谷口 剛【CODE BLUE SPEAKER インタビュー】
[Speaker interview, English follows]
ブロックチェーンにC&Cサーバー情報を隠ぺいした攻撃者との直接対峙により得られたもの
今回は「ブロックチェーンにC&Cサーバー情報を隠ぺいした攻撃者との直接対峙により得られたもの」の講演を予定されている谷口 剛氏のインタビューをお届けします。
https://codeblue.jp/2022/talks/?content=talks_10
講師の谷口氏は富士通に在籍する研究者。CODE BLUEには何度も登壇する実績の持ち主です。主にDNSの悪用を検知する手法を研究されていますが、今回の講演は、ブロックチェーン上のトランザクションを利用したC&C通信の特定とその妨害手法についてです。
谷口氏は、C&C サーバーの IP アドレスをブロックチェーンに隠ぺいした攻撃者のビットコイン運用を監視していたといいます。特殊な手法ではありますが、攻撃者と直接対峙している点が興味深いと言えるでしょう。
―― 発表されるテーマを始めたきっかけは何ですか?
谷口氏:私は 2018 年の CODE BLUE の講演以来、名前解決の履歴である Passive DNS をベースにしてDNS の悪用を検知するためのさまざまな手法を検討・開発してきました。このアプローチは 2020・2021 年も継続して CODE BLUE で講演していますが、2019 年に、C&C 通信に DNS を悪用せずにブロックチェーンを悪用する新たな脅威を認識し、DNS を悪用した攻撃に限らず防御の幅を広げようと思い立ったのがきっかけです。
―― この研究を行う上で、障害となったことは何ですか?
谷口氏:コロナ禍で国際協業をどのように進めるか、という点で苦労しました。2019 年に当時デルフト工科大学の Christian Doerr 准教授と彼のチームと東京でハンズオン型のワークショップを行って協業の方向性を模索し、ブロックチェーン悪用検知の方向でおおむね話が進んでいました。
しかし、ワークショップ後に新型コロナウイルスのパンデミックが始まってしまい、対面で話すことができなくなってしまいました。
その後、Hasso Plattner Institute (HPI) から教授として招へいされた Doerr 教授と2020 年 6 月から正式に国際協業を開始させましたが、コロナ禍のためリモートツールを駆使することになりました。
最初は、プラットフォームがうまく機能せずにコミュニケーション自体が取れなかったり、
対面のコミュニケーションとは勝手が違うリモートツールに慣れるまで苦労しましたが、攻撃者の C&C 通信リアルタイム妨害実施と論文投稿直前には週に 1 回のペースでテレカンを行っていました。今から思い返すと非常に過酷なスケジュールでしたが、短期間でハイレベルな成果を出すことができました。
―― この講演に参加しようと思っている人たちに一言お願いします。
谷口氏:今回の講演は Black Hat Asia 2021 Briefings、ACM ASIACCS 2021 で国際協業の成果として講演済みの内容をCODE BLUE 2022 向けに、国際協業を開始する前に私が 1 人でブロックチェーン上の挙動を監視していた期間の未講演の内容を中心に構成し直したものです。
この攻撃に限らない新規性の高い攻撃を実施している攻撃者と対峙するときのノウハウとして汎用化してお伝えする構成にしました。
Black Hat Asia 2021 Briefings で話した内容は軽くふれる程度で CODE BLUE 2022 ではほとんど話さない予定です。
ブロックチェーンを悪用する脅威について、ご興味を持っていただいた場合には、以下の情報もご覧いただければ幸いです。
・Analysis and Takeover of the Bitcoin-Coordinated Pony Malware
Tsuyoshi Taniguchi,Harm Griffioen,Christian Doerr
ACM ASIACCS 2021
こちらは Black Hat Asia よりも先に投稿・採択されていて、C&C サーバー通信妨害成功までの内容です(採択後カメラレディをまとめるときに攻撃者の回避行動についての言及を入れました)。
私がコツコツ検知した C&C 通信に悪用された IP アドレスリストが末尾にあります。
VirusTotal で検索すると、ほとんどの IP アドレスに対して関連検体を見つけることができます(検体が見つからない or この攻撃に関係ない検体も引っかかりますのでご容赦を)。また、攻撃者が使ったビットコインアドレスのリストもあるので、攻撃者が行ったすべてのビットコインの取引をインターネット上から確認することができます。
“What I learned from the direct confrontation with the adversaries who hid C&C server information in the blockchain”
https://codeblue.jp/2022/en/talks/?content=talks_10
―― How did you get started in the topic that you are presenting?
Since my 2018 CODE BLUE talk, I have examined and developed various methods for detecting DNS abuse based on Passive DNS, which is the records of name resolution.
This research continues to this day, and I talked on this topic at CODE BLUE 2020 and 2021. In 2019, I recognized a new threat: to use no DNS for C&C communications and use blockchain instead. I began our research because we believed studying this threat would help us defend against it.
―― What were some of the obstacles in doing this research?
We struggled with how to promote international collaboration in the COVID-19 pandemic.
In 2019, we held a hands-on workshop in Tokyo with Associate Professor Christian Doerr and his team from the then Delft University of Technology to explore the direction of collaboration and were generally talking in the order of blockchain abuse detection.
However, the COVID-19 pandemic began after the workshop, and we could not speak in person.
Then, Dr. Doerr became a professor at the Hasso Plattner Institute (HPI). We officially started our international collaboration in June 2020. However, due to the COVID-19 pandemic, we had to use remote tools fully.
At the beginning of the collaboration, the research platform did not work well, and communication was impossible.It was challenging to get used to the remote tool, which differs from in-person communication.
Later, we could also jam the attacker's C&C communications in real-time. And we could have weekly video conferences by the time I submitted my dissertation.
The schedule was extremely demanding, but we achieved a high level of results in a short period.
―― What would you say to the people thinking of attending this talk?
This presentation is a reorganization of the content presented at Black Hat Asia 2021 and ACM ASIACCS 2021. At these two conferences, We presented the results of our international collaboration. Still, at CODE BLUE 2022, the focus will be on my monitoring of the blockchain before we start our cooperation.
This presentation is not limited to this attack. We have structured this presentation to provide general know-how for confronting attackers who carry out novel attacks.
I will only lightly touch on the topics discussed at the Black Hat Asia 2021 Briefings and will not talk about most of them at CODE BLUE 2022.
If you are interested in learning more about the threat of blockchain exploitation, I hope you will also read the following
ACM ASIACCS 2021
This one was submitted and adopted before Black Hat Asia and is up to the successful C&C server communication jamming. I referenced the attacker's evasive maneuvers when putting together the post-adoption camera-ready version.
A list of IP addresses exploited for C&C communication that I have been able to detect is at the end of this page.
If you search VirusTotal, you will find relevant specimens for most IP addresses. Please be patient, as some samples will be caught if no samples are found or if samples not related to this attack are found.
There is also a list of bitcoin addresses used by the attacker so that you can see all bitcoin transactions made by the attacker from the Internet.
世界トップクラスの専門家による情報セキュリティ国際会議「CODE BLUE(コードブルー)」
谷口 剛 (Tsuyoshi Taniguchi)
富士通システム統合研究所研究員、情報科学博士。
脅威情報とドメイン悪性挙動の分析の研究に携わる。
主な講演:CODE BLUE 2017 Day0 Special Track、 CODE BLUE 2018、 2020、 2021、 Black Hat Asia 2021、 ACM ASIACCS 2021
English Profile
インタビュワー
斉藤健一(さいとうけんいち)Kenichi Saito
元ハッカージャパン編集長。現在フリーライター。CODE BLUEをはじめ、セキュリティ業界を徘徊しています。日本ハッカー協会や企業のオウンドメディアなどでも活動。
Twitter : @hj_saito