Download presentation
Presentation is loading. Please wait.
1
CCC DATAset における マルウェアの変遷
マルウェア対策研究人財育成ワークショップ2010 (MWS 2010) CCC DATAset における マルウェアの変遷 東海大学 ◎大類将之 菊池浩明 日立製作所 寺田真敏 KMITL Nur Rohman Rosyid 2010/10/21 3F2-4 攻撃通信データ
2
PE マルウェアの変遷 PE WO TR WORM A C 連携感染 B 1. 単一 2. 亜種 3. ボットネット
2010/10/21 3F2-4
3
連携感染の定義(例: PE → WORM, TROJ)
順番 初期感染(起点) 命令サーバ HTTP GET(連携) ユーザ IP (A) (B) (C) (D) → すべてのマルウェアに感染後、ポートスキャン開始 PE 初期感染 IRC DNS 命令 DNS WO GET TR DNS GET 2010/10/21 3F2-4
4
3年間のマルウェアDL数の推移 減少傾向 ダウンロード数 [DL/週] CCC DATAset [3年間] 2010/10/21 3F2-4
![3年間のマルウェアDL数の推移 減少傾向 ダウンロード数 [DL/週] CCC DATAset [3年間] 2010/10/21 3F2-4](http://slidesplayer.net/slide/11278068/61/images/4/3%E5%B9%B4%E9%96%93%E3%81%AE%E3%83%9E%E3%83%AB%E3%82%A6%E3%82%A7%E3%82%A2DL%E6%95%B0%E3%81%AE%E6%8E%A8%E7%A7%BB+%E6%B8%9B%E5%B0%91%E5%82%BE%E5%90%91+%E3%83%80%E3%82%A6%E3%83%B3%E3%83%AD%E3%83%BC%E3%83%89%E6%95%B0+%5BDL%2F%E9%80%B1%5D+CCC+DATAset+%5B3%E5%B9%B4%E9%96%93%5D+2010%2F10%2F21+3F2-4.jpg "3年間のマルウェアDL数の推移 減少傾向 ダウンロード数 [DL/週] CCC DATAset [3年間] 2010/10/21 3F2-4")
5
目的 問題点 なぜマルウェア数は減少傾向にあるのか? 連携感染の傾向に変化はないか?
CCC DATAset 3年間に渡るマルウェアの振る舞いに着目 し、連携感染の変遷や特徴を調査する 膨大な通信データから、連携感染を発見するのは難しい 問題点 2010/10/21 3F2-4
6
我々のアプローチ データマイニング手法を適用し、連携感染を抽出する 使用データマイニング手法: Apriori
◎大類,菊池,寺田 マルウェア対策研究人材育成ワークショップ (2009年) 使用データマイニング手法: PrefixSpan ◎N. R. Rosyid,大類,菊池, P. Sooraksa,寺田 第48回コンピュータセキュリティ研究会 (2010年) 1. 分散ハニーポット観測からのDLサーバ間の相関ルール分析 2. Frequent Sequential Attack Patterns of MW in Botnets 2010/10/21 3F2-4
7
データマイニングとは? 大規模なデータベース(攻撃元データ)から、頻出するパ ターン(連携感染)を抽出し、閾値を与えることで効率よく 有効なパターンのみを発見する 有効なパターン 2010/10/21 3F2-4
8
AprioriとPrefixSpanの違い
以下の連携感染例を抽出したい場合に… アイテム集合(順序なし) PEとWORMがセットのとき 、TROJもセットである シーケンス(順序あり) PEのあと、WORMに感染し 、その後TROJに感染する( またはその逆) 同時刻に感染 WO PE TR 50回発見 1. Apriori (相関ルール) 2. PrefixSpan (系列パターン) PE WO TR PE TR WO 30/50抽出 50/50抽出 PE TR WO 20/50抽出 2010/10/21 3F2-4
9
実験データ 72×20分=24時間 約20分間隔 攻撃通信データ ※2010年はHoney001
NTPパケットを元に観測期間単位(約20分)に分割 攻撃元データ ※2008年はHoneyIDがないため除外 全ての攻撃元データを94台のハニーポットに分割し、単純に 約20分間隔で分割 観測期間単位をスロットと定義する スロット マルウェア名 001 MW(A) MW(B) MW(C) 未感染 002 MW(D) … 072 72×20分=24時間 約20分間隔 2010/10/21 3F2-4
10
調査項目 調査1 マルウェアの活動傾向 連携感染の特徴がどうなっているか? 連携感染の推移がどうなっているか? 調査2 連携感染の活動傾向
1.1: 3年間で観測されたマルウェア 1.2: 連携感染が用いるIRCドメイン 1.3. 連携感染が用いるDNSドメイン 連携感染の推移がどうなっているか? 2.1: 連携感染の推移 2.2: 連携感染のマルウェア構成数 2.3: 連携感染の活動期間 調査1 マルウェアの活動傾向 調査2 連携感染の活動傾向 2010/10/21 3F2-4
11
調査方法 調査1 マルウェアの活動傾向 攻撃元データ、攻撃通信データを調査し、マルウェア名、 DNSドメイン、IRCドメインを抽出
すべての1日(72スロット)のデータに対してデータマイニ ングを適用し、3種類以上のマルウェアで構成される頻 出パターン(連携感染)を抽出し、グラフを作成 調査1 マルウェアの活動傾向 調査2 連携感染の活動傾向 2010/10/21 3F2-4
12
調査1.1: 3年間で観測されたマルウェア 3年間を通して上位のマルウェア PE_VIRUT.AV マルウェアファミリ名 PEが大多数
攻撃元データより マルウェア名 2008年 2009年 2010年 順位 DL数 PE_BOBAX.AK 8位 47654 3位 94324 32位 8018 PE_VIRUT.AV 9位 46741 2位 222207 1位 194557 WORM_ALLAPLE.AK 10位 45033 12位 30319 19位 12564 PE_VIRUT.XV 20位 26518 28位 16625 31位 8424 PE_VIRUT.XZ 46位 14315 51位 8885 33位 7181 PE_VIRUT.PAU 63位 10749 47位 9347 21位 11815 BKDR_VANBOT.HG 93位 6050 43位 11206 24位 10404 3年間を通して上位のマルウェア PE_VIRUT.AV マルウェアファミリ名 PEが大多数 2010/10/21 3F2-4
13
hub.xxxxx.com が共通して使用されている
調査1.2: 連携感染が用いるIRCドメイン 攻撃通信データより 順位 2008年 2009年 2010年 IRCドメイン 数 1位 hub com 81 hub com 35 pwned30.ircd.net 31 2位 i 38 - pwned28.ircd.net 30 3位 hub com 36 hub com 23 4位 hub com hub com 20 5位 aaa com 3 hub com 14 6位 irc.foonet.com 2 norks.org 13 7位 bla.com s4.com 8 8位 F3B4433F 1 japp.org 5 9位 irc.force.fo hub.xxxxx.com が共通して使用されている 2010/10/21 3F2-4
14
調査1.3: 連携感染が用いるDNSドメイン 攻撃通信データより 2010年 2008年 2009年 順位 DNSドメイン 数 1位
botz.noretards.com 133 - 2位 proxim.ntkrnlpa.info 62 3位 checkip.dyndns.org 60 4位 52 5位 tx.mostafaaljaafari.net 35 6位 tx.nadersamar2.org 32 7位 31 8位 28 9位 ss.ka3ek.com 19 31位 10位 ss.nadnadzzz.info 16 81位 11位 ss.MEMEHEHZ.INFO 15 90位 2010/10/21 3F2-4
15
調査2.1: 連携感染の推移 Apriori – 3種類以上の相関ルール 2010/10/21 3F2-4
相関ルール数 [スロット/月平均] CCC DATAset 2009 ~ 2010 [2年間] 2010/10/21 3F2-4
16
調査2.1: 連携感染の推移 各ハニーポットではどうだろうか? 2010/10/21 3F2-4 相関ルール数 [スロット/月平均]
CCC DATAset 2009 ~ 2010 [2年間] 2010/10/21 3F2-4
![調査2.1: 連携感染の推移 各ハニーポットではどうだろうか? 2010/10/21 3F2-4 相関ルール数 [スロット/月平均]](http://slidesplayer.net/slide/11278068/61/images/16/%E8%AA%BF%E6%9F%BB2.1%3A+%E9%80%A3%E6%90%BA%E6%84%9F%E6%9F%93%E3%81%AE%E6%8E%A8%E7%A7%BB+%E5%90%84%E3%83%8F%E3%83%8B%E3%83%BC%E3%83%9D%E3%83%83%E3%83%88%E3%81%A7%E3%81%AF%E3%81%A9%E3%81%86%E3%81%A0%E3%82%8D%E3%81%86%E3%81%8B%EF%BC%9F+2010%2F10%2F21+3F2-4+%E7%9B%B8%E9%96%A2%E3%83%AB%E3%83%BC%E3%83%AB%E6%95%B0+%5B%E3%82%B9%E3%83%AD%E3%83%83%E3%83%88%2F%E6%9C%88%E5%B9%B3%E5%9D%87%5D.jpg "CCC DATAset 2009 ~ 2010 [2年間] 2010/10/21 3F2-4.")
17
調査2.2: 連携感染のマルウェア構成数 PrefixSpan – 感染順を考慮して抽出 2010/10/21 3F2-4
マルウェア構成数 [構成数/日平均] CCC DATAset 2009 ~ 2010 [2年間] 2010/10/21 3F2-4
18
調査2.2: 連携感染のマルウェア構成数 連携感染の推移との比較 2010/10/21 3F2-4 相関ルール数 [スロット/月平均]
マルウェア構成数 [構成数/日平均] CCC DATAset 2009 ~ 2010 [2年間] 2010/10/21 3F2-4
![調査2.2: 連携感染のマルウェア構成数 連携感染の推移との比較 2010/10/21 3F2-4 相関ルール数 [スロット/月平均]](http://slidesplayer.net/slide/11278068/61/images/18/%E8%AA%BF%E6%9F%BB2.2%3A+%E9%80%A3%E6%90%BA%E6%84%9F%E6%9F%93%E3%81%AE%E3%83%9E%E3%83%AB%E3%82%A6%E3%82%A7%E3%82%A2%E6%A7%8B%E6%88%90%E6%95%B0+%E9%80%A3%E6%90%BA%E6%84%9F%E6%9F%93%E3%81%AE%E6%8E%A8%E7%A7%BB%E3%81%A8%E3%81%AE%E6%AF%94%E8%BC%83+2010%2F10%2F21+3F2-4+%E7%9B%B8%E9%96%A2%E3%83%AB%E3%83%BC%E3%83%AB%E6%95%B0+%5B%E3%82%B9%E3%83%AD%E3%83%83%E3%83%88%2F%E6%9C%88%E5%B9%B3%E5%9D%87%5D.jpg "マルウェア構成数 [構成数/日平均] CCC DATAset 2009 ~ 2010 [2年間] 2010/10/21 3F2-4.")
19
調査2.3: 連携感染の活動期間 3種類で構成される連携感染の生存期間 頻出パターン数 [スロット/日] 2009年1月~4月 [日]
2010/10/21 3F2-4
![調査2.3: 連携感染の活動期間 3種類で構成される連携感染の生存期間 頻出パターン数 [スロット/日] 2009年1月~4月 [日]](http://slidesplayer.net/slide/11278068/61/images/19/%E8%AA%BF%E6%9F%BB2.3%3A+%E9%80%A3%E6%90%BA%E6%84%9F%E6%9F%93%E3%81%AE%E6%B4%BB%E5%8B%95%E6%9C%9F%E9%96%93+3%E7%A8%AE%E9%A1%9E%E3%81%A7%E6%A7%8B%E6%88%90%E3%81%95%E3%82%8C%E3%82%8B%E9%80%A3%E6%90%BA%E6%84%9F%E6%9F%93%E3%81%AE%E7%94%9F%E5%AD%98%E6%9C%9F%E9%96%93+%E9%A0%BB%E5%87%BA%E3%83%91%E3%82%BF%E3%83%BC%E3%83%B3%E6%95%B0+%5B%E3%82%B9%E3%83%AD%E3%83%83%E3%83%88%2F%E6%97%A5%5D+2009%E5%B9%B41%E6%9C%88%EF%BD%9E4%E6%9C%88+%5B%E6%97%A5%5D.jpg "2010/10/21 3F2-4.")
20
考察 マルウェアが減少した理由 CCC DATAsetの未検出数 2009年: 221/200 = 1.105倍
2010年: 512/261 = 1.960倍 No. マルウェア名 プロトコル 攻撃通信 攻撃元 誤差 1 WORM_DOWNAD.AD TCP 118 79 -39 2 WORM_PALEVO.SMD 106 36 -70 3 WORM_PALEVO.BL 49 12 -37 4 PE_VIRUT.AV 42 26 -16 5 TROJ_BUZAUS.MC 25 11 -14 6 BKDR_RBOT.SMA UDP 43 13 -30 7 BKDR_MYBOT.AH -9 8 WORM_SDBOT.CEM 16 -1 9 WORM_MYTOB.IRC 合計 - 512 261 -251 2010/10/21 3F2-4
21
考察 マルウェアが減少した理由 ダウンロード数 [DL/週] CCC DATAset [3年間] 2010/10/21 3F2-4
![考察 マルウェアが減少した理由 ダウンロード数 [DL/週] CCC DATAset [3年間] 2010/10/21 3F2-4](http://slidesplayer.net/slide/11278068/61/images/21/%E8%80%83%E5%AF%9F+%E3%83%9E%E3%83%AB%E3%82%A6%E3%82%A7%E3%82%A2%E3%81%8C%E6%B8%9B%E5%B0%91%E3%81%97%E3%81%9F%E7%90%86%E7%94%B1+%E3%83%80%E3%82%A6%E3%83%B3%E3%83%AD%E3%83%BC%E3%83%89%E6%95%B0+%5BDL%2F%E9%80%B1%5D+CCC+DATAset+%5B3%E5%B9%B4%E9%96%93%5D+2010%2F10%2F21+3F2-4.jpg "考察 マルウェアが減少した理由 ダウンロード数 [DL/週] CCC DATAset [3年間] 2010/10/21 3F2-4")
22
考察 マルウェアが減少した理由 ダウンロード数 [DL/週] CCC DATAset [3年間] 2010/10/21 3F2-4
![考察 マルウェアが減少した理由 ダウンロード数 [DL/週] CCC DATAset [3年間] 2010/10/21 3F2-4](http://slidesplayer.net/slide/11278068/61/images/22/%E8%80%83%E5%AF%9F+%E3%83%9E%E3%83%AB%E3%82%A6%E3%82%A7%E3%82%A2%E3%81%8C%E6%B8%9B%E5%B0%91%E3%81%97%E3%81%9F%E7%90%86%E7%94%B1+%E3%83%80%E3%82%A6%E3%83%B3%E3%83%AD%E3%83%BC%E3%83%89%E6%95%B0+%5BDL%2F%E9%80%B1%5D+CCC+DATAset+%5B3%E5%B9%B4%E9%96%93%5D+2010%2F10%2F21+3F2-4.jpg "考察 マルウェアが減少した理由 ダウンロード数 [DL/週] CCC DATAset [3年間] 2010/10/21 3F2-4")
23
結論 過去3年間の攻撃通信データ、攻撃元データを使用し、 連携感染の変遷及び特徴を報告した
連携感染数が減少する一方で,連携感染のマルウェア 構成数は増加傾向にある この増加は、2010年の攻撃通信データ、攻撃元データの 解析結果から裏づけられた 2010/10/21 3F2-4
24
CCC DATAset におけるマルウェアの変遷
ご清聴ありがとうございました
Similar presentations
