で観測されたモバイルバンキング型マルウェアのほとんどはTrojan-Banker.AndroidOS.Agent.eqだと書いてあります。
このマルウェアは、実は以前に紹介した、Roaming Mantisによる活動です。
Roaming MantisはSMSを用いたフィッシング、いわゆるSMiShingを行うことで有名です。
日本では佐川急便のアイコンを利用した例が広く知られています。
以前にも当ブログで紹介しましたので、ご参考まで。
レポートの内容でお伝えしたいトピックは以上です。
ただ一つ、もし、Trojan-Banker.AndroidOS.Agent.eqというマルウェアの検知名だけが明らかだった場合に、どこまで追うことができるのか。
そのことを確かめるために、実際に調査を行ってみようと思います。
OSINTによる調査について
インターネットに公開された情報から機密情報を収集する諜報活動を通称OSINT(open source intelligence)といいます。
これからご紹介する手順はOSINTの一例としてご参考にしていただければと思います。
とりあえずググってみる
まず、手始めにTrojan-Banker.AndroidOS.Agent.eqをググってみます。
注意点
調査の際には必ず、ダブルクォーテーション""でくくって検索するようにしましょう。
仮に間違えてC2通信先を入れてしまうとそのままC2サーバへアクセスしてしまうことがあるので要注意です。
検索すると、こんな感じで結果が出ると思います。
そもそもKasperskyの記事自体などが出てきますが、ひとつひとつ関連情報がないか探していくと、当該検知名で検知される結果をまとめたサイトがヒットしました。
サイトを確認するなかで該当する2つの検体が確認できました。
- e6f69713c0479e1abb5c7ee3a6affedf
- e907462aa6196f6e18761008fc3c49d5
ということで、検体のハッシュ値にたどり着くことが一つの目安ですかね。
他にも後述のドメインやIPアドレスなども深堀のための情報になります。
これらのような、攻撃による侵害痕跡を示すような情報をIoC情報といます。
IOC(Indicators of Compromise:侵害指標)とは、ネットワークやオペレーティングシステムで観察される侵害の痕跡で、コンピュータへの侵入を示すものであると正確に判断するための根拠となるものを指します。(Fortinetより)
さて、今回見つけた情報を起点に、さらに検索してみましょう。
マルウェアの検索
マルウェアの検索には、VirusTotalという、有名なマルウェア検索エンジンを活用してみます。
https://www.virustotal.com/gui/home/
先ほど発見した検体のハッシュ値を入力すると、こんな感じで検査結果が出ます。
検索結果から、ファイル名と検体の提出日が確認できます。
検体のハッシュ値(MD5) | ファイル名 | 検体の登録日 |
---|---|---|
e6f69713c0479e1abb5c7ee3a6affedf | output.160028150.txt sagawa.apk |
2020-05-15 07:11:52 |
e907462aa6196f6e18761008fc3c49d5 | sagawa6.6.8.apk | 2020-05-15 04:19:32 |
ご覧の通り、最近ですね。 これは何か出てきそう。。
ということで、この時点でわかると思いますが、佐川急便を装うマルウェアである可能性が高そうですね。
ファイル名でピンとこない場合は、より確実な内容をつかむために、この段階で改めてgoogle検索をかけてみることをオススメします。
その際には、ダブルクォーテーション""でくくることをお忘れなく。
画像検索の活用
実はググる際に画像検索が活用できる場合も多々あります。
なんとなく、それらしき画像をクリックすることで、情報にたどり着けたり。
例えば、この画像から宅配便を装うSMSの詐欺メッセージ「不在の為持ち帰りました」
と記載されたサイトにたどり着きました。
このサイトから、通信先に、dsfsfew.duckdns[.]orgを含むことが確認できます。
さて、今度は、この通信先から深堀りをしていきます。
通信先から検索
通信先を元に調査する時に使えるのは、PassiveTotalというサービスです。
アカウントを作成すれば、検索上限が15回という制限付きではありますが、無料で利用可能です。
有償版については、日本だとマクニカネットワークスが代理店で販売しているようですね。
PassiveTotalは、主に不審なドメインやIPアドレスの通信先の情報を元に、関連する情報(Whoisや証明書、関連URLなど)を結果表示してくれるサービスです。
早速、dsfsfew.duckdns[.]orgをPassiveTotalで検索すると以下のような結果が返ってきました。
Reverse IPの結果
これまでに、ドメインに紐づいていたIPアドレスが、時系列で確認できます。 今回の場合は直近で、IPアドレスが154.223.144[.]251に紐づいていたことがわかります。
Whois情報
フランスのWebホスティング事業者Gandi SASのサーバを利用しているようですね。
ちなみに、DNSはドメイン名からもわかる通り、Duck DNSという無料のダイナミックDNSサービスを使っているようです。
このDNSサービスは新型コロナウイルスをテーマにしたビジネスメール詐欺にも利用されていたことが、以下のPaloAltoの記事からもわかります。
関連URL
ドメインに関する情報を含む公開情報のリンクが表示されます。
注意点
ハイパーリンクになってはいますが、C2ドメインがそのままリンクになっていることもありますので、安易に押さないようにしましょう。
今回の検索結果の一つからは、SMSの送信元である電話番号に関する情報が確認できました。
そこに書いてある口コミから、他の不正リンクも確認できました。
こちらを活用することで、さらに調査の深堀りもできますね。
twitterの活用
PassiveTotalの検索結果からも確認できるものですが、Twitterの情報は非常に参考になることが多いです。
もし、今回のようなサイバー攻撃の情報を継続して観測する場合には、特定のTwitterを確認し続けることも大事だと考えています。
参考までにご紹介すると、私自身は、Twitterが公式サービスとして公開しているTweetdeckを利用して、日々Tweetをウォッチしています。
画像はTwitterジャパン公式ブログより
公式からの注意喚起
最後に、本件について佐川急便から出ている注意喚起と、IPAが発行している注意喚起を掲載しておきます。
まとめ
今回は、普段とは少し違う切り口でのブログを書いてみました。
ネタを探している中で行った調査のノウハウを書いてみたら、役にたつのかなと思ったのがきっかけです。
新入社員がやってくる季節ということもありますし。
新型コロナの影響からもだいぶ回復傾向にありますが、Zoom飲み会などで、様々な人たちと話している中で今後の方針に強く色が出ていて面白いです。
ただ、どこも組織への所属巻は薄れていくんだろうなーと感じています。
ITの世界もウォーターフォール型からアジャイル型に移り、サービス間の結合も疎になりつつ、APIの提供などで、大きな網にはかかっている。
仕事においても似たような姿に変わりつつある状況がやっぱり面白いです。