嘘つきはセキュリティの始まり～偽装技術とセキュリティ～（NTTデータテクノロジーカンファレンス 2020 発表資料）

NTTデータテクノロジーカンファレンス 2020
© 2020 NTT DATA Corporation
嘘つきはセキュリティのはじまり～偽装技術とセキュリティ
2020年10月16日
（株）NTTデータシステム技術本部セキュリティ技術部 NTTDATA-CERT
宮本久仁男

2
Deception ～本日のお話の大きなテーマ
偽装（嘘つき）とセキュリティの関係
・嘘つきのセキュリティ応用例
・NTTデータ内部で運用している例
・運用でまさかのオオカミ少年～嘘ついたらたくさんのオオカミが！

© 2020 NTT DATA Corporation 3
本日の内容
1. 嘘つきのセキュリティ応用例
2. NTTデータでの応用例
3. 嘘ついたらたくさんのオオカミを呼び寄せた例
4. むすび

１．嘘つきのセキュリティ応用例

5
セキュリティ分野で嘘つきを連想させるもの
A) ハニーネット
B) ハニーポット
C) 〇〇 over ××
D) ソーシャルエンジニアリング

6
正解は・・・
A) ハニーネット：× （攻撃者の挙動を「外から」観察するしくみ）
B) ハニーポット：〇（攻撃者が好き放題やることを想定した、「本物のフリ」した観察箱）
C) 〇〇 over ××：△ （例：TCP over IP←普通／TCP over ICMP←不審）
D) ソーシャルエンジニアリング：△ （嘘を言わないことも多い）

7
唯一「〇」がついたハニーポット
 攻撃者を「騙す」ことで、攻撃者の行動を観察
 攻撃者を「騙す」、さまざまな技術がある
 疑似的にサービス提供を行うコンピュータを模倣する
 存在しないコンピュータを「あるように」みせかけ、繋がせる
 ニセのDNSを参照させ、ありえないコンピュータに接続させる
etc…

8
基本コンセプト＋考え方
 嘘つきはセキュリティの始まり
～騙すこと（Deception）を守りに応用
• 3way Handshake（TCP)／DNS（UDP）に着目
• 具体的には…
SYN+ACK（TCP）／DNSリクエストのレスポンス（UDP）
• 成功したら…
通信を邪魔できる（TCP）／その後の通信先を好きにできる（UDP）
 ハニーポットでも、ニセのDNSを使うことがある
• 基本親和性は悪くない

9
シンプルな基本構想
①Request
②Response
related to
Request①
①Request
②Response
related to
Request①
Detect Request to
Attacker
②’Decepted Response
Similar to ②
Victim
Victim
Attacker
Attacker
②’が②よりも先にVictimに届けば、
攻撃者からの ②は無効化される

10
DNS応答の偽装：シンプルで容易い (1/2)
IDフィールドはリクエストの識別と、
対応するレスポンスの識別に使われる
Reference: RFC6895 Domain Name System (DNS) IANA Considerations

11
DNS応答の偽装：シンプルで容易い(2/2)
References:
RFC768 User Datagram Protocol
RFC791 INTERNET PROTOCOL

12
TCP応答の偽装：シンプルで容易い
Reference: RFC793 TRANSMISSION CONTROL PROTOCOL

２．NTTデータ内部で運用している例
～DQBとShutdowner

14
DQB – DNSのレスポンスを偽装する
DNS
①
②
Block host list
(malicious FQDN
list)
②’
evil.example.com
192.168.0.1
evil.example.com
IN A 192.168.0.1
evil.example.com
IN A 172.16.0.1
172.16.0.1
③’
client
Landing Host(Safe Host)
Malicious Host
DQB
Sorry page
 DQBから飛んでくる偽装レスポンス②‘が、
clientを安全なホストに誘導する
 偽装レスポンスを返す時間：
0.055～0.117(msec)
 ハードウェアは普通のXeonサーバ

15
DQB – DNSのレスポンスを偽装する
DNS
①
②
Block host list
(malicious FQDN
list)
②’
evil.example.com
192.168.0.1
evil.example.com
IN A 192.168.0.1
evil.example.com
IN A 172.16.0.1
172.16.0.1
③’
client
Landing Host(Safe Host)
Malicious Host
DQB
Sorry page
 DQBから飛んでくる偽装レスポンス②‘が、
clientを安全なホストに誘導する
 偽装レスポンスを返す時間：
0.055～0.117(msec)
②’が②よりも先にclientに届けば、
本物の ②は無効化される

16
Shutdowner～TCPのSYN+ACKを偽装する
Proxy
Load Balancer
①
②Real
SYN+ACK
Block IP addresses
list
②’
Decepted SYN+ACK
③’
ACK
client
Shutdowner
SYN
④’
RST
③RST
 Shutdownerから飛んでくる偽装SYN+ACK②‘が、
clientのTCP接続を阻害する
 偽装SYN+ACKを返す時間：
0.019～0.023(msec)

17
Shutdowner～TCPのSYN+ACKを偽装する
Proxy
Load Balancer
①
②Real
SYN+ACK
Block IP addresses
list
②’
Decepted SYN+ACK
③’
ACK
client
Shutdowner
SYN
④’
RST
③RST
 Shutdownerから飛んでくる偽装SYN+ACK②‘が、
clientのTCP接続を阻害する
 偽装SYN+ACKを返す時間：
0.019～0.023(msec)
②’が②よりも先にclientに届けば、
本来の ②は無効化される

18
実環境でのDQBの性能例
Request packet
After 0.5msec, Response packet(Decepted packet by DQB)
After 7.2msec, Response packet(True packet by BIND)
DQBのほうが高速

19
質問です：DQBとShutdownerのようなものを見たことは？
A) ある？
B) ない？
C) わからない？

20
回答です：DQBとShutdownerのようなものを見たことは？
A) ある？
 見たことある人は、セキュリティ系のニュースやblogをこの8年以上読んでる
 それどころか、実際にこういう挙動のネット接続を使ったことがある
 それ以前に、何に似てるかわかってる
B) ない？
 わりと恵まれています
C) わからない？
 意識していないだけかも？

21
どこかで見たDQBとShutdownerのようなものの例
Figure From “Splinternet Behind the Great Firewall of China”
http://queue.acm.org/detail.cfm?id=2405036

22
どこかで見たDQBとShutdownerのようなものの例
Figure From “Splinternet Behind the Great Firewall of China”
http://queue.acm.org/detail.cfm?id=2405036
GFW
DQBとShutdownerは、まるで自家製GFWに見える…
（実際は、SYN+ACK返すなど、優れている面もある）

３．運用でまさかのオオカミ少年
～嘘ついたらたくさんのオオカミが！

24
2018年1月5日（金）に、当社でランサムウエア被害
https://www.nttdata.com/jp/ja/news/information/2018/012201/

25
ランサムウエア被害の結果
 多くのコンピュータがブルースクリーンに
 このランサムウエア、感染すると特定のホストに通信を試行
2018年1月6日（土）の某オフィス

26
特定のホストへの通信試行が相次いだ結果
 DQBががんばって偽装レスポンスを返す
 最大で1日50万アクセス以上
• 1秒平均6 – 7アクセス
0
200000
400000
600000
04 January
2018
05 January
2018
06 January
2018
07 January
2018
08 January
2018
09 January
2018
Access to DQB landing host
Access to DQB host
週末＆祝日
たくさんのオオカミ（ランサム感染
ホスト）が出現

27
ランサムウエア感染時のDQBの動作
通信試行するための名前解決→DQBが偽装レスポンスを送る
DNS
①
②
②’
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
a.b.c.d
www.iuqerfsodp9ifja
posdfjhgosurijfaewr
wergwea.com
evil.example.com
IN A a.b.c.d www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
IN A 10.x.x.x
10.x.x.x
③’
client
ランディングホスト
（安全）
DQB
Name resolution for killswitch access:
DNS request to resolve IP address of
キルスイッチ
へのアクセス
キルスイッチへの
アクセスログが
保存される

28
DQB がまるで誘蛾灯のように機能した
https://s3-ap-northeast-1.amazonaws.com/img.photo-ac/a5/a5675703880843c4384698d1ea5d0ea9_w.jpg

29
ランサムウエアのピンポン感染→アクセスの急増
1. 感染後、特定ホストへのアクセスが発生する
2. 複数の感染により、複数のアクセスが発生する
3. 感染後再感染（いわゆるピンポン感染）
→大量のオオカミ出現
…

30
ランサムウエア感染への対応
• 対応依頼するが、対応されないホストも一部存在
→DQBのログを使って、 MS17-010の
脆弱性を使ったエクスプロイトコードを送り込む
（強制ブルースクリーン化→当該ホストを停止させる）
10.x.x.x - - [18/Jan/2018:02:31:39 +0900] "GET /
HTTP/1.1" 200 670 "-" "-"
• 対応されないオオカミは自動対応ツールを内製して対処
既存の検証コードを改造して、未対応ホストを強制ブルースクリーン化
• 結構なりふりかまってないけど、事態収拾のために！

４．むすび

32
むすび
 偽装は攻撃だけでなく、防御にも検知にも有効に使えることがある
～やっぱ「嘘つきはセキュリティのはじまり」
 “DQB”や “Shutdowner”のようなツールは、通信プロトコルの
基本をわかっていれば、CやPythonなどを駆使して開発可能 
 防御や検知をできれば、対応のためのツールを自分らでも開発
できる（かも）
 敵を知り、己を知らば百戦危うからず（Know Your Enemy）
（孫氏）

33
むすび
 偽装は攻撃だけでなく、防御にも検知にも有効に使えることがある
～やっぱ「嘘つきはセキュリティのはじまり」
 “DQB”や “Shutdowner”のようなツールは、通信プロトコルの
基本をわかっていれば、CやPythonなどを駆使して開発可能 
 防御や検知をできれば、対応のためのツールを自分らでも開発
できる（かも）
 敵を知り、己を知らば百戦危うからず（Know Your Enemy）
（孫氏）
https://ja.wikipedia.org/wiki/孫子_(書物)

嘘つきはセキュリティの始まり～偽装技術とセキュリティ～（NTTデータテクノロジーカンファレンス 2020 発表資料）

Recommandé

Recommandé

Contenu connexe

Tendances

Tendances (20)

Similaire à 嘘つきはセキュリティの始まり～偽装技術とセキュリティ～（NTTデータテクノロジーカンファレンス 2020 発表資料）

Similaire à 嘘つきはセキュリティの始まり～偽装技術とセキュリティ～（NTTデータテクノロジーカンファレンス 2020 発表資料） (20)

Plus de NTT DATA Technology & Innovation

Plus de NTT DATA Technology & Innovation (20)

Dernier

Dernier (6)