Shadowfall

ここ数か月間、 RSA Research は、RIGエクスプロイト キット(RIG EKまたは単にプレーンRIG)に対する組織横断的な取り組みに乗り出し、その結果、運用インフラストラクチャ(そしておそらくはエコシステム全体)に関するインサイトと ドメイン シャドウイングに関連する重要な発見がありました。ドメイン シャドウイングとは、「誘導先の悪意のあるサーバーのサブドメインを作成する目的で、攻撃者がドメイン アカウントの認証情報をその所有者から盗む技法」のことです。

これらの取り組みの直接的な結果として、RIG、マルバタイジング、マルスパム オペレーションから数万のアクティブ シャドウ ドメイン リソースが削除されました。

調査方法と謝辞
本調査の初期データは、2017年2月21日から3月20日までの期間に収集および評価されたものです。ただし、現在のRIG EKオペレーションに対するこの議論との関連性を確保するため、重要な追加データの取得、評価、および後続の調査が実施され、現在も継続されています。

私たちの継続的な調査と分析は、GoDaddyの優れた同僚と多数のコミュニティ研究者の熱意なしには成し遂げられなかったことは留意すべき点です。具体的には、@broadanalysis、@dynamicanalysis、@executemalware、@malwarebytes、@zerophage、そして特に malware-traffic-analysis.net のBrad Duncan氏とPalo Alto Unit 42の貢献に感謝申し上げたいと思います。また、同じく本調査に欠かせない継続的なコラボレーションを提供していただいたRintaro Koike氏(@nao_sec, http://nao-sec.org/)にも深く感謝いたします。

RIGエクスプロイト キット

私たちのこの領域への進出がRIGエクスプロイト キットの詳細な分析から始まったことを考えると、エクスプロイト キットがどのように機能するかを示す詳細なオペレーション概要を提供することには意味があります。図1は、一般的なRIGオペレーションを示し、後にこれらのオペレーションの説明を体系的に進める上で使用します。

図1. RIGデリバリの概要

次の図に示すように、RIGはアクティブで、多様なペイロードに対応するエクスプロイト キットとして現在も市場に残っています。

図2. 2017年5月17日時点におけるRIGエクスプロイト キットのアクティビティ(@executemalware提供)

侵害されたサイト

RIG EKオペレーションは侵害されたサイトを起点とし、主にそこから展開されます。マルバタイジングやChromeのフォント ポップ アップなどの手法もトラフィックをランディング ページに誘導する役割を果たしますが、私たちの調査中に見つかった最も一般的な手法は、侵害されたWordPress、Joomla!、Drupalサイトにiframeを注入するやり方です。

RIG EKが使用するURLパラメーターが常に変化するは驚くべきことではありません。エクスプロイト キットでは、これまで、注入されたiframeやJavaScriptなどで、このようなタイプのURLパラメーターを使い回し、再利用してきたことが分かっています。RIG関連のURLパターンの履歴は、2017年2月にリリースされた LAC Cyber Grid View に掲載されているRIGホワイトペーパー(日本語)に記載されています。現在のRIG EKパラメーターは、図7に記載されています。

RIGランディング ページにトラフィックを呼び込む侵害されたサイト(クローラーから抽出)の一部を評価したところ、その登録機関は、一般的なドメイン登録機関で構成されているように見えます(図8)。

図8. 登録者が分散している侵害されたサイト

ゲートとTDS(トラフィック分散システム)

私たちの初期の調査では、TDSまたはゲートが主要なRIGキャンペーンに関連して使用されているという有力な証拠は見つかりませんでした。ただし、@dynamicanalysisなどの、他のセキュリティ研究者による公開されたレポートでは、 GoodMan で使用されるTDS参照トラフィックと、 RIG EKに誘導するいくつかのマルバタイジングが取り上げられています。

しかし、これは3月の終わりから変化し始め、4月と5月に入ると、いくつかの新しいキャンペーンが登場しました。GoodManおよびSeamlessキャンペーンは、 hurtmehard[.]net などの従来のゲートを使用しますが、GoodManの場合、 Decimal-IPキャンペーン で、整数表現のIPアドレスを使用しトラフィックをリダイレクトして、RIGランディング ページに誘導します。これは従来のIOC(セキュリティ侵害インジケータ)ベースの検出対策を回避してしまう可能性があります。現状の脅威アクターがこのような手法を採用したのもこのためです(図9)。

図9. 10進数のIPをRIGにリダイレクト

ランディング ページ

従来のゲートと侵害されたサイトに注入されたiframeの両方によって呼び込まれるトラフィックは、RIGオペレーション モデルの基盤となるRIGランディング ページに誘導されます。図10にサンプルのネットワーク トラフィック キャプチャを示します。現在のDecimal-IPキャンペーンのPCAPは ここで確認できます。

図11は、2017年5月16日に実際に観測されたランディング ページを一部わかりやすくしたものです。

RIGランディング ページの主な目的は、ページにアクセスしたクライアント マシンをインテリジェントに悪用し、複数の異なるキャンペーンがプッシュする一連のペイロードで損害を与えることです。

エクスプロイト

私たちの調査の過程で最も多く観測されたRIGによるエクスプロイトは、Flash関連のよく知られているエクスプロイトです(いずれも CVE-2015-8651を悪用)。適正な評価を実施する過程で、私たちは現在のRIGのサンプルと古いサンプルのコレクションを比較し、数多くのキャンペーン間にコードおよびプロセス実行の類似性があることを突き止めました。この証拠は、Flashエクスプロイトで容易に確認できます(図12)。

前述のFlashエクスプロイトに加えて、RIGランディングページでも、IE(Internet Explorer)を標的にペイロードを送信し、 CVE-2016-0189、 CVE-2015-2419、 CVE-2014-6332 を悪用していたことが確認されました(図13)。

図13. ユーザー エージェントによるCVE:https://github.com/nao-sec/RigEK

本説明は、RIGランディング ページまたは関連するエクスプロイトのリバース エンジニアリングを主たる目的とするわけではありませんが、現在のセキュリティ研究には強力な技術的ウォークスルーがいくつか存在することに言及しておく必要があります。具体的には、 RSA Research と nao_secの例をお勧めします。

ペイロード

RIGが送出するペイロードの数は絶えず変化しており、RIGデリバリを利用する各種のキャンペーンに大きく依存します。調査の過程で、私たちは、RIGによって送信されたCerber(PDL(PseudoDarkleech)キャンペーンでよく使用されるランサムウェア)が当初、非常に長い期間持続することに気付きました。4月になるとPDLのアクティビティは次第に沈静化し、ほぼ静かな状態に(または見つかりにくく)なりました。Cerberペイロードに関する技術的なウォークスルーについては、付録Aを参照してください。

図14. フレンドリーなCerberのようこそ画面

EITESTは、私たちの初期の調査で見つかった2番目にアクティブなキャンペーンでした。これは今でもアクティブであり、さまざまな悪意のあるペイロード(金融機関を標的とするトロイの木馬である Dreambot など)を送信していますが、多くの場合、確実に収入が得られるランサムウェアに切り替わります。具体的には、2月と3月にCerber、CryptoShield、 Sage、 Spora のペイロードが送信されていたことがわかりました。CryptoShieldペイロードを技術的に再現した例は、付録Bを参照してください。

図15. CryptoShieldのようこそ画面

RIGを活用する最近のアクティブな2つのキャンペーンの1つであるDecimal-IPキャンペーンでは、 smokeloader (サンプル)の配布が最近観察されています。このアクティビティを積極的に追跡している研究者の1人である zerophage は、図16に示すネットワーク トラフィックのサンプルを使用し、いくつかの例を技術的に再現しています。

図16. 10進数のIPリダイレクトがSmokeloaderを送信

この調査で最後に扱ったキャンペーンであるSeamlessは、LatentbotおよびRamnitランサムウェアを配布していることが最近観察されています。このキャンペーンについては、 Cisco と図17に注釈を付けたBrad Duncanの両方から関連する技術文書が提供されています。

シャドウ インフラストラクチャのフットプリント

このインフラストラクチャは、RIGオペレーションのスナップショットでどのように見えるでしょうか。2月21~27日の期間にわたって既知のRIGランディング ページを活用した後、Maltego(関連づけおよび拡充のためのPassiveTotalおよびドメイン ツールのキーを含む)を使用して、EITESTおよびPDLキャンペーンに関連するRIGオペレーション インフラストラクチャのスナップショットを生成しました(図18)。

図18. 2017年2月27日から観測されたRIGオペレーション インフラストラクチャのサンプル

分析中、私たちはこのインフラストラクチャの3つの興味深い側面に気付きました。第一に、2月末から3月、そして4月初めにかけて観測されたRIGアクティビティでは、ターゲットIPサブネットが頻繁に再利用されていました。

図19. ASNをホストしているRIGバックエンド

過去の 調査では、クライムウェア アクターに対抗するには、 堅牢なホスティング が重要でること、またクライムウェア アクターがそれを利用する可能性について説明しました。RSA Researchは、RIG関連のASN(Autonomous System Number)が主に「商業的に難読化された」堅牢性の高いホスティング プロバイダー(TimeWebなど)のコア グループ内に存在するのを観測しました。具体的には、これらのASNには十分に適正な多目的用途のトラフィック(ブラックリスト化されることはほとんどない)があり、難読化されたオペレーショナル リレーをクライムウェア アクターに提供します。OSINTをざっと検索すると、この主張を裏付けるインジケータが多数見つかります。

RIG関連のネットブロック(図19)内でホストされているドメインをクロールしようしたところ、ほぼ予想どおり、RIGランディング ページにトラフィックを呼び込む(図7のパターンに一致するサブストリングを持つ)、注入されたiframeのインスタンスは1つも見つかりませんでした。このことは、一部のペイロードの対象国と対象言語のホワイトリストを特に考慮し、この目的のために、西側に隣接し、西側のトラフィックを引き込めるサイトに特化して、侵害するサイトを標的にしている可能性があることを示すものかもしれません。

第二に、私たちはSSL証明書の度重なる再利用に注目し、最初はそれをRIGに関連している可能性があると考えましたが、詳しく調査したところ、多数のASNローカライズ ドメインにわたって証明書が急増していることがわかりました(例については図20を参照)。こうした結果に基づき、これらのSSL証明書はRIGに関連しておらず、ホスティング プロバイダーによって広く採用されている可能性が高いと判断しました。

シリアル発行元組織Shodan Listing
620617GeoTrust Inc.https://www.shodan.io/search?query=ssl.cert.serial%3A620617"/a>
983750GeoTrust, Inc.n/a
66288GeoTrust Inc.https://www.shodan.io/search?query=ssl.cert.serial%3A66288

図20. Shodan証明書の詳細:shodan.io

RIGランディング ページ ドメインのWhois登録の詳細を調べたところ、GoDaddyが主要な登録機関になっていることがわかりました。図21のMaltegoスクリーンショットは、2017年の2月21日から4月10日にかけてRIGランディング ページを提供していたことが確認された395個の一意のサブドメインの登録機関の内訳を示しています。

図21. 共通の登録機関を持つRIGランディング ページ

私たちは、これらの発見事項に基づいて、これらのサブドメインを所有しているすべての個別登録者のメールを分離しました(最初にabuse@などの一般的な登録者を遮断)。これらの登録者のメールをまとめて取得した後、すべての関連するドメインとサブドメインを特定しました。その結果、主要なプロバイダーによってホストされている数千のシャドウ ドメインの特定に成功しました。図22のMaltegoスクリーンショットは、2,200以上のサブドメインが18人のGoDaddy登録者に登録されており、2017年3月25日から4月5日にかけてのRIGオペレーション中に、それぞれのサブドメインが活発に使用されたことを示しています。これらは侵害されたアカウントであると考えられます。

図22. シャドウ ドメインに使用されている侵害されたアカウント

これらの侵害されたアカウントが所有するサブドメインは、正当なGoDaddyドメインをシャドウイングしているようです。また、先に触れた外部ネット ブロック(図19)に現在のRIGランディング ページをホストしています。DNS Aレコードは、図23および図24に示すように、この所見のさらなる証拠を提供します(centralops.netによる無料提供)。

図23. シャドウ ドメインのDNSレコードのサンプル

図24. 2017年3月28日 – シャドウ ドメインのDNS Aレコード

RIGの背後にいるアクターは、新しいシャドウが作成される前に、サブドメインとDNS Aレコードを定期的にクリーンアップして削除します。シャドウ ドメインDNS Aレコードの予備的分析では、削除されるまでの存続期間が5~10日であることを示しています。そうは言っても、私たちは、バックエンド ホスティング(図19のASN)に基づくこれらのシャドウ ドメインの実際の存続期間は24~48時間前後ではないかとも考えています。この事実の証拠となるのが、2017年3月30日のDNSレコードにあるこのシャドウ ドメインの作成とその後の削除です(図25)。

図25. 2017年3月30日 – シャドウ ドメインのDNS Aレコードのクリーンアップ

次の図26に示すように、このアクティビティは4月と5月まで続きました。

図26. DNS Aレコードに表示されている2017年5月16日のRIGシャドウ ドメイン

GODADDYとのコラボレーション

GoDaddyに登録されるドメインが高い確率で発生するため、GoDaddyはシャドウ ドメイン インフラストラクチャの文書化にコラボレーション パートナーとして参加しました。視点を絞ることで、シャドウDNSエントリーを確認するための独自の観点を提供しました。その分析により、GoDaddyは脅威アクターの戦術、手法、手順を明らかにできる、さまざまなメトリックを特定しました。その後、これらの手法はドメイン シャドウイング アクティビティを特定および観測するために使用されました。これらの目的のために開発されたインフラストラクチャは、問題をさらに深く理解するために必要な可視性を提供しました。

各種の特定された行動パターンに基づいて、過去60日間のドメイン シャドウイング アクティビティの履歴が分析されました。この期間中、RIGシャドウ アクティビティは、固定の単語リスト(「red」、「admin」、「info」、「save」、「new」など)からランダムに選択された単語で構成されるサブドメインの生成に1つのプライマリ パターンを使用していることが観測されました。

RSA Researchは、GoDaddy DNSデータ(DNS Aレコードがシャドウ ドメインを指していたデータ)の両方の宛先IPとRSAが観測したRIGバックエンド ネットブロック(図19)を関連づけ、アクティブ シャドウ ドメインをサンドボックス化することで、これらのシャドウ ドメインがRIG関連であることも確認しました。図27と28は、5月初めに観測された、RIGランディング ページとして使用されているシャドウ ドメインを示しています。これらの結果では、現在のRIG URLパターンを一貫して受け入れ、既知のswfエクスプロイト(md5: dc7d6b8b623fdf82a8ba48195bd1bdbfなど)をドロップしました。

図27. RIGランディング ページとして機能するシャドウ ドメインのサンドボックス化

図28. RIGランディング ページとして機能する別のシャドウ ドメインのサンドボックス化

さらに、この調査の過程で、いくつかの代替パターンに従うドメイン シャドウイング アクティビティが特定されました。全体として、シャドウイング アクティビティは、それぞれが、そのDNSレコードに注入された平均150個のシャドウ登録持つ数百人のお客様に影響を与えていることがわかりました。毎日のDNS変更では、1日あたり約450個の新しいシャドウ サブドメインが計測されました。これらのレコード変更の大半を開始するソースは、ToRネットワーク上の1つまたは複数の不明なクライアントによるブラウザ呼び出しです。

最も顕著なドメイン シャドウ パターンは、ランダムな3~5個の英数字で構成されるサブドメイン名を使用していることが確認されました。このセットで観測されたサブドメインの例は、「m47xh」、「mv6」、「eeiv」、「l4pj2」、「eiq0s」、「bthi」です。このセットは最も数が多く、現在のシャドウ登録の95%以上を占めています。このシャドウイング アクティビティは、合計30,000以上のサブドメインで観測され、800以上のドメインに影響を与えました。アクティブなサブドメインは、自動化された方式で継続的に追加および削除されるエントリーによって絶えず変化しており、1日あたり平均900件のレコード変更が行われていました。

図29. 観測期間中のアクティブ シャドウ

このアクティビティに関する予備的なOSINT分析は、このパターンが進行中のマルスパムおよびマルバタイジング アクティビティに関連している可能性があり、広範なクライムウェアのデリバリにつながる可能性があることを示しています。これらのアクティビティの例を図30と図31に示します。

図30. 他のシャドウ ドメインからのスパム?

図31. その他のシャドウ ドメインのGoogleドーキング

全体として、特定されたシャドウ レコードは、20個の異なるクラスCサブネット上にある約240個の一意のIPアドレスを指していました。残念ながら、関連するホスティング プロバイダーが私たちの調査に参加していなかったため、宛先に関する追加の分析はできませんでした。この行動の特定は、後述の「修正」セクションで説明するように、大規模な遮断につながりました。

侵害された認証情報によって支えられるエコシステム

これらのキャンペーンが侵害された認証情報に非常に大きく依存しているという事実には、いささか驚かされます。しかし、前述の議論から、私たちは、RIGランディング ページがほぼ例外なく(すべてではないにせよ)侵害されたドメイン(およびアカウント)の短命のシャドウ サブドメインにホストされており、東欧の堅牢なASNの近くから提供されているということに強い自信を持っています。これらの認証情報はどのように収集されたのでしょうか。

長年にわたって情報泥棒がはびこっているインターネットには、どこに帰属するか判断する必要がある存続可能なキャンペーンが多数あります。これらの侵害された認証情報をここ数年間のPONYダンプに照らして相互に関連づけたところ、それらのキャンペーンが問題の原因ではない可能性があることを示す、ネガティブな結果が得られました。ただし、それ以外にも多くのオプションがあります。

シャドウ ドメイン自体に関しては、これらのキャンペーンを実行している脅威アクターは、高度なフィッシング オペレーションによって正当なお客様認証情報を取得していると考えられます(例:図32)。GoDaddyには1,700万のお客様と7,100万のドメイン名が登録されているため、必然的に広範で高度なフィッシング攻撃のターゲットになります。GoDaddyは引き続きTFA(二要素認証)を推奨し、これらのフィッシング ページを提供しているホスティング プロバイダーと協力してこの悪意のあるコンテンツを撲滅することに積極的に取り組んでいます。

図32. 以前のGoDaddyをターゲットにしたスピア フィッシング キャンペーン

侵害されたサイト(GoDaddyシャドウ ドメインに注入されたiframeを介してトラフィックを参照するサイト)の観点では、影響を受けるドメイン登録機関に顕著な傾向はないことを示しています。これらの認証情報を収集するための手段としてどのような方法が採用されているかはまだ定かではありませんが、 IoTボットネットを使用して総当たり攻撃でWordPressサイトを見つける方法に関するコミュニティ研究が存在します。

これらの所見と推測が妥当である場合、おそらく私たちは、図33が示唆するように、RIGオペレーション モデルをエコシステムに近いものと見なす必要があります。

図33. 推測されるRIGエコシステム

修正

ここに記載されているシャドウ アクティビティは、GoDaddyのDNSシステムから削除されています。レコードが頻繁にはチェックされないこと、レコードの数が多いこと、そしてレコードが正規のドメインの下で作成されることから、ドメイン シャドウイングはこれまで困難な課題でした。RSAとの連携により、GoDaddyは、データ分析を適用して問題のあるシャドウ ドメインを分離し、削除することができました。既知の不正な宛先IPアドレスは、GoDaddyのDNSシステムでブラックリスト化されています。さらに、侵害されたお客様アカウントはすでにロックされており、将来の悪用を防ぐために認証情報の変更が必要です。

今後は、悪意のあるDNSレコードを大規模に検出および削除するためのプロセスの開発を継続することと、ドメイン変更データ フローに予防措置を組み込むことに重点が置かれます。これらの取り組みが成熟し、シャドウイングを防止および停止する能力が高まるにつれて、提出されたインジケータを頼りにアドホックな修正を行うことはなくなっていきます。代わりに、内部データセットの分析を活用し、悪意のあるレコードを自動的に特定して削除するようになるでしょう。

これらの分野で成功すれば、 検出に要する時間 と 修正に要する時間 が最小化され、シャドウ ドメインの存続期間が大幅に短縮します。ドメイン シャドウイングのリスクが高いアカウントにアーキテクチャ上の軽減策を組み込めるかどうかも評価されています。このアクション パスは、GoDaddyアカウントをより安全に保ち、ドメイン シャドウイングでマルウェアを配布する手法の有効性を減らします。

影響と結論

テイクダウン オペレーションの影響を測定することは、特に脅威アクターのアクティビティに関する可視性が限定されている場合には困難ですが、予備的な分析では、 RIGオペレーション、具体的には現在のSeamlessおよびDecimal IPキャンペーンの機能が大幅に失われることが示されています(図34を参照)。影響の持続期間については、GoDaddyチームとRSAチームがまだ共同で評価を行っているところです。

図34. RIGバックエンドは10進数のIPキャンペーンには使用できない

現在、もつれ合い重なり合って進行しているランサムウェア、マルバタイジング、およびマルスパム キャンペーンに対するこのようなテイクダウンの影響を判断することは、さらに輪をかけて困難です。2017年5月16日時点でわかっていることは、 アクティブなクライムウェア アクターのオペレーション能力から数万のアクティブなシャドウ ドメイン リソースが削除されたということです。

これで現段階における私たちの調査内容と関連する発見事項の報告は終わりです。ただし、私たちは、より大きなクライムウェア エコシステムでドメイン シャドウイング オペレーションが果たす役割についてのさらなる共同調査を実施する予定です。

付録A

PseudoDarkleechキャンペーン:Cerberランサムウェア

スクリーンショット:

トラフィック:

付録B

EITESTキャンペーン:Cryptoshieldランサムウェア

スクリーンショット:

トラフィック: