Trusted Design

T1001 - Data Obfuscation

概要

Adversaries may obfuscate command and control traffic to make it more difficult to detect.(Citation: Bitdefender FunnyDream Campaign November 2020) Command and control (C2) communications are hidden (but not necessarily encrypted) in an attempt to make the content more difficult to discover or decipher and to make the communication less conspicuous and hide commands from being seen. This encompasses many methods, such as adding junk data to protocol traffic, using steganography, or impersonating legitimate protocols.

管理者によるコメント

T1001「Data Obfuscation」（データの難読化） は、攻撃者が外部のC2（コマンド＆コントロール）サーバーと通信する際、その通信内容をセキュリティ製品（IDS/IPS、次世代ファイアウォールなど）に検知されないように加工するテクニックです。

1. 概要

この手法の主な目的は「通信の隠蔽（Command and Control）」です。単に暗号化するだけでなく、通信の「見た目」を工夫することで、監視の網をくぐり抜けます。

何を実現できるのか:

• シグネチャ検知の回避: 特徴的なパケットパターンを消し、単純な検知ルールに引っかからないようにする。
• プロトコル分析の妨害: 通信内容を無意味なバイナリや別のデータ形式に見せかけ、解析を困難にする。
• トラフィックの偽装: 悪意ある通信を、画像ファイルや一般的なWeb閲覧などの「無害な通信」の中に紛れ込ませる。

2. 攻撃の流れ

攻撃者は、C2サーバーとやり取りするデータ（指示や盗み出した情報）に対して以下の処理を施します。

1. ジャンクデータの追加 (Junk Data): データの前後や間に、意味のないランダムなデータを挿入し、パケットのサイズやハッシュ値を変化させます。
2. ステガノグラフィ (Steganography): 画像ファイル（JPGやPNG）などのピクセルデータの中に、秘密裏にデータを埋め込みます。一見するとただの画像に見えます。
3. カスタムエンコーディング: Base64や独自の手法でデータを変換します。暗号化（T1573）とは異なり、デコードすれば元のデータが分かりますが、一見しただけでは内容が判別不能になります。
4. プロトコルの偽装: HTTP、DNS、ICMPなどの正規のプロトコルの中に、独自形式のデータを詰め込んで送信します。

3. 防御・対策

データの中身を直接見るのが難しいため、通信の「振る舞い」や「メタデータ」に注目した対策が必要です。

• 振る舞い分析 (Traffic Analysis): 通信の頻度、サイズ、タイミングを分析し、人間によるWeb閲覧ではなく「機械的なC2通信」特有のパターンを検知します。
• SSL/TLSの復号と検査: 暗号化された通信の中にさらに難読化されたデータが隠されていることが多いため、ゲートウェイで一度復号して内容を精密検査します。
• ファイル形式の検証: 画像ファイルなどが不自然に大きなサイズではないか、本来含まれないはずのメタデータ領域にバイナリが含まれていないかを検査します。
• 異常なエントロピーの検知: 難読化や暗号化されたデータは「情報の不規則性（エントロピー）」が高くなるため、統計的な手法で異常を検知します。

4. 重要ポイント

• T1573（暗号化）との違い: 暗号化はデータの「秘匿」が主目的ですが、難読化は「存在の隠蔽」や「検知の攪乱」に重点を置いています。
• 多層防御の突破口: 多くの攻撃グループ（APT29、Lazarusなど）が、初期侵入後にC2通信を確立する際の「標準装備」としてこの手法を使用します。

5. 関連する主なCWE

• CWE-311: Missing Encryption of Sensitive Data: 重要な情報を難読化だけで済ませ、適切な暗号化を行っていない設計上の不備。
• CWE-345: Insufficient Verification of Data Authenticity: 受信したデータが正当なものか検証せず、難読化を解除して実行してしまう不備。

6. 関連する代表的なCVE

T1001は通信の「加工手法」であるため、特定のCVEを直接突くものではありませんが、以下のような脆弱性の悪用後に併用されます。

• CVE-2021-44228 (Log4Shell): 攻撃コードをBase64などで難読化して送信することで、WAF（Web Application Firewall）の検知を回避する際に多用されました。
• CVE-2023-34362 (MOVEit Transfer): データの窃取を行う際に、通信内容を難読化してDLP（データ漏洩防止システム）を回避した事例があります。

調査のヒント:

難読化のサブテクニックには、T1001.001（ジャンクデータの追加）、T1001.002（ステガノグラフィ）、T1001.003（プロトコル偽装） があります。

分析

この攻撃手法を利用する脅威アクター

• Gorgon Group
• Threat Group-3390
• Patchwork
• BlackByte
• TA2541
• menuPass
• Kimsuky

関連する CVE

• CVE-2016-1991
• CVE-2015-3628
• CVE-2015-2852
• CVE-2015-6036
• CVE-2015-6022
• CVE-2015-7262
• CVE-2016-1562
• CVE-2016-9496
• CVE-2025-55182
• CVE-2015-0932
• CVE-2015-3636
• CVE-2017-16929
• CVE-2017-17215
• CVE-2012-4681
• CVE-2015-1761
• CVE-2013-3660
• CVE-2014-6324
• CVE-2010-0232
• CVE-2014-3393
• CVE-2023-1389
• CVE-2025-13335
• CVE-2025-13927
• CVE-2025-13928
• CVE-2025-24893
• CVE-2025-34026
• CVE-2025-55184
• CVE-2025-68645
• CVE-2026-0723
• CVE-2026-1102
• CVE-2026-20127

攻撃手法 – 脅威アクター Graph

---

← Technique一覧に戻る ← Tactics一覧に戻る