前回は、2012年上半期に確認された日本国内の持続的標的型攻撃に関する傾向と、その中で攻撃用の遠隔操作ツールとして最も多く確認された「PoisonIvy」について紹介した。
今回はサイバー攻撃者の実態をあぶり出す方法について解説する。具体的には、2012年上半期に確認されたPoisonIvyを使った国内の攻撃を50個抽出して分析した。不正プログラムにはサイバー攻撃者しか知り得ない情報が設定される。その類似性に着目することで分析を進めていった。
C&Cサーバーやミューテックスから関連性を導き出す
PoisonIvyで標的の組織に送りつける不正プログラムを作成する際、作成者によって任意に設定された値がある。接続先C&Cサーバーの情報やC&Cサーバーとの認証、通信内容の暗号化のために使用されるパスワードなどがそうだ。これらは、PoisonIvyを利用して不正プログラムを作成したサイバー攻撃者しか知り得ない情報である。
今回、PoisonIvyとして検出されたサンプルから、設定されているC&Cサーバー名(FQDN)とIPアドレス、それらのIPアドレスの近接度、暗号化のためのパスワードを抽出した。加えて、感染端末のメモリー上で自身の重複実行を防ぐため、プログラム上に作成者が設定する任意の固有値である「ミューテックス」をサンプル上から解読し、関連性の分析を行った。
図1は、これらの相関をモデル化したものである。図中にちらばる茶色い小さな点がPoisonIvyの各サンプルを表わす。それぞれの色で表された丸が、パスワードなど関連性を導くための共通項である。
このモデルでは、関連性が強いほど大きな丸として表現している。図の左上の集団Aに着目してほしい。ドーナツ円状に囲った10のサンプルが同じパスワードを使っていることが分かる。
さらに、このうちのいくつかはミューテックスや接続先C&Cサーバーが同一であり、これらを同一の特徴をもった1つの集団Aとしてくくることができる。同様の観点で集団B、集団Cを関連付けることができ、最終的には3つの集団が利用するC&CサーバーのIPアドレスが近接していることから、同一の攻撃インフラを利用していると推察できる。
無作為に抽出した2012年上半期に確認された50個のPoisonIvyを用いた攻撃のうち、約5割に関連があったという結果だ。ここから同一のサイバー攻撃者が、複数の組織へ攻撃を繰り返していることが推測できる。
