サポート情報 | フォーカスシステムズ サイバーフォレンジックセンター

メールでのお問い合わせ
お問い合わせはこちら
東京証券取引所 プライバシーマーク ISMS JUSE

サポート情報

ホーム > サポート情報一覧 > 2015.06.24 年金機構への標的型攻撃に利用された「Emdivi」のResponder Proによる検知と解析

2015.06.24 年金機構への標的型攻撃に利用された「Emdivi」のResponder Proによる検知と解析

1. 標的型攻撃にはメモリ解析が重要

 あらゆるマルウェアはメモリ上に存在するため、物理メモリを解析することは標的型攻撃に対応するのに非常に有効な手法です。
 Responder Proは、マルウェアに感染したPCのメモリを解析するソフトウェアで、これを利用することでマルウェア本体のファイルやプロセスを特定し、不正な通信先を迅速に調査することが出来ます。

製品の詳細についてはこちらをご覧ください。

 標的型攻撃等に使用されるマルウェアは、PCの使用者はもちろん、専門官によるフォレンジック調査を行っても、発見されづらいようにカスタマイズされており、従来のフォレンジック解析手法だけではどのファイルがマルウェアの本体であるのか、通信先のサーバーはどこか、といったインシデント対応に必要な情報を見つけるのに時間がかかる場合がありました。

 また、マルウェア解析による動作の特定を行う場合にも、暗号化や難読化等により解析が妨害されるようなケースも多くなっています。
 本サポートページでは、日本年金機構への攻撃に使用されたとされているマルウェアファミリー「Emdivi」の検体からメモリイメージの解析を行い、不正通信先を短時間で特定する手法をご紹介します

2. DDNAスコアによる危険モジュールの特定

本解析を実施する上で、ネットワークから遮断した検証環境を用いて、コンピュータに「Emdivi」を実際に感染させます。その後、専用のメモリイメージ取得ツールを用いて、感染PCのメモリを入手します。
そのように作成したサンプルメモリを、Responder Proに読み込ませたのが以下の画面です。

Responderによる解析画面今回は、取得したサンプルをわかりやすく「Malware.exe」としてリネームしています。
 Responder Proには、「Digital DNA」という、メモリ上にロードされたすべてのモジュールのコードを解析し、危険度を点数評価する独自技術が搭載されています。
 上記図に見られるように、他のモジュールがマイナスの危険度点数である一方、「Emdivi」の危険度のみが突出しています
 PCの中には、大量の実行ファイルが存在しており、特別な操作をしていなくとも、数千の実行ファイルがメモリ上で動作しています。DDNAを利用することで、危険度の高いファイル・プロセスを絞り込むことが出来ます

3. Traitsによるマルウェアの機能の簡易解析

  Responder ProのDDNAは、単に危険度を点数化するだけでなく、危険度の根拠となる
「マルウェアがどういう動作をするか」という情報をTraitsという項目で表示します。Traitの状況上記は「Malware.exe(Emdivi)」をResponder Proが自動解析した結果です。

これらのTraitsによると、このバージョンのEmdiviは、httpを利用して外部に「POST」「GET」メソッドで通信を行い、攻撃者からの指令を受け取る機能を持っていることがわかります。また、ファイルのダウンロードを行い、それらを実行するといったバックドアに特有の機能も有していることが読み取れます

標的型攻撃で使用されるような高度なマルウェアは、単一で様々な機能を持ち、攻撃の大部分を完結できるようなものもありますが、今回の解析では、Emdiviは比較的シンプルなバックドアのようです。ダウンロードや実行機能があるため、侵入したのち、別のマルウェアや他の攻撃・侵入拡大ツールを容易に利用できるようになっていると考えられます。

 4. プロセスリストの解析

 Responder Proは、メモリ上の情報から動作しているプロセスの一覧を即座に作成します。
rpplist今回は、検体を利用した検証のため、いつEmdiviが動作し始めたかといった情報の解析は必要ありません。しかし、実際の調査では、どうやってマルウェアが端末に侵入し、いつから動作していたのかを調査するために、こういったプロセスリストの調査は欠かせないものです。

Responder Proは、プロセスの開始時刻をメモリ上から解析し、表示する機能を持っています。
 今回は、「2015/6/18 23:53:43」にMalware.exeを実行しました。プロセスリストを眺めてみても、その後新たなプロセスが立ち上げられた様子は確認されません。
 今回の環境では、Malware.exe(Emdivi)が何か新たな実行ファイルなどをインストールし、それを立ち上げるといった動きは見られませんでした。

 実際の攻撃では、マルウェアの子プロセスとして、cmd.exe 等が起動していることが多々あります。そういった場合には、攻撃者が外部から実際に遠隔操作を行って、組織内の情報収集を行っている可能性が高くなるため、尚一層の迅速な対応が必要になります。

 また、Responder Proでは、通常のプロセス一覧等には表示されない、隠しプロセスを取得して表示させることも可能です
 高度標的型攻撃等の場合には、rootkitと呼ばれる隠ぺいツールをインストールし、不正な動作をしているプロセスをシステムから隠ぺいする場合があります。今回のEmdiviの解析では、そういった動作は見られませんでした。

 しかしながら、実際の攻撃では複数のマルウェアがインストールされることも多々あります。メモリの取得と解析を行わなければ、不正なファイル・プロセスの発見が遅れる危険性もあるため、注意が必要です

5. 「Malware.exe (Emdivi)」の表層解析

 Responder Proでは、メモリ上に展開されたMalware.exeの表層解析も簡単に実施することが出来ます。
 下記は、「Malware.exe(Emdivi)」のコード内に含まれる文字列を抽出した画面です。文字列の解析結果マルウェアが持つ文字列としては、「www.microsoft.com」や、「www.yahoo.co.jp」といったドメイン名が含まれていました。

 しかしながら、外部の攻撃者が利用するC2サーバーと思われるようなドメイン名や、IPアドレス等の情報はここからは確認することが出来ません。

他の文字列の解析結果また、上記は、「Malware.exe(Emdivi)」が持つ別の文字列情報の抜粋です。


 複数の、Base64でエンコーディングされたと考えられる文字列が含まれていることが確認できます。
これらのBase64エンコーディングされた文字列は、Malware.exe(Emdivi)内に、多数存在しています。
 次に、Responder Proの逆アセンブル機能を利用し、これらの文字列がどのように利用されているかを確認してみます。Responderのキャンバス機能Malware.exeが独自に持つ複数の関数で、これらBase64エンコーディングされた文字列が引数として利用されていることがわかります。関数内で、これらの文字列がどのようにデコード・処理され、利用されるかを確認するためには、詳細に逆アセンブルコードを追う、もしくはIDA Proのような逆アセンブラ・デバッガーを利用して解析を行う必要があります。

 ただし、こういった解析には一般的に時間がかかるため、短時間での迅速なレスポンス・緊急対応を行う場合には実施が現実的ではない場合もあります
 そのため、今回はC2サーバーのアドレスを特定するために、別の手法を用いてみましょう。

6. メモリ上に展開されたURLの抽出

 Responder Proは、メモリ上のバイナリに対し検索を行い、ヒットした箇所がどのプロセスによって利用されているかを逆引きして表示する機能があります。
 今回は、httpによるC2サーバーとの通信を行う可能性が高いと、今までの解析から考えられるため、「http:」、「ttp:」、「tp:」や、「co.jp」,「com」などのキーワードで、メモリに対して全文検索を行い、「Malware.exe(Emdivi)」のプロセスメモリ内に、C2サーバーと考えられるURLが存在しないかを調査しました

jpドメインの検索結果すると、上記のように、「co.jp」のURL情報が「Malware.exe」のプロセスメモリ内でヒットしました。こちらのヒット箇所の全体を、メモリのコード上で確認してみます。

メモリ上で見つかった文字列メモリ上に、「http://www.s~~~~p.co.jp/images/index.php」(本URLは日本国内の企業が所有するWebサーバーを示しています。企業を特定できる部分については一部マスクを行っております)というURLと思われる文字列が確認されました。

当該ドメインの情報を調査したところ、各新聞社により報じられた、「日本年金機構から流出した情報が発見された東京都港区の海運企業」が有するドメインであることが確認されました。

「Malware.exe」のプロセスメモリ内に展開された文字列であること、日本年金機構の攻撃に使用された可能性が高いWebサーバーのURLであることを鑑みると、このhttp://www.s~~~~p.co.jp/images/index.phpが、今回解析したEmdiviを遠隔操作するためのC2サーバーのアドレスであることが推測出来ます。

今回は、スタンドアローン環境でマルウェアを動作させたため、実際に本URLに対しhttpリクエストが行われたことは確認されませんでした。しかし、「Malware.exe」のプロセスメモリの解析を実施することで、C2サーバーと考えられるURLを容易に確認することが出来ました。従来のマルウェア解析や、通信ログからの調査だけでは、特定に時間がかかるC2サーバーの調査も、メモリ解析を行うことで非常に短時間で特定できる場合があります。

実際に攻撃が発生した場合にも、このように攻撃者が利用している遠隔指令サーバーを迅速に解析し、攻撃者との通信を遮断する対応を行うことで、情報の流出や感染の拡大が起きる前に、事態を終息させることが出来ます。

高度標的型攻撃対策には、こういった、感染直後の調査・対応という視点は欠かせないものです。迅速な事後対応を行うことで、攻撃の影響を極小化し、被害から組織を守ることが可能になるのです。

 7. まとめ

 今回、日本年金機構へのサイバー攻撃に使用されたとされている、「Emdivi」ファミリーの解析を実施し、メモリ上に復号されたC2サーバーが特定されました。今回のサンプルが、日本年金機構への攻撃に使用されたマルウェアと完全に同一であるかは不明ですが、共通したC2サーバーを持ち、同じ攻撃者グループが作成した可能性が高いということがわかります。
 標的型攻撃に使用されるマルウェアは、従来のアンチウイルスソフトに用いられるシグネチャーによるパターンマッチングでは検出不可能なものが多く、また設定情報の暗号化等により、「どこから攻撃の指令が出て」「どこに情報が流出したのか」といった情報を特定することが困難である場合が多くなっています。

 今回使用したResponder Proなどの高度な解析ソフトにより、インシデント発生直後に解析を行うことで、素早く攻撃の発生元を特定し、情報流出が起こる前に攻撃をシャットアウトすることも可能になります。
 また、事後に「どういった情報が、どこに流出したのか」といったことを特定する上でも、このような調査解析が非常に重要になります。

 標的型攻撃を受けている可能性がある場合には、実被害の発生前に迅速な調査と対応が必須になります。
 弊社では、Responder Proをはじめとした各種攻撃調査ツールを用いて、専門の解析官が迅速に被害軽減・防止・復元を行うサービスを提供しております。

 サイバー攻撃・標的型攻撃に関して、少しでも不安がございましたら、サイバー攻撃緊急受付窓口まで、ご連絡下さい。 
  ・電話番号: 03-5421-7360
  ・メールアドレス: forensic@focus-s.com
  ・マルウェア感染インシデント解析サービス 紹介ページ