Program

/

CODE BLUE 2024

Time Table

BlackTechによるサブドメイン悪用は「進化」したのか?

DAY 2

9:00-9:40

2023年9月27日、警察庁及び内閣サイバーセキュリティセンター(NISC)は、米国家安全保障局(NSA)、米連邦捜査局(FBI)及び米国土安全保障省サイバーセキュリティ・インフラ庁(CISA)とともに合同でBlackTechに関する脅威への注意を喚起した。BlackTechは2017年頃から日本で攻撃を開始し、DbgPrint(別名WaterbearまたはDeuterbear)といったRATツールを進化させ続けている。BlackTechの攻撃に対抗するため、多くのセキュリティベンダーがこのAPTグループに関連するレポートを公開している。これらのレポートは、マルウェアの挙動に関する詳細を示しており非常に有用であったが、DNS悪用に関しては全く分析されていなかった。APTグループはDNSの挙動に痕跡を残すことが少ないため、セキュリティベンダーはDNS悪用に注意を払う必要がなかったのかもしれない。一方で、われわれは8つのAPTグループにおけるDNS悪用の比較研究を行い、2023年8月以降にDbgPrintに関連するBlackTechの攻撃で独自のサブドメイン悪用を確認した。この活動は興味深いものであったが、1つの疑問が浮かぶ。それは、BlackTechによるサブドメイン悪用が進化したのかということである。 一般的に、防御者がAPTグループの攻撃を検知することは困難である。BlackTechがRATツールを進化させ続ける一方で、このAPTグループはDNSの運用も戦略的に変更してきた。ここでわれわれは、BlackTechがDNSに関連する攻撃インフラの構築効率を優先していることに気付いた。防御者がBlackTechの不意を突くチャンスがあるかもしれない。実際、APTグループは常に気づかれないように万全を期しているわけではない。検出が困難なRATツールよりむしろ、セキュリティベンダーが注目していなかったDNS悪用を検知することの方が有効かもしれない。われわれは、時系列に沿った戦略の変化やAPTグループ間のDNS悪用の違いを詳細に分析し、試行錯誤の結果として脅威インテリジェンス、Passive DNS、WHOISに基づいた分析のノウハウを聴衆に提供する予定である。さらに、APTグループの戦略の変化と違いを検知するために、過去のCODE BLUEで発表した技術も紹介する。

  • Location :

    • Track 1(HALL B)

  • Category :

    • Technical

  • Share :

Speakers

  • 谷口 剛 の写真

    Tsuyoshi Taniguchi

    谷口 剛

    谷口 剛は、富士通ディフェンス&ナショナルセキュリティ株式会社に所属する研究員である。主に、ドメインネームシステム(DNS)に関連する悪意のある挙動の詳細な分析に基づいたネットワークセキュリティおよびサイバー脅威インテリジェンスを専門としている。CODE BLUE 2017 Day0 Special Track、CODE BLUE 2018、2020、2021、2022、Black Hat Asia 2021、ACM ASIACCS 2021でスピーカーを務めた経歴を持つ。富士通入社以前は、北海道大学大学院情報科学研究科にてコンピュータサイエンスの博士号を取得した。

  • 大杉 浩太郎 の写真

    Kotaro Ohsugi

    大杉 浩太郎

    大杉 浩太郎は、FDNSに在籍するセキュリティ研究者である。彼はセキュリティ・キャンプ 2017 の卒業生で、以前はEDR製品を用いたデジタルフォレンジックに従事していた。このようなバックグラウンドを元に、現在はソフトウェアリバースエンジニアリング、マルウェア解析、バイナリエクスプロイトの開発などに取り組んでいる。