[cb16]...

Copyright© 2016 SecureBrain Corporation, All rights reserved. Copyright© 2016 SecureBrain Corporation, All rights reserved.

「ネットバンキングウイルス無力化作戦」の裏側と高度化する金融マルウェア 2016.10.20 - 21

CODE BLUE 2016株式会社セキュアブレイン高田一樹

http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved.

自己紹介• 名　前　高田一樹• 所　属　株式会社セキュアブレイン• お仕事　ソフトウェアエンジニア

ソフトウェア開発が本業開発の傍らリサーチ　 ( 最近逆転気味 )

2


背景

3


Question

4

この数字は？

3073000000


Answer

5

2015 年中のインターネットバンキングに関わる不正送金の被害額

\3,073,000,000

https://www.npa.go.jp/cyber/pdf/H280303_banking.pdf


日本における不正送金被害額

6

2013 年 2014 年 2015 年

29 億 1000 万円30 億 7300 万円

14 億 600 万円



IPA 情報セキュリティ 10 大脅威 2016

• 総合的な 10 大脅威の第 1 位に

7


ネットバンキングウィルス無力化作戦の概要

8


ネットバンキングウィルス無力化作戦

9http://www.keishicho.metro.tokyo.jp/haiteku/haiteku/haiteku504.htm


ネットバンキングウィルス無力化作戦

10

感染 PC

C&C サーバ警視庁

無力化情報を配布

金融機関正規サーバ安全に利用可能


標的は、『 VAWTRAK 』

11https://www.flickr.com/photos/arenamontanus/2125942630

※ 別名 Neverquest, Snifula など


VAWTRAK

12


What’s VAWTRAK ?

• 2014 年に、日本で流行• MITB 攻撃で、通信内容を改ざんする

– IE, Firefox, Chrome 等のブラウザに Injection して動作する• オンラインバンキングでの取引において

– ログイン情報・認証情報の詐取– 半自動不正送金を行う

13


MITB 攻撃とは

14

MITB

Man In The Browser

ブラウザVAWTRAK

感染 PC

Injection サイト改ざん偽画面の表示… etc

Webサーバ


何が起きているのか？

15

VAWTRAK

ユーザ PC

レジストリ感染

コンフィグ情報

C&Cサーバマニピュレーションサーバ金融機関正規サーバ



16

VAWTRAK

ユーザ PC

<html><head>

<title>Internet Banking</title>

コンテンツのリクエスト

Injection<script src=“….”>

正規コンテンツ




17

VAWTRAK

ユーザ PC 不正 JavaScript のリクエスト不正 JavaScript の本体を取得・実行

<html><head>

<title>Internet Banking</title><script src=“….”>




18

VAWTRAK

ユーザ PC

暗証番号の入力

送信

ユーザ情報の送信

*******



無力化作戦

19

http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. 20

協力するきっかけ


半自動不正送金

21

ABCダイレクト　メインメニュー

　 Copyright ABC Bank Co.,Ltd All Right Reserved

　　お客様番号

　　ワンタイムパスワード

プログレスバーでユーザ操作を抑止する間に感染 PC 自身から振り込みの手続きが行われる


リクエストフロー

22

感染 PC

ログイン操作銀行サーバマニピュレーションサーバ

ログイン情報

ログイン処理ログイン画面

アカウント情報画面残高情報を盗聴残高情報

送金先情報 & 送金額

送金手続き処理

プログレスバー

必要に応じてOTP 等の入力画面を表示

http://www.slideshare.net/MasataNishida/avtokyo2014-obsevation-of-vawtrakja


不正 JavaScript と同じリクエストを送ると…

23

送金先口座情報

送金額 ( 上限 / 下限 )


警視庁との情報連携• マニピュレーションサーバとの通信実験で得られた送金先口座情報を警視庁に情報提供• 不正利用されている口座を閉塞し、不正送金を未然に防ぐ

24

警視庁と相互協力協定を結ぶ


警視庁との連携• 警視庁では、 C&C サーバのドメインを入手• ドメインは、正規の手続きで入手• 入手したドメインを利用し、 VAWTRAK の通信を監視• 世界で 8 万 2000 台、うち国内では 4 万 4000 台の感染端末を特定

25

ドメインを利用し、 VAWTRAK に対し無力化情報を送信するサーバ構築を検討


技術概要

26

感染 PC

C&C サーバ警視庁

無力化情報を配布

金融機関正規サーバ安全に利用可能

無力化情報を生成するツールの提供ドメインを入手し管理下に


技術分担警視庁• C&C サーバを管理下に置き、コンフィグ情報を配信する環境を構築・運用• 評価セキュアブレイン• 解読技術を用いて、コマンドおよびコンフィグ情報を生成するためのツールを開発する• 無力化すると考えられるコンフィグ情報の解明

27


無力化技術の開発

28


無力化に利用可能な VAWTRAK(BOT) の特徴

29

C&C サーバ

感染 PC

1分毎に C&Cサーバに Polling

有効なコマンドを返却すると他の C&C サーバへは通信に行かない


コマンド20種類のコマンドを特定• コンフィグ情報指定• ファイルのダウンロードと実行• システムの終了• Cookie の窃取• 証明書ストアの窃取• Socks サーバ起動 , 終了• VNC サーバ起動 , 終了• 検体の Update• レジストリの操作 ...etc

30



31

マニピュレーションサーバへ接続するための書き換え情報

解読したコンフィグ情報攻撃対象 URL

挿入するコード


コンフィグの構成要素

32

名称意味inject type インジェクションの種別browser 対象ブラウザpattern match URL のパターンマッチ種別URL 対象 URLstring2 条件文字列string3 置換文字列string4 挿入する文字列


inject type

18種類の種別を特定• 通信終了• スクリーンキャプチャ• 前に挿入• 後ろに挿入• URL置換• ホスト置換• 文字置換 ...etc

33


browser / pattern

ブラウザInternet Explorer

Firefox

Chrome

34

browser

種別意味strstr strstr 関数strcmp strcmp 関数regexp 正規表現

pattern


もう一度、コンフィグ情報を見返してみる



36

種別意味inject type insert before

browser IE, Firefox, chrome

URL 対象 URL( 正規表現 )string2 条件文字列string3 -

string4 挿入される JavaScript



37

種別意味inject type replace URL

browser IE, Firefox, chrome

URL 対象 URLstring2 条件文字列string3 置換 URLstring4 -


コマンド & コンフィグ生成ツール• 動作確認環境

– Linux系 OS– Python 2.7.x

• コマンド情報、コンフィグ情報を入力として VAWTRAKが認識可能なバイナリ形式のデータを出力する• 出力データを C&C サーバに設定し、 VAWTRAK に読み込ませることでコマンド、コンフィグを書き換えることが可能

38


コンフィグ生成フロー

39

Encryption process (XOR)

Raw configure data (JSON format)

CRC32 from raw configure data

Compression process (aPLib)

Encrypted configure data (Binary)


デモ• Control of VAWTRAK

40


実験サンドボックス環境

41

DummyC&C Server

Mac OSX

VM Ware

Victim PC

Internet

Host machine Mac OSX 10.10

Dummy C&C Ruby 2.0 + Sinatra

Victim PC Various Windows(After XP)

Browser Internet ExplorerChromeFirefox


無力化データの正体

42


無力化作戦の効果

43



考察• 2013 年中頃から拡大傾向であった VAWTRAK による被害が無力化作戦以降、減少。• 警察等の行政機関が主導でテイクダウンをすることで、技術的有効性に加えて、攻撃者の心理的ハードルが上がると考えられる。• ドメインを予め入手する必要があるなどの問題点がある

44


高度化する金融マルウェア

45


2016 年に不正送金に多く用いられているマルウェア

46

ROVNIX

URLZONE

VAWTRAK (New)

URSNIF

別名 Cidox など

別名 Gozi など

別名 Shiotob, Beblohbd など

別名 Neverquest ,Snifula など

http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. http://www.securebrain.co.jpCopyright© 2016 SecureBrain Corporation, All rights reserved. 47=不正 JavaScript

ROVNIX

target 30

Group A Group B=不正 JavaScript

URLZONEVAWTRAK(New)

target 30


MITB 攻撃の基本的な方法は変わらない


何が変化しているのか ?


ポイント• C&C サーバとの通信改ざん防止

– 対称鍵暗号 (Serpent) で使用する共通鍵を非対称鍵暗号 (RSA-2048) で暗号化している

– ROVNIX では、通信内容を署名 (RSA-2048) している• 頻繁なマルウェア本体のアップデート

– パターンマッチングでの検出がより困難– 最新のブラウザにも Injection が可能

• 様々な通信方式の採用– コンフィグ情報の通信に HTTP 、 UDP P2P の 2つを利用している

• 不正 JavaScript の高機能化50


不正 JavaScript の高機能化 (1)

51


リクエストフロー

52

感染 PC

ログイン操作銀行サーバマニピュレーションサーバ

ログイン情報

ログイン処理ログイン画面

送金手続き処理

決済情報の要求

セキュリティソフト導入の偽画面

決済情報必要に応じてOTP 等の入力画面を表示


考察

53

通信内容の改ざん防止通信経路の多重化秘匿すべき情報はサーバで処理

攻撃活動を維持するためのセキュリティ強化


まとめ

54


まとめ• 警察が主導でテイクダウンを行った事の意義は非常に大きい• 攻撃者が攻撃方法を切り替える速度は非常に迅速であり、常に次の対策を用意しておく必要がある• 高度化する金融マルウェアに無力化作戦をそのまま適用するのは難しいと考えられる

55


効率的なテイクダウンは。。。

56

https://www.flickr.com/photos/hackaday/4658391708


政府、警察、司法、企業が連携することが不可欠

[cb16]...

Technology