piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

Coinbaseがうけた標的型攻撃とその対応についてまとめてみた

暗号資産を取り扱う米国のCoinBaseは、2019年6月に発生したFirefoxの脆弱性(当時ゼロデイ)を悪用した攻撃への対応を2019年8月9日にセキュリティ担当者がBlogで明らかにしました。ここでは一連の対応の顛末についてまとめます。

対応公開までの経緯

  • 情報の公開を行ったのは米暗号資産取扱い事業者 Coinbaseのセキュリティ担当者 Philip Maritin氏。
  • 2019年6月20日にTwitterで第一報レベルの情報共有が行われていた。

blog.coinbase.com

Coinbaseへの攻撃の流れ

f:id:piyokango:20190814005917p:plain
攻撃の流れ概要図
Coinbaseは攻撃の手口を次の2つの組み合わせによるものと説明。

  1. 大学関係者を騙った標的型攻撃メール
  2. Webブラウザ(Firefox)のゼロデイ脆弱性
(1)攻撃の準備

リンク付きメールが投げられる前に次の準備が行われていた。

  • ケンブリッジ大学のメールサービスを侵害し、2つのアカウント*1を作成。(時期不明)
  • 同大学のWebサイトにランディングページを作成し5月28日にExploit用ドメインを作成。
  • 作成されたメールアカウントに紐づくIDはオンライン上にほぼ存在せず。
  • LinkedInのプロファイルも偽物とCoinbaseは分析している。
(2)大学から標的型攻撃メール

クリックをより確実にさせるために予め無害なメールが送られていた。

  • 2019年5月30日にCoinbase従業員十数人へケンブリッジ大学からメールが届いた。
  • メールの送信者は大学の研究助成金管理者 Gregory Harris。
  • 内容は実際に行われていた大学のプロジェクトを引用したもの。
  • ランダムに送られたのではなく従業員の経歴に基づき送られてきた。
  • 正規ドメインからの送信で悪性の要素も含まれていなかったため、スパムフィルタで検出はされなかった。
  • 以降数週間、同様のメールが届いたが異常は認められなかった。
  • Objective-seeの記事では別の人名(Neil Morris)が記述されていた。
(3)URLクリック・ブラウザ誘導
  • 2019年6月17日 6時31分にも大学からメールが届いたがこれは様相が違った。
  • 文中にクリックしたらマルウェアに感染する恐れのある悪性のリンクが含まれていた。
  • Firefox以外でアクセスすると「サポートしていないブラウザ」とし表示し、Firefoxで参照するよう促す表示が行われた。
  • 後の解析でリンクが記述されたメールが送られたのは標的とされたCoinbaseを含む200人の内、約5人(2.5%)であった。
(4)Firefoxの0day Exploit
  • 悪用されたFirefoxの脆弱性は2件。いずれも検出時点で修正版が公開されていなかった。(0day)
CVE Mozillaセキュリティアドバイザリ 影響 修正日
CVE-2019-11707 Type confusion in Array.pop リモートコード実行の恐れ 6/18
CVE-2019-11708 sandbox escape using Prompt:Open Sandbox回避の恐れ 6/20
  • Coinbaseは攻撃グループを「CRYPTO-3」「HYDSEVEN」と呼ばれる攻撃グループによるものと説明。
  • CVE-2019-11707の他発見者 Google Project ZeroのSamuel Groß氏はバグトラッキングからのExploitコード作成については否定的で、過去の脆弱性の類似性のあるバグを探したのではないかと推測する見解を示している
  • CVE-2019–11708のExploitコードは難読化は行われておらず、ソースコードから相当の経験を持つグループによる作成とCoinbaseは推定。
(5)感染後のマルウェア動態
  • 感染するマルウェアは次の通り。
ステージ 感染するマルウェア(検体のハッシュ)
Netwire RAT
07a4e04ee8b4c8dc0f7507f56dc24db00537d4637afee43dbb9357d4d54f6ff4
Mokes
97200b2b005e60a1c6077eea56fc4bb3e08196f14ed692b9422c96686fbfc3ad
  • ステージ1のNetwireは先遣部隊としてMokesの感染のみに利用される。
  • ブラウザのデータストアに保存されたセッショントークンを窃取し、Gmail等のサービスを特に標的している動きがあった。
  • ブラウザのデータストアに直接アクセスするプロセスが少ないとして、Coinbaseはこの挙動を特定アクティビティによる検出が可能だと説明。

Coinbaseの対応

Coinbaseが行った一連の対応は次の通り。

攻撃検出 ①従業員からの報告と自動アラートに基づき調査を開始
初期調査 ②エンドポイント検出ツール、インシデント対応ツールで従業員のPCを調査。
③最近のプロセスアクティビティからFirefox起因とすぐに特定。
範囲特定 ④問題が生じたホストからIOCを収集。
⑤ネットワーク内で探査を開始。
⑥IOCをブラックリストへ登録。
攻撃調査 ⑦攻撃ホストが稼働している間に誘導先ページ、Exploitなどを保存。
遮断対応 ⑧問題が生じたホストのすべての資格情報を失効。
⑨影響を受ける従業員のアカウントをロック。
情報共有 ⑩MozillaのセキュリティチームへExploitコードを提供。その後すぐ修正。
⑪ケンブリッジ大学へ通報しキャンペーンの攻撃範囲(メール送信先)を特定。
⑫インフラ、従業員保護のためにメールが届いた約200人を採用している組織を特定。
被害なく済んだ総括

Coinbaseは被害なしに済んだポイントを以下の通り総括。また今後も暗号資産を取り扱う業界への攻撃が続くと予想し情報共有の相互協力が顧客保護につながるとした。

  • セキュリティ第一の文化
  • 検出、対応に用いるツールの完全な展開
  • 明確で実践的なプレイブックの整備
  • 迅速なアクセス遮断機能

更新履歴

  • 2019年8月13日 AM 新規作成
  • 2019年8月13日 PM 表、誤字を修正
  • 2019年8月14日 AM 攻撃範囲(約200人はCoinbase単独ではなく、同社を含む全体数)が誤っていたため図、文章を修正。

*1:Gregory HarrisとNeil Morris?