[cb22] ブロックチェーンにC&Cサーバー情報を隠ぺいした攻撃者との直接対峙により得られたもの by 谷口剛

CODE BLUE 2022
ブロックチェーンに C&C サーバ情報を
隠ぺいした攻撃者との直接対峙により
得られたもの
2022 年 10 月 27 日
株式会社富士通システム統合研究所
谷口剛
Copy right 2022 Fujitsu System Integration Laboratories Limited
1

DNS 悪用とブロックチェーン悪用
C&C server
C&C server
DNS
server
Blockchain
DNS 悪用検知
脅威情報利活用, Passive DNS, Active
DNS, WHOIS 履歴, サブドメイン
CODE BLUE 2017 Day0
CODE BLUE 2018, 2020, 2021
ブロックチェーン悪用検知
Black Hat Asia 2021 Briefings
ASIACCS 2021
Christian Doerr 教授 (Hasso Plattner
Institute) との国際協業
2

谷口剛 Tsuyoshi TANIGUCHI
⚫株式会社富士通システム統合研究所研究員，博士 (情報科学)
⚫2008 年 3 月北海道大学大学院情報科学研究科博士号 (情報科学)
⚫2008 年 4 月～富士通株式会社
⚫2016 年 4 月～現職
⚫主な講演
⚫CODE BLUE 2017 Day0 特別トラックサイバー犯罪対策トラック
⚫CODE BLUE 2018, 2020, 2021
⚫Black Hat Asia 2021 Briefings , ACM ASIACCS 2021 (CORE2021: A ランク)
⚫ Christian Doerr 教授 (Hasso Plattner Institute) との国際協業の成果
ACM & Tsuyoshi Taniguchi で検索
-> C&C サーバ IP アドレスのテーブル (Table 5)
-> VirusTotal で IP アドレスを検索すれば検体の検証可能
(本件に関係ない検体もあるのでご注意を)
3

タイムライン
2019 2020 2021
10 11 12 1 2 3 4 5 6 7 8 9 10 11 12 1 2 3 4 5 6
WS
監視
開始
ビットコイン
アドレス
構成変更検知
協業提案
富士通単独
協業開始
HPI との国際協業
4

タイムライン
2019 2020 2021
10 11 12 1 2 3 4 5 6 7 8 9 10 11 12 1 2 3 4 5 6
WS
監視
開始
ビットコイン
アドレス
構成変更検知
協業提案協業開始
富士通単独 HPI との国際協業
テイクオーバ
C&C 通信の直接誘導
に成功
回避メカニズム実装
約 2 週間の素早い対応
5

タイムライン
2019 2020 2021
10 11 12 1 2 3 4 5 6 7 8 9 10 11 12 1 2 3 4 5 6
WS
監視
開始
ビットコイン
アドレス
構成変更検知
テイクオーバ回避メカニズム実装
攻撃インフラ放棄
Black Hat
Asia 2021
ASIACCS
2021
6

本講演の内容
2019 2020 2021
10 11 12 1 2 3 4 5 6 7 8 9 10 11 12 1 2 3 4 5 6
WS
監視
開始
ビットコイン
アドレス
構成変更検知
テイクオーバを成功に導くために必要不可欠だった (事前) 分析におけるエッセンス
For CODE BLUE
2022
7

ブロックチェーンに C&C サーバ情報を隠ぺい
した攻撃者との直接対峙により得られたもの
1.
2.
3.
4.
5.
6.
8

システムの全体像と役割分担
Defender
ビットコイン
ブロックチェーン
シンクホール
サーバ
C&C サーバ
マルウェア
(Pony)
フィッシング
詐欺グループ
HPI: マルウェア分析
シンクホールサーバ
運用
富士通：
ビットコイン運用分析
監視システム
9

1. 倫理的な配慮
2.
3.
4.
5.
6.
10

C&C サーバ情報のブロックチェーン隠ぺい方法
C&C server
142.93.0.206
特定のビットコインアドレスに関連した
直近 2 トランザクションに隠ぺい
11

テイクオーバの原理 -> 2020/8/14 に成功
⚫シンクホールサーバの IP アドレスを潜ませたビットコインを攻撃
者が運用しているビットコインアドレスに送金
C&C
サーバ
Ours
Ours
シンクホールサーバ
12

1. 倫理的な配慮：窃取ファイル
シンクホール
サーバ
C&C サーバ
⚫窃取ファイルをダウンロードすることはあってはならない
窃取
ファイル
13

DLL ダウンロード
シンクホール
サーバ
C&C サーバ
14

自己防御装置により自滅
シンクホール
サーバ
C&C サーバ
⚫テイクオーバによってマルウェアを駆除
15

⚫サイバーセキュリティにおいて倫理的に配慮すべきこと
⚫IP アドレスが悪用されているプロバイダへの通報
⚫脆弱性があるソフトウェアのベンダーへの通知
⚫今回のケース：感染端末から窃取されたファイルへの配慮
⚫窃取ファイルをダウンロードしてしまうと，被害者から見て犯罪者と同族
⚫テイクオーバ設計後，実施まで多くの時間と配慮を要する
⚫C&C サーバ通信妨害とマルウェア駆除を同時に実現
⚫自分たちの身を守るためにも絶対に見落とせない点であった
16

2. 仮説検証の重要性
3.
4.
5.
6.
17

国際協業のハイライトから監視初期段階に戻る
2019 2020 2021
10 11 12 1 2 3 4 5 6 7 8 9 10 11 12 1 2 3 4 5 6
WS
監視
開始
ビットコイン
アドレス
構成変更検知
18

⚫サイバーセキュリティにおける仮説検証
⚫組織ネットワークの脆弱な部分を推測し，関連ツールで検証
⚫ツールの脆弱性を推測し，検証
⚫今回のケースにおける仮説検証
⚫テイクオーバ回避行動
⚫仮説：攻撃者はテイクオーバを認識した際に，回避しようとする
⚫検証：
19

初期のビットコイン運用
⚫3 種類の役割のビットコインアドレス
⚫Sender: 取引所経由の使い捨てアドレス
⚫IP signal: 攻撃者自身が作成した固定アドレス
⚫Collector
Collector
Sender
IP signal
Sender
Sender
⋮
Sender
IP signal
20

攻撃に使用されたビットコインアドレス
⚫IP signal
⚫1BkeGqpo8M5KNVYXW3obmQt1R58zXAqLBQ: 1BkeG と表記
⚫1CeLgFDu917tgtunhJZ6BA2YdR559Boy9Y: 1CeLg と表記
⚫Collector
⚫1PFSS4kdTxvVhrti4fM3jK9FLhUt5zZf6i: 1PFSS と表記
⚫ブロックチェーンのトランザクションはオープンデータなので，
1BkeG, 1CeLg と 1PFSS に関連した全てのトランザクションは検
証可能
⚫ASIACCS 論文の Table1
21

初期の仮説
⚫攻撃者が IP signal を変更した場合，ビットコイン循環の中で検知
可能なのでは？
IP signal 1
Sender A Sender B
C&C
サーバ
IP signal 2
Sender X Sender Y
Collector
22

ビットコインの運用：Nov. 15 to 30, 2019
1BkeG
1CeLg
1PFSS
Gephi: https://gephi.org/ 23

ビットコインの運用：Dec. 1 to 10, 2019
1BkeG
1CeLg
• IP signal を 1BkeG か
ら 1CeLg に変更
• 1CeLg に通信した検体
も確認済み
24

ビットコインの運用：Dec. 10 to 12, 2019
1BkeG
1CeLg
1N94r
1PFSS
19hi8
1BkeG と 1CeLg のビットコインを 1PFSS に回収
-> 1PFSS から 1N94r に移動
-> 1N94r から 1BkeG と 19hi8 に送金
25

新たに追加されたビットコインアドレス
⚫IP signal
⚫19hi8BJ7HxKK45aLVdMbzE6oTSW5mGYC82: 19hi8 と表記
⚫Collector
⚫1N94rYBBCZSnLoK56omRkAPRFrpr5t8C1y: 1N94r と表記
26

最終的なビットコイン運用
⚫Sender と Collector の機能を 1N94r に集約
⚫IP signal を 1CeLg から 1BkeG に戻す
1N94r
1BkeG
19hi8
27

ブロックチェーン隠ぺいにおける設計ミス
IP signal
Sender Our sender
誰でもどんな
IP アドレスで
も送信可能
C&C サーバ
IP アドレスを
隠ぺいして送金
送信側ビットコインアドレス
のチェック無し
28

テイクオーバ回避メカニズム
IP signal
Sender
約 2 週間で実装完了
Our sender
攻撃者管理の Sender からの
送金トランザクションのみ読み込み
送金自体は可能だった
29

テイクオーバ回避メカニズム
⚫ https://blockchain.info/rawaddr/1BkeGqpo8M5KNVYXW3obmQt1
R58zXAqLBQ -> 1N94rYBBCZSnLoK56omRkAPRFrpr5t8C1y
1BkeG
1N94r
1BkeG
1N94r
1BkeG
1BkeG
Our sender
Our sender
1BkeG
1N94r
30

テイクオーバ回避メカニズムへの対抗
⚫シンクホールサーバの IP アドレスを潜ませたビットコインを
1N94r に送金
1BkeG
1N94r
1BkeG
1N94r
Our sender
Our sender
1N94r
1N94r
1N94r
31

ビットコインアドレス変更による検知回避
IP signal
Sender
IP signal
Refuge
2019 年 12 月に IP signal 変更
を検知済み
-> 技術的には可能なはず，だが
テイクオーバ回避後に実施なし
32

⚫仮説：IP signal 変更による検知回避
⚫検証：2019 年 12 月に変更したが，テイクオーバ後に IP signal
を変更しなかった
⚫気づき
⚫IP signal 変更: 技術的に可能，だが，マルウェア実装とビットコインアドレ
ス変更の同期には大きなコストが発生？
⚫検証プロセスにおいて，攻撃者側の課題を認識
⚫仮説検証のプロセス自体が重要
33

3. サイバー攻撃と世界的なイベントとの関連の意識
4.
5.
6.
34

C&C サーバ更新時間帯変更
Aug. 2019 May 2020
Aug. 2020
Jan. 2021
Mar. 2020
昼 -> 夜 (UTC)
ビットコイン半減期の影響に
より手数料相場混乱・高騰
Metabase: https://www.metabase.com/
35

⚫C&C サーバ更新時間帯 (ビットコイン取引時間帯， 2020 年 5 月)
⚫昼 -> 深夜 (UTC)
⚫様々な観点からデータを深堀し，取引手数料の高騰に気づく
⚫取引手数料について調査
⚫ビットコイン半減期について認識
⚫2020 年 5 月 11 日 (UTC) に 63 万ブロック
⚫取引手数料は取引量が減る深夜に低い傾向
⚫歴史的なイベントなど含め，目の前の攻撃から視野を広げることが
重要
36

4. 攻撃手法の進化の裏にある攻撃者の意図
5.
6.
37

4.攻撃手法の進化の裏にある攻撃者の意図
⚫攻撃手法の進化の裏に…
⚫手法を改良したい
⚫不具合に対処しなければならない
⚫取引時間帯変更 (2020 年 5 月)
⚫ビットコイン半減期の影響による手数料抑制
⚫取引ブロック戦略変更 (2020 年 7 月)
⚫Black Hat Asia 2021 の 2 番目のケーススタディで詳細を紹介済み
⚫2 つのトランザクションの順番の制御方法の模索
38

5. 攻撃者も運用ミス
6.
39

ビットコイン誤送金
⚫3 つは 2019 年 12 月のビットコイン構成変更時 (テスト送金?)
⚫他 3 つは誤送金
1BkeG
Date Bitcoin IP Octet
5:33:19, Dec. 11, 2019 31,683 195.123
8:39:45, Jul. 24, 2020 10,818 66.42
19hi8
5:22:28, Dec. 11, 2019 31,683 195.123
9:39:13, Apr. 22, 2020 15,573 213.60
3:11:43, Jul. 22, 2020 27,052 172.105
1CeLg
12:9:19, Dec. 10, 2019 19,508 52.76
テスト？
テスト？
テスト？
40

ビットコイン誤送金
2020/7/24 5:46 31,366 satoshi -> 134.122
2020/7/24 5:55 64,792 satoshi -> 24.253
2020/7/24 8:39 10,818 satoshi -> 66.42
2020/7/24 8:58 31,366 satoshi -> 134.122
2020/7/24 9:02 64,792 satoshi -> 24.253
134.122.24.253
-> 検体あり
66.42.134.122
-> 検体なし
⚫攻撃者側：影響なし
⚫送り間違えたらすぐに正しい 2 つのトランザクションを再送金すればよい
⚫防御側：影響大
⚫過去に遡って分析する際に誤送金トランザクションはどのトランザクションと
もペアにならない
41

6. 可能な限り長期間データ収集
42

⚫C&C サーバ IP アドレス更新：約 200 回，2019 年 9 月～ 2020
年 8 月
⚫本研究におけるデータ収集：2019 年 9 月～ 2021 年 1 月
⚫データ収集の仕組みの設計
⚫ブロックチェーン API のトランザクション数制限への対処
⚫Ex. 1 回 50 トランザクション等
⚫誤送金トランザクションへの対処
43

44

IP signal
Sender
100 万 Satoshi 10 万 Satoshi
Sender
87 万 Satoshi
Fee
3 万 Satoshi -> 6 万 Satoshi
ビットコイン半減期の影響
による手数料高騰
3 万 Satoshi: 約 3 ドル (2020 年 8 月, 1BTC = 10,000 ドルとする)
-> 約 18 ドル (2021 年 3 月, 1BTC = 60,000 ドルとする)
ビットコイン価値高騰
-> 攻撃インフラ放棄
97 万 Satoshi
45

Thank you

[cb22] ブロックチェーンにC&Cサーバー情報を隠ぺいした攻撃者との直接対峙により得られたもの by 谷口剛

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to [cb22] ブロックチェーンにC&Cサーバー情報を隠ぺいした攻撃者との直接対峙により得られたもの by 谷口剛

Similar to [cb22] ブロックチェーンにC&Cサーバー情報を隠ぺいした攻撃者との直接対峙により得られたもの by 谷口剛 (20)

More from CODE BLUE

More from CODE BLUE (20)