【CODE BLUE 2024】谷口 剛+大杉 浩太郎 / Tsuyoshi Taniguchi+Kotaro Ohsugi - 講演関連資料 / Presentation resources -
●講演概要 / Abstract
[ja] BlackTechによるサブドメイン悪用は「進化」したのか?
2023年9月27日、警察庁及び内閣サイバーセキュリティセンター(NISC)は、米国家安全保障局(NSA)、米連邦捜査局(FBI)及び米国土安全保障省サイバーセキュリティ・インフラ庁(CISA)とともに合同でBlackTechに関する脅威への注意を喚起した。BlackTechは2017年頃から日本で攻撃を開始し、DbgPrint(別名WaterbearまたはDeuterbear)といったRATツールを進化させ続けている。BlackTechの攻撃に対抗するため、多くのセキュリティベンダーがこのAPTグループに関連するレポートを公開している。これらのレポートは、マルウェアの挙動に関する詳細を示しており非常に有用であったが、DNS悪用に関しては全く分析されていなかった。APTグループはDNSの挙動に痕跡を残すことが少ないため、セキュリティベンダーはDNS悪用に注意を払う必要がなかったのかもしれない。一方で、われわれは8つのAPTグループにおけるDNS悪用の比較研究を行い、2023年8月以降にDbgPrintに関連するBlackTechの攻撃で独自のサブドメイン悪用を確認した。この活動は興味深いものであったが、1つの疑問が浮かぶ。それは、BlackTechによるサブドメイン悪用が進化したのかということである。 一般的に、防御者がAPTグループの攻撃を検知することは困難である。BlackTechがRATツールを進化させ続ける一方で、このAPTグループはDNSの運用も戦略的に変更してきた。ここでわれわれは、BlackTechがDNSに関連する攻撃インフラの構築効率を優先していることに気付いた。防御者がBlackTechの不意を突くチャンスがあるかもしれない。実際、APTグループは常に気づかれないように万全を期しているわけではない。検出が困難なRATツールよりむしろ、セキュリティベンダーが注目していなかったDNS悪用を検知することの方が有効かもしれない。われわれは、時系列に沿った戦略の変化やAPTグループ間のDNS悪用の違いを詳細に分析し、試行錯誤の結果として脅威インテリジェンス、Passive DNS、WHOISに基づいた分析のノウハウを聴衆に提供する予定である。さらに、APTグループの戦略の変化と違いを検知するために、過去のCODE BLUEで発表した技術も紹介する。
[en] Did Subdomain Abuse by BlackTech “Evolve”?
On Sep. 27, 2023, National Police Agency, NISC, NSA, FBI, and CISA jointly called attention to the threat regarding BlackTech. BlackTech started attacks in Japan around 2017 and continued to evolve RAT tools like DbgPrint (aka Waterbear or Deuterbear). To defend against attacks by BlackTech, many security vendors published reports related to the APT group. Although these reports showed details of malware behavior and were very useful, the reports did not analyze DNS abuse at all. Since APT groups rarely leave traces of their activities in DNS behavior, the vendors might not have to pay attention to the DNS abuse. On the other hand, we conducted a comparison study of the DNS abuse among 8 APT groups, then identified an original subdomain abuse regarding attacks by BlackTech related to DgbPrint since Aug. 2023. While we found this operation interesting, we have one question: Did subdomain abuse by BlackTech evolve? Generally, it is difficult for defenders to detect attacks by APT groups. While BlackTech continued to evolve RAT tools, the APT group strategically changed DNS operations. Here, we noticed that BlackTech prioritized the efficiency of constructing attack infrastructure related to the DNS operations. There is a chance that defenders could catch BlackTech off guard. In fact, APT groups do not necessarily put in enough effort to fly under the radar. It might be a good idea to detect DNS abuse that security vendors did not pay attention to rather than hard-to-detect RAT tools. To conduct an in-depth analysis of time-series changes of strategies and differences of DNS abuse between APT groups, we will provide audience with our know-how for the analysis based on threat intelligence, Passive DNS, and WHOIS as the result of trial and error. In addition, we will show our presented techniques in our previous CODE BLUE presentations for detecting the changes and differences of APT group’s strategy.
●略歴 / Bio
[ja] 谷口 剛
谷口 剛は、富士通ディフェンス&ナショナルセキュリティ株式会社に所属する研究員である。主に、ドメインネームシステム(DNS)に関連する悪意のある挙動の詳細な分析に基づいたネットワークセキュリティおよびサイバー脅威インテリジェンスを専門としている。CODE BLUE 2017 Day0 Special Track、CODE BLUE 2018、2020、2021、2022、Black Hat Asia 2021、ACM ASIACCS 2021でスピーカーを務めた経歴を持つ。富士通入社以前は、北海道大学大学院情報科学研究科にてコンピュータサイエンスの博士号を取得した。
[ja] 大杉 浩太郎
大杉 浩太郎は、FDNSに在籍するセキュリティ研究者である。彼はセキュリティ・キャンプ 2017 の卒業生で、以前はEDR製品を用いたデジタルフォレンジックに従事していた。このようなバックグラウンドを元に、現在はソフトウェアリバースエンジニアリング、マルウェア解析、バイナリエクスプロイトの開発などに取り組んでいる。
[en] Tsuyoshi Taniguchi
Tsuyoshi Taniguchi is a researcher of Fujitsu Defense & National Security Limited. He focuses on network security and cyber threat intelligence based on an in-depth analysis of malicious behavior around domain name system (DNS). He was a speaker of CODE BLUE 2017 Day0 Special Track, CODE BLUE 2018, 2020, 2021, 2022, Black Hat Asia 2021, and ACM ASIACCS 2021. Prior to joining Fujitsu, he got his Ph.D. in computer science from Graduate School of Information Science and Technology, University of Hokkaido.
[en] Kotaro Ohsugi
Kotaro Ohsugi is a security researcher at FDNS. He is a graduate of National Security Camp 2017 and was previously involved in Digital Forensics using EDR products. With these backgrounds, he is currently engaged in software reverse engineering, malware analysis and binary exploitation.
●事前インタビュー / Pre-Event Interview
[ja] インタビュー
Q1 あなたがこのトピックに取り組むようになったきっかけは何ですか?
研究所内で脅威を分析する小規模 WG を立ち上げたことがきっかけです。
テーマとしては、日本で対処すべき脅威の深掘り、担当の技術の強みを生かした DNS 悪用分析とツール (マルウェア) 分析の融合、商用CTI OSINTの融合あたりを設定しました。あと個別のテーマとして、ここ2年くらいAPT攻撃におけるサブドメイン悪用分析に取り組んで体系的にまとめたいと思っていたので、CODE BLUE向けにまとめることにしました。出発点として、2023年の9月に警察庁やNISCなどが連名でBlackTechの脅威に注意喚起したのが気になっていたので、BlackTech深掘りから開始することにしました。
Q2 研究の過程でどのような点で苦労しましたか?
CODE BLUE の聴衆に対してどのような貢献をするか、です。
WGではまずBlackTechの脅威を分析した公開レポートを読むところからはじめました。多くのベンダーが質の高いレポートを出していて、われわれもそれらから多くを学びました。ツールの分析という観点では、それらのレポートを凌駕するような独自性を短期間で出すのはむずかしい、ということがわかりました。
一方で、DNS 悪用分析の方は、サブドメイン悪用の観点で 2023年9月からのBlackTechの独自運用を2024年春ころには認識していました。ベンダーのレポートを確認しても、IoC(侵害の痕跡)を公開しているものはありましたが、DNS の挙動について説明しているものは全くありませんでした。ただ、他の APT グループの運用と比較すると、検知を困難にするための「進化」ではありませんでした。われわれのCODE BLUE 2022の講演でブロックチェーンのビットコインの取引の中にC&CサーバーのIPアドレスを隠ぺいする攻撃者の攻撃手法の進化を追跡した結果を報告しましたが、これは確かに攻撃手法が「進化」していました。BlackTechのRATツールであるDbgPrint(WaterbearやDeuterbearとしても知られる) は、公開レポートに基づくと、検知が困難な方向に「進化」しているようです。ただ、サブドメイン悪用は「進化」なのか、コミュニティに対してどのような貢献になり得るか、が悩みどころでした。
WG で密に議論し、攻撃手法の時間経過による「変化」と攻撃グループ間の攻撃手法の比較による「違い」と組み合わせて、攻撃グループの戦略変化と独自性を評価できるようにしました。結果として、機能や戦略が「変化」したとき、一概に検知回避のための「進化」というわけではなく、効率化などを優先した「戦略変化」もあり、攻撃者の隙となっているのかもしれない、という防御のための知見を貢献とさせていただくことにしました。
Q3 CODEBLUEの参加者、参加を検討している人に向けてメッセージをお願いします。
DNS 悪用検知については、2010年付近にはPassive DNS に基づく決定的な論文がいくつか出ています。また、APT攻撃については、CODE BLUE 2020の講演でDNS挙動としてわかりやすい痕跡は残さないことを確認しました。基本的には、DNS 悪用検知に対する防御側の注目が下がっている状況だと思います。
われわれはCODE BLUE 2021で東京オリンピック公式サイトを模したサブドメイン悪用に注目したことをきっかけに、ここ数年様々な攻撃のサブドメイン悪用を分析してきました。防御の観点では非常に重要であるにもかかわらず、ドメインとサブドメインが管理されるゾーンファイルの違いを意識している人はほとんどいません。フィッシング攻撃であれば、URL はドメインだろうがサブドメインだろうが単なる文字列としかみなさないことが大半です。今回の講演では APT 攻撃におけるサブドメイン悪用を我々の経験に基づき可能な限り体系的にお伝えしますが、サブドメイン悪用の観点が防御の助けとなることを願っています。
[en] Interview
Q1 What led you to making this presentation?
The trigger was establishing a small working group within our research institute to analyze threats. The theme focused on digging deeper into threats that need to be addressed in Japan, leveraging our technological strengths to analyze DNS abuse and integrate it with malware analysis, as well as the fusion of commercial CTI ( Cyber Threat Intelligence ) and OSINT ( Open Source Intelligence ). Additionally, as an individual theme, for the past two years, I have been working on the analysis of subdomain abuse in APT attacks and wanted to compile it systematically. I decided to put it together for CODE BLUE. As a starting point, I was particularly interested in the joint warning issued by the National Police Agency, NISC, and other organizations in September 2023 regarding the BlackTech threat, so I began by delving into BlackTech.
Q2 What were some challenges you faced during this research?
In our working group ( WG ), we started by reading publicly available reports analyzing the threat posed by BlackTech. Many vendors have published high-quality reports, and we have learned a lot from them. From the perspective of tool analysis, we realized that it would be difficult to produce something unique that surpasses these reports in a short period of time.
On the other hand, in terms of DNS abuse analysis, by around spring 2024, we had identified BlackTech's unique subdomain abuse operations, which began in September 2023. When reviewing vendor reports, although some provided IoCs ( Indicators of Compromise ), none explained DNS behavior. However, when compared to the operations of other APT groups, this was not an “evolution” aimed at making detection more difficult. In our CODE BLUE 2022 presentation, we reported on the evolution of an attack method where attackers concealed C&C server IP addresses within Bitcoin transactions on the blockchain, and this indeed represented an "evolution" of their tactics. According to public reports, the BlackTech RAT tool known as DbgPrint ( also known as Waterbear or Deuterbear ) seems to have "evolved" in a way that makes it harder to detect. However, when it comes to subdomain abuse, I was torn about whether to consider it an “evolution” and what kind of contribution it could offer to the community.
Through close discussions within the WG, we combined the "changes" in attack techniques over time with the "differences" between the tactics of various attack groups, enabling us to evaluate the strategic shifts and uniqueness of these groups. As a result, we concluded that when a function or strategy changes, it doesn’t necessarily mean it has “evolved” to avoid detection; it could also represent a “strategic shift” prioritizing efficiency. This shift might, in fact, create vulnerabilities for the attackers. We decided that sharing this insight could be a valuable contribution to defense strategies.
Q3 What message would you like to convey to those considering attending this talk?
Regarding DNS abuse detection, several definitive papers based on Passive DNS were published around 2010. In addition, during a presentation at CODE BLUE 2020, it was confirmed that APT attacks leave no easily identifiable traces in DNS behavior. Overall, I believe attention from the defense side toward DNS abuse detection has been decreasing.
We started focusing on subdomain abuse when analyzing attacks mimicking the official Tokyo Olympics website during CODE BLUE 2021. Over the past few years, we have analyzed subdomain abuse across various attacks. Despite its significance from a defensive perspective, very few people are aware of the differences in how domains and subdomains are managed within zone files. In phishing attacks, whether it's a domain or a subdomain, most people just treat URLs as mere strings.
In this presentation, we will share our experiences analyzing subdomain abuse in APT attacks as systematically as possible. We hope that this perspective on subdomain abuse will be useful in strengthening defense strategies.
●講演動画 / Presentation video
●講演スライド / Presentation slide
(Click the image to open the PDF via an external link)
●写真 / Photo
●レポート記事 / Reports
[ja] [レポート]BlackTechによるサブドメイン悪用は「進化」したのか? - CODE BLUE 2024(Developers IO / クラスメソッド)