[cb22] SMARTIAN: Enhancing Smart Contract Fuzzing with Static and Dynamic Da...
[cb22] ブロックチェーンにC&Cサーバー情報を隠ぺいした攻撃者との直接対峙により得られたもの by 谷口 剛
1. CODE BLUE 2022
ブロックチェーンに C&C サーバ情報を
隠ぺいした攻撃者との直接対峙により
得られたもの
2022 年 10 月 27 日
株式会社富士通システム統合研究所
谷口剛
Copy right 2022 Fujitsu System Integration Laboratories Limited
1
2. DNS 悪用とブロックチェーン悪用
Copy right 2022 Fujitsu System Integration Laboratories Limited
C&C server
C&C server
DNS
server
Blockchain
DNS 悪用検知
脅威情報利活用, Passive DNS, Active
DNS, WHOIS 履歴, サブドメイン
CODE BLUE 2017 Day0
CODE BLUE 2018, 2020, 2021
ブロックチェーン悪用検知
Black Hat Asia 2021 Briefings
ASIACCS 2021
Christian Doerr 教授 (Hasso Plattner
Institute) との国際協業
2
3. 谷口剛 Tsuyoshi TANIGUCHI
⚫株式会社富士通システム統合研究所 研究員,博士 (情報科学)
⚫2008 年 3 月 北海道大学大学院情報科学研究科 博士号 (情報科学)
⚫2008 年 4 月 ~ 富士通株式会社
⚫2016 年 4 月 ~ 現職
⚫主な講演
⚫CODE BLUE 2017 Day0 特別トラック サイバー犯罪対策トラック
⚫CODE BLUE 2018, 2020, 2021
⚫Black Hat Asia 2021 Briefings , ACM ASIACCS 2021 (CORE2021: A ランク)
⚫ Christian Doerr 教授 (Hasso Plattner Institute) との国際協業の成果
Copy right 2022 Fujitsu System Integration Laboratories Limited
ACM & Tsuyoshi Taniguchi で検索
-> C&C サーバ IP アドレスのテーブル (Table 5)
-> VirusTotal で IP アドレスを検索すれば検体の検証可能
(本件に関係ない検体もあるのでご注意を)
3
22. 初期の仮説
⚫攻撃者が IP signal を変更した場合,ビットコイン循環の中で検知
可能なのでは?
Copy right 2022 Fujitsu System Integration Laboratories Limited
IP signal 1
Sender A Sender B
C&C
サーバ
IP signal 2
Sender X Sender Y
Collector
22
23. ビットコインの運用:Nov. 15 to 30, 2019
Copy right 2022 Fujitsu System Integration Laboratories Limited
1BkeG
1CeLg
1PFSS
Gephi: https://gephi.org/ 23
24. ビットコインの運用:Dec. 1 to 10, 2019
Copy right 2022 Fujitsu System Integration Laboratories Limited
1BkeG
1CeLg
• IP signal を 1BkeG か
ら 1CeLg に変更
• 1CeLg に通信した検体
も確認済み
24
27. 最終的なビットコイン運用
⚫Sender と Collector の機能を 1N94r に集約
⚫IP signal を 1CeLg から 1BkeG に戻す
Copy right 2022 Fujitsu System Integration Laboratories Limited
1N94r
1BkeG
19hi8
27
28. ブロックチェーン隠ぺいにおける設計ミス
Copy right 2022 Fujitsu System Integration Laboratories Limited
IP signal
Sender Our sender
誰でもどんな
IP アドレスで
も送信可能
C&C サーバ
IP アドレスを
隠ぺいして送金
送信側ビットコインアドレス
のチェック無し
28
29. テイクオーバ回避メカニズム
Copy right 2022 Fujitsu System Integration Laboratories Limited
IP signal
Sender
約 2 週間で実装完了
Our sender
攻撃者管理の Sender からの
送金トランザクションのみ読み込み
送金自体は可能だった
29
32. ビットコインアドレス変更による検知回避
Copy right 2022 Fujitsu System Integration Laboratories Limited
IP signal
Sender
IP signal
Refuge
2019 年 12 月に IP signal 変更
を検知済み
-> 技術的には可能なはず,だが
テイクオーバ回避後に実施なし
32
33. 2. 仮説検証の重要性
⚫仮説:IP signal 変更による検知回避
⚫検証:2019 年 12 月に変更したが,テイクオーバ後に IP signal
を変更しなかった
⚫気づき
⚫IP signal 変更: 技術的に可能,だが,マルウェア実装とビットコインアドレ
ス変更の同期には大きなコストが発生?
⚫検証プロセスにおいて,攻撃者側の課題を認識
⚫仮説検証のプロセス自体が重要
Copy right 2022 Fujitsu System Integration Laboratories Limited
33
35. C&C サーバ更新時間帯変更
Copy right 2022 Fujitsu System Integration Laboratories Limited
Aug. 2019 May 2020
Aug. 2020
Jan. 2021
Mar. 2020
昼 -> 夜 (UTC)
ビットコイン半減期の影響に
より手数料相場混乱・高騰
Metabase: https://www.metabase.com/
35