-
Page 1
公益社団法人 私立大学情報教育協会
A-3.サイバー攻撃の痕跡調査
明治大学
服部 裕之
-
公益社団法人 私立大学情報教育協会
Page 2
演習ストーリー
数日前にPCで不審なメールを受信し、添付ファイルを開いたとの連絡があった。
そこでPCの調査を行うことになった。
-
公益社団法人 私立大学情報教育協会
Page 3
メニュー
1 「痕跡調査」演習
1. 証拠保全
2. イベントログによる攻撃ツール実行の痕跡調査
2 「感染拡大」演習
1. 資格情報を使った感染拡大の手法
-
公益社団法人 私立大学情報教育協会
Page 4
実習概要
PC教室LAN
感染側PC攻撃側PC ADサーバsjk-pc sjk-victim-pc sjk-dc00
実習2
PCの証拠保全
実習3
イベントログによる痕跡調査
実習1
遠隔操作によるPCの調査、侵入拡大
実習4
感染拡大
内部ネットワーク
10.10.10.10 10.10.10.20010.10.20.1
×
-
公益社団法人 私立大学情報教育協会
Page 5
実習1 遠隔操作によるPCの調査、侵入拡大
攻撃側PCから、感染側PCの調査を行い、他PCへの侵入拡大を図る
Virtual Box(仮想環境)
感染側PC攻撃側PC
RATコントローラー(C&Cサーバ) RAT
②感染側PCに送り込んだ
調査用のコマンドを起動
①添付ファイルを開きマルウェアに感染
③調査用のコマンドが実行
×
-
公益社団法人 私立大学情報教育協会
Page 6
被害側組織で行うことは?
PCの調査 証拠保全
PCの詳細調査に必要な情報を保全 状況把握
マルウェアに感染しているのか?
どんなマルウェアなのか?
痕跡調査
なにをされたのか?
情報漏えいや内部侵入の形跡はないか?
マルウェアの駆除
システムの復旧
被害拡大の防止 通信制限の強化やネットワークの遮断
【補足1】参照
ネットワークの調査 痕跡調査
【補足2】参照
実習3
実習3
実習2
-
公益社団法人 私立大学情報教育協会
Page 7
実習2 PCの証拠保全
PCの詳細調査(フォレンジック)に必要な情報を、ツールを用いて採取し、保全する
Virtual Box(仮想環境)
感染側PC攻撃側PC
①証拠保全
RATコントローラー(C&Cサーバ) RAT
×
-
公益社団法人 私立大学情報教育協会
Page 8
証拠保全ツール
FTK Imager Lite
http://accessdata.com/product-download/ftk-imager-lite-version-
3.1.1 本格的なフォレンジックで使用
FastIR https://sekoialab.github.io/Fastir_Collector/
簡易的なフォレンジックで使用
実習で
使用
-
公益社団法人 私立大学情報教育協会
Page 9
証拠保全の対象
メモリ ネットワーク情報、プロセス情報、ユーザー入力情報
ハードディスク イベントログ、レジストリ、システムファイル
感染側PC
HDD
メモリ② ③
詳細調査
(フォレンジック)
①証拠保全
ツール
-
公益社団法人 私立大学情報教育協会
Page 10
証拠保全の留意点
なるべく現状のままで保全を 稼働中のシステムでやみくもな調査を行うことによって、後のフォレン
ジック作業の妨げになることも。
マルウェアが自己消去してしまう可能性も。
特定非営利活動法人 デジタル・フォレンジック研究会
「証拠保全ガイドライン 第7版」 2018年7月20日
https://digitalforensic.jp/wp-content/uploads/2018/07/guideline_7th.pdf
PCの電源を切らない
再起動もしない
ネットワークケーブルは抜かない
⇒ 証拠保全は、インシデント発覚時の初期段階で実施
-
公益社団法人 私立大学情報教育協会
Page 11
実習3 イベントログによる痕跡調査
イベントログより、マルウェア感染の確認と遠隔操作の内容を調査する
Virtual Box(仮想環境)
感染側PC攻撃側PC
①イベントログからマルウェア感染
を確認する
②遠隔操作の内容を調査する
RATコントローラー(C&Cサーバ) RAT
×
-
公益社団法人 私立大学情報教育協会
Page 12
イベントログの調査ツール
イベントビューアー (OS付属) 「スタートメニュー」右クリック→「イベントビューアー」
Event Log Explorer https://eventlogxp.com/jap/ 30日評価版あり
個人用途ならば無料で使用可能
検索や表示画面のカスタマイズ機能が優れている
実習で
使用
-
公益社団法人 私立大学情報教育協会
Page 13
Event Log Explorer
イベント一覧
イベント詳細
イベントログ
の
選択
-
公益社団法人 私立大学情報教育協会
Page 14
痕跡調査のストーリー
感染側PC攻撃側PC
client.exe 不審なプロセス
(演習1)
プロセス名?
PID=???
子プロセス
(演習2)
プロセス名?
PID=???
(演習3)
コマンド名?
PID=???
起動
生成(コマンド指令)
内部調査コマンド(systeminfo等)
Remote
Shell
生成
(遠隔操作)
ネットワーク
Bozok10.10.20.1 10.10.10.10
-
公益社団法人 私立大学情報教育協会
Page 15
演習1 解答
プロセス名 (Image) C:¥Users¥sjk99¥Desktop¥A3¥bozok¥server.exe
プロセス起動日時 (Date/Time) Date: 2018/8/24 Time: 13:00:00(日本時間)
プロセス番号 (Process ID) (例) 2364 (*1)
実行ユーザ名 (User) SJK-VICTIM-PC¥ sjk99
送信元IPアドレス (Source IP) 10.10.10.10
送信先IPアドレス (Destination IP) 10.10.20.1
-
公益社団法人 私立大学情報教育協会
Page 16
演習2 解答
コマンド名 (CommandLine) cmd
コマンド起動日時 (Date/Time) Date:2018/8/24 Time:13:00:01(日本時間)
プロセス番号 (Process ID) (例) 484 (*2)
親のプロセス番号(ParentProcessID)(例)2364
(演習1の(*1)と同じ値)
-
公益社団法人 私立大学情報教育協会
Page 17
プロセスの相関 (RemoteShell)
感染側PC攻撃側PC
client.exe server.exe
PID=xxxx
cmd.exe
PID=yyyy
PID=zzzz
起動
生成(コマンド指令) 内部調査コマンドの
親プロセス
cmd.exeの
親プロセス
内部調査コマンド(systeminfo等)
Remote
Shell
生成
(遠隔操作)ネットワーク
Bozok10.10.20.1 10.10.10.10
-
公益社団法人 私立大学情報教育協会
Page 18
演習3 解答
コ マ ン ド 起 動 日 時(Date/Time)
コマンド名(CommandLine)
1 2018/8/24 13:01:00 systeminfo2 2018/8/24 13:01:02 whoami3
2018/8/24 13:01:04 net user sjk994 2018/8/24 13:01:05 net config
workstation5 2018/8/24 13:01:06 net use
6 2018/8/24 13:01:10
powershell start-process cmd -ArgmentList '/k "cd
¥tool¥ticket & ¥tool¥mimikatzprivilege::debug
sekurlsa::logonpasswordssekurlsa::tickets /export exit" -verb
runas
OSの構成情報を調査
自分のユーザ名を調査
登録されているユーザ名を調査
ドメイン構成を調査
共有フォルダの構成を調査
後ほど解説
-
公益社団法人 私立大学情報教育協会
Page 19
演習4 解答
演習1より、ログオン名が( sjk99 )である利用者が遠隔操作マルウェアBozokに感染したことがわかった。
演習2、3より、遠隔操作により感染側PC上でcmdが起動し、合計( 6 )個のコマンドが実行されたことがわかった。
攻撃者はこれらのコマンドを用いて、PCの( 内部調査 )を行った模様である。
-
公益社団法人 私立大学情報教育協会
Page 20
実習4 感染拡大
感染PCを基点として、他PCやサーバへの侵入を拡大する。
Virtual Box(仮想環境)
ADサーバ感染側PC①入手したパスワードハッシュを用いて
ADサーバへのアクセスを行う
RAT
リモートアクセス
-
公益社団法人 私立大学情報教育協会
Page 21
端末間での侵害拡大
他端末へ攻撃、外部からコントロールできる端末を複数台、確保する。
主な手法 Pass the Hash攻撃 Pass the Ticket攻撃 オートコンプリート機能による保存パスワードの盗用
⇒【補足3】
攻撃者
RAT感染
C&Cサーバ
基盤拡大用
端末潜伏用
端末
情報収集用
端末
情報送信用
端末
指令用
端末
侵入拡大
(ID/PWの盗用)
-
公益社団法人 私立大学情報教育協会
Page 22
アクセス権限
システムのセキュリティは「パスワード」で守られている。
ユーザ名:XXXパスワード:Tx#$&bxl!
ユーザ名:XXXパスワード:Tx#$&bxl!
ユーザ名:XXXパスワード:Tx#$&bxl!
パスワード!
・ログオン
・ファイル共有
・プリンタ共有
・リモートデスクトップ etc.
いちいちパスワードを
入力しないサービスも
-
公益社団法人 私立大学情報教育協会
Page 23
資格情報はどこに保存されているのか?(Windowsの場合)
ADドメインサーバ AD
データベース
SAMデータベース
メモリ
(lsass.exe)
ドメインユーザ
ローカルユーザ
LSAプロセス: 認証時に利用された
ユーザIDとパスワードをキャッシュ
パスワードのハッシュ値
Kerberosチケット
Pass-the-Hash攻撃で利用
Pass-the-Ticket攻撃で利用
-
公益社団法人 私立大学情報教育協会
Page 24
Pass the Hash 攻撃 Windowsの認証を回避し、ユーザIDとパスワードのハッシュ値のみを使
い不正アクセスする手法
⇒ 生のパスワードが分からなくても、アクセスできる。
ドメイン管理の場合、1台のPCがやられると、全てのPCが被害にあう恐れがある。
攻撃者
①
ユーザIDとパスワードハッシュ値を
入手 マルウェア感染
②
ユーザID+パスワードハッシュを用いて
近隣端末へ不正アクセス。
ドメイン管理者権限が取られれば、
ドメイン配下の全てのPCは制圧
ユーザID ハッシュ+
Windows ドメイン
-
公益社団法人 私立大学情報教育協会
Page 25
Pass the Ticket 攻撃 ドメイン環境の認証で用いるチケットを不正に使いアクセス
する手法
2種類のチケットを悪用 TGT - Ticket Granting Ticket ST - Service Ticket
チケットは偽造可能①TGT要求
②TGT発行(ユーザ権限)
③ST要求(TGTも送る)
④ST発行(ユーザ権限)
ドメイン
コントローラ
サーバ
⑤サービスへ接続(STも送る)
TGTやSTを偽造できれば
①~④は不要だな
攻撃者
偽造したチケットのことを、
Golden Ticket とかSilver Ticket という
-
公益社団法人 私立大学情報教育協会
Page 26
mimikatz Windowsのメモリ上に保持されているアカウントの認証
情報にアクセスし、管理者権限の取得や他のアカウントの「なりすまし」を行うためのツール
オープンソース https://github.com/gentilkiwi/mimikatz
EXE版、DLL版、PowerShell版
機能 資格情報の取得
生パスワード (キャッシュに存在すれば) NTLMパスワードハッシュ値 Kerberosチケット
なりすまし攻撃 Pass-the-Hash Pass-the-Ticket Ticketの偽造
・改良が早いため
検知困難
・Petyaでも採用
https://github.com/gentilkiwi/mimikatz
-
公益社団法人 私立大学情報教育協会
Page 27
pth.batの中身c:¥tool¥mimikatz privilege::debug “sekurlsa::pth
/user:administrator /domain:example.jp
/ntlm:fadfd3f83688a18eccb30c6054ac5472
/run:¥" cmd /k psexec ¥¥sjk-dc00.example.jp cmd ¥" " exit
mimikatz sekurlsa::pth
• Pass-the-hash攻撃。example.jpドメインのadministrator権限でコマンド(cmd)を実行
/ntlm:fadfd3f83688a18eccb30c6054ac5472
• あらかじめmimikatzで入手したadministratorのNTLMハッシュ値を指定 psexec
¥¥sjk-dc00.example.jp cmd
• ドメインコントローラー(sjk-dc00)へリモートアクセスを実行
-
公益社団法人 私立大学情報教育協会
Page 28
演習5 解答(1) hostname
今、操作しているコンピュータのホスト名は( sjk-dc00 )である。
(2) whoami操作している自分のアカウント名は( example¥administrator )である。
(3) net userADに登録されているアカウントで、sjkadで始まるの
は合計( 6 )個、存在した。
-
公益社団法人 私立大学情報教育協会
Page 29
演習4 解答(追加)
さらにpowershell経由でmimikatzが起動された。 引数にsekurlsa::loginpasswordsや
sekurlsa::ticketとあるので、感染端末のメモリやキャッシュに存在している、アカウントの(パスワードハッシュ値
)や( kerberosチケット )などの資格情報が調査された模様である。
-
公益社団法人 私立大学情報教育協会
Page 30
まとめ
あらかじめPCのイベントログによる監視を強化することにより、サイバー攻撃の痕跡調査が行える
端末に残されている資格情報を用いて、他サーバへの侵入拡大が行える
イベントログは攻撃者によって消去されることがあるので注意。
イベントログはネットワーク経由で他サーバに保存することが望ましい。
対策は次のセッションで。
-
公益社団法人 私立大学情報教育協会
Page 31
【補足1】 被害拡大の防止
外部ネット接続ケーブルの抜線
外部向けファイアウォール 外部との接続を「すべて」遮断
外部との接続を「一部のサービス(例:メール)」を除き遮断
C&Cサーバとの通信「のみ」を遮断
内部用ファイアウォール(導入済の場合) 重要サーバへの通信の監視強化、通信制限
感染PCのネット接続ケーブルの抜線
対応の
レベル感
影響範囲 大
影響範囲 小
-
公益社団法人 私立大学情報教育協会
Page 32
【補足2】 ネットワークの調査 ファイアウォール
マルウェアに感染したPCからC&Cサーバへの通信 ブラウジング中、マルウェアに感染したPCから、ダウンロード
サイトへの通信
IDS/IPSのアラート Proxyサーバのログ
-
公益社団法人 私立大学情報教育協会
Page 33
【補足3】 オートコンプリート機能で保存されたパスワードの盗用と対策
オートコンプリート キーボードからの入力を補助する機能。
一度ブラウザから入力した「ユーザID+パスワード」を、次回のアクセスからは自動入力に。
パスワードは、PC内部に保存されているが、攻撃ツールを用いて取り出し可能。
対策
「インターネットオプション」⇒「コンテンツ」タブ
A-3.�サイバー攻撃の痕跡調査演習ストーリーメニュー実習概要実習1 遠隔操作によるPCの調査、侵入拡大被害側組織で行うことは? 実習2 PCの証拠保全証拠保全ツール証拠保全の対象証拠保全の留意点実習3 イベントログによる痕跡調査イベントログの調査ツールEvent
Log
Explorer痕跡調査のストーリー演習1 解答演習2 解答プロセスの相関 (RemoteShell)演習3 解答演習4 解答実習4 感染拡大端末間での侵害拡大アクセス権限資格情報はどこに保存されているのか?� (Windowsの場合)Pass
the Hash 攻撃Pass the Ticket
攻撃mimikatzpth.batの中身演習5 解答演習4 解答(追加)まとめ【補足1】 被害拡大の防止【補足2】
ネットワークの調査【補足3】 オートコンプリート機能で保存されたパスワードの盗用と対策
