「レッドチーム」が新たなトリックを仕掛ける？怖がらないで、あなたの釣りの腕を台無しにする方法をお教えします！

セキュリティ保護技術の向上とセキュリティ機器の攻撃行動検出能力の向上により、従来のWEB攻撃手法では防御ラインを効果的に突破することがますます困難になってきています。そのため、フィッシング攻撃はレッドチームの活動において徐々に注目されるようになりました。従来の攻撃方法と比較すると、フィッシング攻撃は成功率が高く、より優れた攻撃効果を達成できる場合が多くあります。これは、フィッシング攻撃が技術的な脆弱性に直接依存するのではなく、心理的および行動的傾向を利用してターゲットを欺くためです。たとえば、フィッシング攻撃は、正当な組織を装った偽の電子メールを送信し、被害者を騙して機密情報を提供させたり、悪意のあるリンクをクリックさせたりすることで実行されます。攻撃者は、正当な Web サイトのように見える偽の Web サイトを作成し、ユーザーを騙して機密データを入力させることもあります。さらに、攻撃者は電話、ソーシャル メディア、インスタント メッセージングを通じて自分の身元を偽装し、被害者を騙して機密情報を漏らさせたり、悪意のある行為を実行させたりする可能性があります。さらに標的を絞ったのが「スピアフィッシング」で、攻撃者はフィッシングの内容を被害者の状況に合わせてカスタマイズし、説得力を高めます。

1. 対象グループ情報の収集

フィッシング攻撃を実行する前に、攻撃が検出されないように事前に情報を十分に収集して統合することが重要です。これには、採用情報、入札記録、法的紛争、サプライチェーン情報、従業員のコミュニケーション情報、ソーシャルメディアアカウント、ドメイン名情報、さらには企業の内部組織構造や上級役員の名前など、対象企業のさまざまな側面に関する情報の収集が含まれます。

フィッシング攻撃の場合、理想的なシナリオは、情報収集段階で会社の従業員または管理者の電子メールのログイン資格情報を取得することです。また、特定の Web サーバーの権限を取得できる場合は、その構成ファイルからメールボックス関連の情報を見つけることも有効な方法です。さらに、特にシステムにワークフロー機能や電子メール交換機能がある場合、オフィス システムの権限やログイン資格情報を取得すると、攻撃者に正当な ID が提供され、より秘密裏に攻撃を実行できるようになります。

これらの手順を実行するときは、注意を引かないように慎重に行うようにしてください。情報収集はフィッシング攻撃を成功させるための基礎となるため、この段階での注意が重要です。

従来の収集チャネルは、AiQiCha、git、脅威インテリジェンス、Yuque などに限定されません。

図1 ハンターメールボックス収集プラットフォーム図

フィッシング攻撃の種類

フィッシング攻撃の戦略は、主に次の方法に簡略化できます。

ソーシャル フィッシング: この手法は、DingTalk、QQ、WeChat などのソーシャル プラットフォーム上の企業の存在など、ターゲットがインターネット上で連絡先情報を漏洩していることが判明した場合の情報収集フェーズで適用できます。攻撃者は、会社の DingTalk や QQ グループ、従業員の携帯電話番号などの情報を使用したり、携帯電話番号を通じてソーシャル アカウントの友人関係を入手して詐欺を働いたりする可能性があります。ソーシャル プラットフォームでのフィッシング攻撃では、通常、ウイルス リンクや偽のメッセージを送信してマルウェアをダウンロードさせ、ユーザーの機密情報を盗みます。

電子メールフィッシング: 情報収集段階でターゲットの採用、法的紛争、入札などの情報を入手した場合、攻撃者は電子メールフィッシング攻撃を試みることができます。この方法は、ターゲットがインターネット上に情報を公開している場合に有効です。電子メールフィッシングは現在最も一般的な攻撃方法の 1 つです。攻撃者は、銀行、通信会社、政府機関などを装ったなりすましメールを送信し、機密情報を入手したり、マルウェアを配信したりする可能性があります。

ウェブサイト詐欺: この手法では、電子メール、ソーシャル メディア、その他のチャネルを使用して、ユーザーを友好的かつ魅力的な方法でリンクをクリックするように誘導し、ターゲットを正規のサイトに偽装した場所に誘導して、ユーザーのアカウントとパスワードを取得します。

パッシブフィッシング: この手法では、GitHub コード リポジトリ、Python ライブラリ、その他の公開ドキュメントなどの公開情報に虚偽の情報を流布し、対象ユーザーを混乱させてダウンロード、インストール、または実行させます。パッシブ フィッシングは、大規模な攻撃および防御訓練や APT 攻撃などの状況に適しています。

フィッシング攻撃はさらに次の種類に分類できます。

スピアフィッシング攻撃: スピアフィッシング攻撃は主に特定の個人をターゲットとし、攻撃者は特定の攻撃戦略を策定します。広範囲に網を張る場合とは異なり、大規模なフィッシング攻撃を検出する可能性が高くなります。実際の運用では、レッドチームは通常、運用担当者や保守担当者などの特定のグループに重点を置きます。これらの担当者は通常、システム台帳を管理しており、そこには重要なビジネス システムに関する情報が含まれていることがよくあります。一度成功すると、攻撃者にイントラネットに侵入するための重要な経路を与えることになります。

水飲み場型攻撃: 水飲み場型攻撃は、ターゲットが通過しなければならない経路に罠を仕掛け、ターゲットが罠を発動するのを待ちます。ターゲットがトラップをトリガーすると、攻撃者はターゲット ホストにマルウェアを埋め込みました。この方法は通常、組織内のビジネス システムの脆弱性や権限を悪用し、悪意のあるコードを配置します。通常のユーザーがシステムにアクセスすると、悪意のあるコードがトリガーされ、ターゲット ホストの権限が取得されます。

ホエールフィッシング攻撃: ホエールフィッシング攻撃は主に企業の上級幹部をターゲットにしています。これらの人員は、一般の従業員のようにサイバーセキュリティ意識向上のトレーニングを受けていないことが多く、フィッシング攻撃に対する意識が低く、攻撃に対して脆弱です。上級管理職への攻撃が成功すると、攻撃者はより価値が高く、より大きな損害をもたらす情報を入手します。

図2 フィッシングファイルプロセスの概略図

3. スクリプト、フィッシングサイト、餌を準備する

1. 会話力

フィッシング攻撃の成功は、フィッシングプロセス全体において重要な役割を果たす、慎重に構築されたレトリックに大きく依存します。フィッシングの戦術が異なれば、ターゲットも異なり、攻撃効果も異なります。フィッシング攻撃を計画する前に、ターゲットについて深く理解することが重要です。これには、対象企業の従業員の連絡先情報を入手し、その従業員が社内にいるかどうかを確認することが含まれます。ターゲットが社内で管理職に就いているかどうか、オフィス機器が社内ネットワークに接続されているかどうか、社内でのターゲットの役職や機器にウイルス対策ソフトがインストールされているかどうか、具体的なウイルス対策ソフトの種類などを把握するなど、ターゲットの役職や部署について正確な判断を下します。

2. 魚の餌のアクセサリーは殺生剤を使用していません

フィッシング攻撃では、克服すべき課題の 1 つとして、常にウイルス対策ソフトウェアをどうやって破るかが挙げられます。個人用のウイルス対策ソフトウェアがコンピューターに広くインストールされ、サンドボックスやエンタープライズ レベルの EDR を使用する企業では、未処理のトロイの木馬プログラムを効果的に展開または実行することが困難です。これらの保護対策を回避するために、ターゲットのサンドボックス検査とウイルス対策ソフトウェアの検出を回避することを目的としたカスタマイズされたアンチキリングトロイの木馬が誕生しました。理想的には、情報を収集したり被害者と通信したりする際に、ターゲットがウイルス対策ソフトウェアを装備しているかどうか、また使用されているウイルス対策ソフトウェアの種類を調べて、対応するウイルス対策トロイの木馬のサンプルを作成できるようになります。ターゲットにウイルス対策ソフトをオフにさせるのは簡単な方法ですが、攻撃者がターゲットのウイルス対策ソフトの状態を知ることは通常困難であり、すべての操作はブラックボックス状態で実行されるのが現実です。フィッシング攻撃の成功率を確実にするには、より多くの種類のウイルス対策ソフトウェアを回避できる強力なアンチキリング ツールを作成するしかありません。

ウイルス対策トロイの木馬を作成する場合は、ウイルス対策ソフトウェアの仕組みを深く理解している必要があります。一般的に、ウイルス対策ソフトウェアでは、静的分析と動的分析という 2 つの方法が使用されます。静的分析では、ウイルス対策ソフトウェアはファイルのバイナリ コードを調べ、特定のパターンと命令シーケンスをスキャンして、既知の悪意のある署名やコンピューター ウイルスの検索、ファイルに悪意のある特性があるかどうかの判断など、潜在的な悪意のある動作を識別します。静的ウイルス対策とは、攻撃者がトリックを使用して、静的分析によってウイルス対策ソフトウェアによってマルウェアが検出されないようにすることを意味します。方法には、ファイル形式の変更、パッカーやコード難読化ツールの使用、悪意のあるコードの隠蔽などがあります。動的分析は、実行時のプログラムの動作を監視し、システムコール、ネットワークトラフィック、ファイル操作、その他のアクティビティを観察します。これにより、ウイルス対策ソフトウェアは、コードの難読化、暗号化、またはその他の手法を使用してマスクされた悪意のある動作を識別できるようになります。動的アンチキリングとは、攻撃者がトリックを使用して、動的分析によってマルウェアがウイルス対策ソフトウェアによって検出されないようにすることを意味します。ウイルス対策ソフトウェアの分析機能を回避するための手法としては、仮想化技術、プロセスインジェクション、コード難読化、アンチデバッグ技術、アンチサンドボックス技術、悪意のあるコードの動的生成などが挙げられます。一般的なアンチキリング方法には、アンチキリング ローダー、分離アンチキリング、シェル アンチキリング、およびキリングを回避するための機能の変更などがあります。

3. カモフラージュ用の魚餌アクセサリー

偽装とは、さまざまな手段を使ってフィッシング サンプルの外観を偽装し、実際の内容とは異なる外観特性を持たせることを指します。たとえば、実行可能ファイルを PDF ファイルのように見せかけたり、トロイの木馬の実行可能ファイルを .ico アイコンに置き換えて正式な実行可能ファイルのように見せかけたりすることがあります。情報収集段階では、被害者が所属する組織の公式ウェブサイトのアイコンが収集され、トロイの木馬に適用されて、標的の警戒心を弱めます。ただし、ファイルを実行した後に何も起こらない場合は、相手側で疑いを抱く可能性があります。この場合、トロイの木馬のアイコンやファイル情報を変更し、通常のファイルをトロイの木馬にバインドしておき、ユーザーがトロイの木馬を実行したときに、事前に用意した通常のファイルを解放する必要があります。レッドチームは、ターゲットの警戒心を弱めるためにフィッシング文書を作成する技術を習得する必要があります。一般的な方法をいくつか紹介します。

① ファイルの外観の偽装: 実行可能ファイルをドキュメント、画像、またはオーディオ ファイルとして偽装するなど、ファイルのヘッダー情報または特定の部分を変更して、他の種類のファイルのように見せます。

② アイコンの置き換え: トロイの木馬実行ファイルのアイコンを、ファイルブラウザで通常のファイルと同じように見えるように、一般的な無害なプログラムのアイコンに置き換えます。

③バンドルファイル：トロイの木馬を1つ以上の正規のファイルにバンドルし、ユーザーがファイルを実行すると同時に通常のファイルも放出することで、トロイの木馬の存在を隠蔽します。

④ 動的ロード: 実行時に、トロイの木馬は他の悪意のあるコンポーネントを動的にダウンロードできるため、静的分析では検出されません。

⑤ コード難読化：トロイの木馬コードを難読化して静的解析ツールによる解釈を困難にし、検出リスクを軽減します。

⑥仮想化技術：仮想化技術を使用して、トロイの木馬コードを仮想環境にパッケージ化して実行し、その動作を通常のプログラムに近づけて動的分析による検出を回避します。

⑦ アンチサンドボックス技術：サンドボックス環境で実行されているかどうかを検出します。もしそうなら、トロイの木馬は検出を避けるために異なる動作を取る可能性があります。

⑧アンチデ​​バッグ技術：トロイの木馬は、デバッグ環境で実行されているかどうかを監視し、実行されている場合はデバッグ操作を防止する対策を講じる可能性があります。

これらの手法はフィッシング攻撃で使用され、標的を巧みに欺き、セキュリティ対策を回避するためのアンチキリングトロイの木馬が作成されます。

図3 添付ファイルアイコンの変更の図

図4 自己抽出と接尾辞反転技術の概略図

4. フィッシングサイト

フィッシングは、通常は正当で信頼できる Web サイトを装って、ユーザーを騙し、ユーザー名、パスワード、クレジットカード情報などの個人情報を提供させるオンライン詐欺の一種です。攻撃者は、ユーザーを騙して Web サイトに機密情報を入力させるために、見た目も機能も正規の Web サイトと非常によく似た本物のように見える Web サイトを作成します。ユーザーがこの情報を提供すると、攻撃者はそれを使用して、個人情報の盗難や金融詐欺などの違法行為を実行することができます。

フィッシング Web サイトは通常、ソーシャル エンジニアリングと偽装技術を使用して、電子メール、ソーシャル メディア、インスタント メッセージングなどのチャネルを通じて被害者をこれらの Web サイトに誘導します。たとえば、攻撃者は、ユーザーにログイン情報を入力する Web サイトに移動するためのリンクをクリックするように求める、正当な電子メールのように見えるメールを送信する場合があります。これらの電子メールは、被害者の興味や信頼を喚起するために、銀行、電子決済プラットフォーム、ソーシャル メディア、またはその他の一般的に使用されているサービスからの通知を装うことがよくあります。

フィッシング Web サイトを識別するには、ユーザーは警戒し、次の点に注意する必要があります。

①URL確認：リンクをクリックする前に、リンクのURLをよく確認してください。攻撃者は、実際の Web サイトに似ているものの、若干の違いやタイプミスがあるドメイン名を使用する場合があります。

② セキュリティ証明書: ウェブサイトが正当なセキュリティ証明書を使用していることを確認します。ほとんどの正当な Web サイトでは、接続が暗号化されていることを示すロック アイコンがブラウザに表示されます。

③ リンクは慎重にクリックしてください: 確認されていない電子メール、テキスト メッセージ、ソーシャル メディア メッセージ内のリンクをクリックしないでください。リンクをクリックするのではなく、Web サイトの URL を手動で入力することをお勧めします。

④ 機密情報を提供しない: 不確かなウェブサイトでは、特にパスワードやクレジットカード情報などの機密情報を決して入力しないでください。

⑤ セキュリティツールを使用する: セキュリティソフトウェアやウイルス対策ツールを使用すると、悪意のあるWebサイトへのアクセスを検出してブロックするのに役立ちます。

簡単に言うと、フィッシングとは、正規の Web サイトを装ってユーザーを騙し、機密情報を漏らさせるオンライン詐欺の一種です。オンライン セキュリティを確保するために、ユーザーは常に注意を払い、確認なしに個人情報を提供しないようにする必要があります。

4.餌を置く

上記のタスクを完了すると、トロイの木馬はさまざまな方法でターゲット システムに配信され、ターゲットが餌に食いつくのを静かに待ちます。現時点では、ターゲットをうまく騙せるかどうかは、フィッシングの手法がターゲットを納得させるほどに混乱を招いているかどうかにかかっています。

成功の可能性を高めるための戦略をいくつか紹介します。

適切な緊急感を作りましょう。たとえば、重大な結果をもたらす可能性のあるインシデントを捏造したり、組織内の上級リーダー、サードパーティの運用・保守担当者、求職者など、否定できない身元を装ったりするなどです。

時間の緊急性を強調します。状況の深刻さを強調します。被害者が問題の解決を急ぐと、予期せぬ結果を招くことがよくあります。

何らかのインセンティブを提供します。例えば、会社の経営者を装い、ある仕事を達成したらボーナスを支給すると約束し、そのボーナスは翌月の給料と一緒に支払われるというものです。このアプローチにより、成功率が大幅に向上します。

タイミングについては柔軟に対応してください。フィッシング攻撃の方法は多様化する必要があります。たとえば、会社で攻撃と防御の訓練を実施している場合は、この機会を利用して従業員にセキュリティ チェックを実行する必要があることを通知できます。あるいは、法定休日が近づいている場合は、疑惑を招かないように、合理的な休日の手配を偽造します。

リモート制御には複数のトロイの木馬と C2 サーバーの使用を検討してください。これにより、攻撃の安定性と隠蔽性が向上します。

図5: 実際のフィッシングメールの例

5. 結論 - フィッシング攻撃の防止

フィッシング攻撃では、正当な組織を装い、ユーザーを偽の Web サイトに誘導して機密情報を送信させたり、悪意のあるプログラムをクリックさせたりして、攻撃の目的を達成することがよくあります。このタイプの攻撃にはさまざまな方法があり、特定のシナリオを組み合わせ、それに応じた攻撃計画と誘い込みのテクニックを策定し、洗練されたトロイの木馬サンプル技術と連携して信頼性を確保し、ターゲットを罠に誘い込む必要があります。フィッシング攻撃を防ぐ鍵は、ユーザーと組織のセキュリティ意識を高め、トレーニングを実施し、疑わしいリンクや添付ファイルをクリックしないようにし、アプリケーションを最新の状態に保つことです。

フィッシング攻撃に対抗するには、次の対策を講じてください。

1. 組織内のセキュリティ トレーニングを強化し、従業員のフィッシング攻撃の識別と防止能力を向上させます。非公式チャネルを通じてソーシャル メディア アカウントが漏洩することを避け、人事、法務部門の担当者など、外部とのコミュニケーションが必要な職種にセキュリティ トレーニングを提供します。

2. 個人アカウントのセキュリティを保護するために、強力なパスワードと 2 要素認証の使用を強制します。機密情報の漏洩を防ぎます。期限切れのパスワードによる攻撃者のログインを防ぐために、パスワード更新ポリシーを作成します。

3. オペレーティング システムとアプリケーションを適時に更新します。攻撃者が既知の脆弱性を悪用するのを防ぐために、セキュリティ パッチをインストールします。

4. メール サーバーのサンドボックスを展開します。サンドボックス署名ライブラリ スキャン、脅威インテリジェンスのマッチング、ヒューリスティック スキャン、動作認識を使用して、悪意のあるファイルやフィッシング リンクを識別します。署名データベースが古くなったために悪意のあるファイルが実行されるのを防ぐため、イントラネット ホストとウイルス対策サンドボックスの署名データベースを最新の状態に保ちます。

5. メールの内容を確認します。外部ファイルを開く前に、ウイルス対策スキャンを実行してください。 「福祉」や「補助金」などの言葉が含まれるメールには注意し、知らない添付ファイルを盲目的にダウンロードしたり開いたりしないでください。

6. 送信者のメールアドレスと内容を注意深く確認してください。疑わしい電子メールの真正性を識別するため。

7. 新しいソーシャル メディア アカウントには注意してください。身近な情報を通じて相手の身元を確認します。

8. 実行可能ファイル、Office ファイル、添付ファイルに見慣れないサフィックスが付いたファイルを開かないようにし、電子メールのリンクを直接クリックしないでください。既知の Web サイトのドメインに直接アクセスするのが最善です。不明なリンクや疑わしい Web サイトに遭遇した場合は、何らかの措置を講じる前に確認して検証する必要があります。 IT スタッフまたは送信者に相談してください。

著者: 周瑜

ユニット: 中国移動インターネットオブシングス株式会社