「Hidden Cobra」の指標を見直す

Kirk Soluk
投稿者:Kirk Soluk
June 18, 2017.

US-CERT(United States Computer Emergency Readiness Team)は2017年6月13日、「Hidden Cobra – North Korea’s DDoS Botnet Infrastructure」と題する共同テクニカルアラート(TA17-164A)を発行しました。このアラートは、米国土安全保障省(DHS)と米連邦捜査局(FBI)による分析作業によるものであり、「DeltaCharlieに感染したシステムにリンクするIPアドレス」の一覧を掲載しています。DeltaCharlieは、元々はNovettaが率いる連合が、Lazarusグループの攻撃ツール群におけるDDoSツールの一つとして記述したマルウェアです[1]。US-CERTは、Lazarusグループを「Hidden Cobra」と名付け、その活動と北朝鮮政府との関連性を指摘しています。

TA17-164Aに掲載されたIPアドレスが、コマンド&コントロールインフラの一部なのか、単なるボットなのか、あるいはその両方なのかは、TA17-164Aの情報からは明らかではありません。また、それらのIPアドレスの中に単なる「イノセントな」リフレクター/アンプリファイアであるIPが含まれているかどうかも、TA17-164Aからは分かりません。当社は、掲載されたIPアドレスがDDoS攻撃に直接関与しているのかどうかを把握するため、Arbor NetworksのATLASのインフラが観測した攻撃情報との関連付けを行いました。ATLASのインフラは、世界各地でArbor NetworksのIntelligent DDoS Mitigation Solutions(IDMS)を稼働させている400近くのサービスプロバイダーから、匿名化されたDDoS攻撃データを収集しています。

攻撃データの概要

以下のデータポイントは、2017年3月1日から2017年6月13日までの105日間にATLASに報告されたDDoS攻撃データを基にしています。

TA17-164Aに掲載のIPアドレス数 632
少なくとも1つのDDoS攻撃に関与した、TA17-164Aに掲載のIPアドレス数 24(3.8%)
2つ以上のDDoS攻撃に関与した、TA17-164Aに掲載のIPアドレス数 16
TA17-164Aに掲載のIPアドレスのうち少なくとも1つが関与したDDoS攻撃の総数 164
最大の攻撃(帯域幅) 4.30Gbps
最大の攻撃(スループット) 4.25Mpps
最大の攻撃(継続時間) 44時間

注意すべき点は、攻撃の帯域幅に小さなピークがあることです。DeltaCharlieが使用する主要な攻撃ベクトルであるリフレクション/アンプリフィケーション攻撃の帯域幅は、これより2桁は大きいことが分かっています。言うまでもなく、4.3GbpsはDDoS攻撃への適切な防御を備えていないインフラを破壊するのに十分すぎる帯域幅です。

以下の重要な点に注意してください。

そのため、TA17-164Aに掲載されたIPアドレスを使用しているホストの実際の割合は、ATLASが観測した3.8%を上回るものと思われます。

攻撃に関与したIPアドレスのジオロケーション

以下は、2017年3月1日から2017年6月13日までに、少なくとも1つのDDoS攻撃に関与していることがATLASにより観測された、TA17-164Aに掲載された24のIPアドレスのジオロケーションです。

複数のIPアドレスのロケーションが同一である場合があるため、赤いドットは24個ではなく16個になっています。

TA17-164Aに掲載されたIPアドレスが最も集中しているのはロシア連邦のボルゴグラードですが、ATLASの観測によると、DDoS攻撃の起点となったIPアドレスのサブセットが最も集中していたのはサウジアラビア(24個のうち6個)、次いでアラブ首長国連邦(24個のうち5個)でした。

1日当たりの攻撃頻度

以下のグラフは、TA17-164Aに掲載されたIPアドレスのうち少なくとも1つが、DDoS攻撃に関与した送信元アドレスとして観測された攻撃について、1日当たりの攻撃件数を示したものです。

2017年3月1日から2017年6月13日までほぼ毎日、少なくとも1件の攻撃がありましたが、4月5日から全く攻撃がなかった日が続く最長期間が始まりました。DDoS攻撃は多くの場合、地理的な活動と連動しており、その時期に何が起きたのかを見ると興味深いです。例えば4月5日は、北朝鮮が日本海にミサイルを撃ち込んだ日の翌日でした[2]。もちろん、それら2つの出来事に関連性があるというのは推測にすぎません。

攻撃対象となった国

以下の表は、2017年3月1日から2017年6月13日までに報告された164件のDDoS攻撃において、最も頻繁に攻撃対象となった国です。TA17-164Aに掲載されたIPアドレスのうち少なくとも1つが送信元アドレスとして観測された攻撃です。

攻撃件数
米国 79(48%)
英国 11(7%)
オーストラリア 9(6%)
フランス 9(6%)
サウジアラビア 6(4%)
シンガポール 5(3%)
その他 45(26%)

攻撃の種類

報告された攻撃の67%でリフレクション/アンプリフィケーション攻撃が見られました。リフレクション/アンプリフィケーションは、LDAPベースとDNSベースがほぼ同じ割合でした。これは興味深いことです。なぜなら、DNSはDeltaCharlieによるサポートが既知のリフレクション/アンプリフィケーションベクトルですが、LDAPはそうではないためです。もう一つのやっかいで紛らわしい問題は、TA17-164Aに掲載されたIPアドレスに、リフレクション/アンプリフィケーション攻撃を開始するDeltaCharlieボットが含まれている場合(通常はそう予測されます)、被害者は決してこれらのIPアドレスを目にすることがないという点です。被害者が目にするのは、ボットに悪用されているオープンリフレクターからの攻撃トラフィックです。つまりTA17-164Aは、DeltaCharlieによって、または(DeltaCharlieがLDAPリフレクション/アンプリフィケーションをサポートすることは知られていないため)おそらく他のボットによって完全に悪用されただけの「無実な」被害者であるオープンリフレクターを掲載している可能性があることになります。この警告は未解決の問題を提示しています。

ミティゲーション

DeltaCharlieボットネットによるサポートが判明しているDDoS攻撃手法(DNSリフレクション/アンプリフィケーション攻撃、ntpリフレクション/アンプリフィケーション攻撃、chargenリフレクション/アンプリフィケーション攻撃)はすでに十分に解明されており、Arbor TMSやArbor APSなどのインテリジェントDDoSミティゲーションシステム(IDMS)を利用したミティゲーションが可能です。上述のLDAPリフレクション/アンプリフィケーション攻撃をはじめとする、DeltaCharlieにサポートされていないリフレクション/アンプリフィケーション攻撃ベクトルも、Arbor TMSやArbor APSなどのIDMSを利用したミティゲーションが可能です。Arbor IDMSシステム内に常駐するリフレクション/アンプリフィケーション対策プログラムであれば、この種の攻撃へのミティゲーションに適しています。

結論

本稿は、「Hidden Cobra – North Korea’s DDoS Botnet Infrastructure」と題するUS-CERTのテクニカルアラート(TA17-164A)に掲載されたIPアドレスのサブセットから発生していることが観測されたDDoS活動についてまとめたものです。また、指標の共有に際してコンテキストの提供が重要であることを強調しています。「Hidden Cobra」アラートは、掲載したIPアドレスに基づく指標の特性評価に関して曖昧です。掲載されたIPアドレスがコマンド&コントロールインフラの一部なのか、単なるボットなのか、あるいはその両方なのかが明確にされていません。IPの一部が単なる「無実な」リフレクターでないかどうかも明らかではありません。

コンテキストの欠落は、問題への対応を困難にします。セキュリティーアナリストであれば、コマンド&コントロールサーバーのリストを、ボットのリストやリフレクターのリストとは別に扱うでしょう。そのため、US-CERTの指標に絶対的な信頼を置くとリスクが生じます。こうした指標を盲目的にセキュリティーシステムに取り入れると、むしろ有害である可能性があります[3]。そして、最も信頼が必要とされるときに、信頼が損なわれる恐れがあります。コンテキストを理解して伝えることは、直接的に不正アクセスの指標を掲載するのと同じくらい重要です。

参考資料

[1] https://www.operationblockbuster.com/
[2] https://www.nknews.org/2017/04/north-korea-launches-projectile-towards-sea-of-japan-south-korean-jcs/
[3] https://threatpost.com/what-hack-burlington-electric-speaks-out/122860/