パスシーケンスに基づく Drive-by- Download 攻撃の分類 東海大学 桑原和也 菊池浩明 中央大学 安藤槙悟 趙晋輝 日立製作所 藤原将志 寺田真敏.

Slides:



Advertisements
Similar presentations
TCP/IP によるチャットプログラ ム 薄井 秀晃. 基礎知識編 TCP/IP とは? IP とは・・・ Internet Protocol の略称であり通信方法の技術的なルールで あり、実際にデータを送受信する前にデータを小さなデータ に分割し、それに発信元と受信先の IP アドレスを付加させて.
Advertisements

Nov Yosuke HASEGAWA #owaspjapan. OWASP Japan Local Chapter Meeting #8 #owaspjapan 自己紹介 はせがわようすけ  ネットエージェント株式会社  株式会社セキュアスカイ・テクノロジー 技術顧問  Microsoft.
ウェブページビルダーマニュアル 株式会社 SOIYAA.
メール暗号化:秘密鍵・公開鍵の作成  作業手順 Windows メール(Vista).
目次 WindowsPCの場合 iPadの場合 iPhoneの場合 Androidの場合
情報基礎A 情報科学研究科 徳山 豪.
日本細胞生物学会HP広告出稿概要
第1回.
画像展示サイト“Fragments” 『閲覧しやすさ』と『デザイン性』を両立させた Webデザイン
【セッション予約日時、価格等の新規登録】
JPAを利用した RESTful Webサービスの開発
Endnoteの使い方~AMS雑誌用~ 稲津 將 北海道大学 大学院理学研究院.
CCC DATAset における マルウェアの変遷
らくらく学校連絡網 スライドショーで見る操作ガイド -7- 出欠確認付きメール escで中断、リターンキーで進みます
第2章 ネットサービスとその仕組み(前編) [近代科学社刊]
らくらく学校連絡網 スライドショーで見る操作ガイド -3- 登録 抜粋-管理者作業 escで中断、リターンキーで進みます
情報処理基礎 2006年 6月 1日.
デジタルポートフォリオ作成支援ツール PictFolio 使用マニュアル
ISDASインターネット分散観測: ワームの平均寿命はいくらか?
Zeusの動作解析 S08a1053 橋本 寛史.
ネット時代のセキュリティ2(脅威の例) 2SK 情報機器工学.
第4回 個人の動画配信補足のためのWeb構築
Vulnerability of Cross-Site Scripting
問題設定の迅速化 Quick Quiz Setting
WebCluster スライドショーで見る操作ガイド
OpenSim ジオラマシステム 情報システム学科  井関 文一.
WebCluster スライドショーで見る操作ガイド
HTTPプロトコルとJSP (1) データベース論 第3回.
JQueryでAjax 藤田@ジャストプレイヤー ※参考しまくり文献 jQuery日本語リファレンス.
WebCluster スライドショーで見る操作ガイド
HTTPプロトコル J2EE I 第7回 /
タブレットのビジネス活用を支援する法人向けファイル共有サービス
サンデーPonセットアップマニュアル <目次> 1.動作環境について 2.セットアップ作業 ①. ソースの設置
第8章 Web技術とセキュリティ   岡本 好未.
セキュリティ(5) 05A2013 大川内 斉.
DNSトラフィックに着目したボット検出手法の検討
パケットキャプチャーから感染種類を判定する発見的手法について
2009年度卒業論文発表 CDNコンテンツサーバの動的負荷分散
Cisco Umbrella のご紹介 2018 年 1 月.
WWW上の効率的な ハブ探索法の提案と実装
MSET使用方法  一時中断したい場合には、マウスの右クリックをしてください(小ウインドウが開き一時停止します)。続行する場合には、開いた小ウインドウ以外の適当な場所を右クリックしてください。
【e-Rad】担当者用 平成24年度公募(三次) 新規公募(三次)設定 操作説明 (3月29日修正版)
R12 マルウェアの連携感染パターンの自動検出方式
ホームページビルダー 不要ファイル削除の仕方.
スキルチェック Network編.
長崎市① 長崎市における平和学習スポット (社)長崎県観光連盟.
サーバーのパスワード変更.
Webコミュニティ概念を用いた Webマイニングについての研究 A study on Web Mining Based on Web Communities 清水 洋志.
DNSクエリーパターンを用いたOSの推定
XMLゼミ 3.5 DTD M2 正木 裕一.
マルウェアの通信履歴と 定点観測の相関について
最低限インターネット ネットワークにつなぎましょ!
東京工科大学 コンピュータサイエンス学部 亀田弘之
不完全な定点観測から 真の不正ホストの分布が分かるか?
コードクローン分類の詳細化に基づく 集約パターンの提案と評価
不正アクセスパケットの地図上での可視化 菊池研究室 畠山俊樹.
JavaScriptを含んだHTML文書に対する データフロー解析を用いた構文検証手法の提案
12枚のコイン.
E-精算インストール説明書.
仮想マシンに対する 高いサービス可用性を実現する パケットフィルタリング
アスペクト指向言語のための視点に応じた編集を可能にするツール
メソッドの同時更新履歴を用いたクラスの機能別分類法
Kidslyマニュアル 保護者編.
◎小堀 智弘,菊池 浩明(東海大学大学院) 寺田 真敏(日立製作所)
pf-6. スタック (Python プログラミング基礎を演習で学ぶシリーズ)
分散ハニーポット観測からのダウンロードサーバ間の相関ルール抽出
Webページタイプによるクラスタ リングを用いた検索支援システム
ボットネットの国別マルウェア活動時間 なぜインドからの攻撃は日本時間で行われるか?
分散ハニーポット観測からのダウンロードサーバ間の相関ルール抽出
P2Pによる協調学習システム 唐澤 信介   北海道工業大学 電気工学専攻.
Presentation transcript:

パスシーケンスに基づく Drive-by- Download 攻撃の分類 東海大学 桑原和也 菊池浩明 中央大学 安藤槙悟 趙晋輝 日立製作所 藤原将志 寺田真敏

Page 2 ① ② ③ ④ ⑤ ⑥ ⑦ ⑧ ⑨ 正規サイト ( 入口 ) 誘導サイト 攻撃サイト MW 配布 Drive-by-download 攻撃とは CVE 一般ユーザの PC 自動転送 攻撃コード Page 2

Page 3 攻撃の問題点  様々な通信の中から入り口サイトを見つけ出すことが一番 難しい.  入り口サイトを見つけ出すには,難読されたコードを解読 しなければならない

研究目的  解読しないで特定することはできないか?  Web サイトのソースを解読することなく,攻撃の種類を分 類することが可能かどうか検討する  攻撃に用いられるパスに着目 Page 4

パスシーケンスとは Page 5 /index.html /index.php?jl= /pics/java.html /pics/JavaJopa.jar /pics /load.php?spl=mdac ① ② ③ ④ ⑤ 脆弱性 誘導 MW 配布

Page 6 スロットの定義  1 つの巡回対象 URL へのアクセスから生じる一連の通信 -HTTP 通信が行われてから,リダイレクト,外部サイトのスクリプトや画像の 読み込みなどの派生先 URL へのアクセスを含む複数の通信 攻撃通信データの分割 ( スロット ) 3 日間で合計 518 スロット

特徴量抽出 特徴 slot 1 回の巡回対象 URL へのアクセス Session スロット内の通信の順番 HTTP- Response-code HTTP ステータスコード Referer 参照元 URL Location リダイレクト先 URL User-Agent データを利用する際に用いるソフトウェア MW ダウンロードしたマルウェアの名前 Content-Type ファイル形式 Page 7

パスシーケンス Page 8 /index.htm またはなし / ~ constantcontact.com.php /index.php?jl= /pics/jquery.jxx /pics/java.html /pics/ChangeLog.pdf / main.php?id=0 /pics/JavaJopa.jar /welcome.php?id =9&hey240 /pics/JavaJopa.jar 11:04:43 GMT 11:04:53 GMT 11:04:52 GMT 11:04:54 GMT 11:04:55 GMT 11:04:58 GMT 11:04:59 GMT 11:05:00 GMT 11:05:01 GMT 11:05:07 GMT ① ② ③ ④ ⑤ ⑥ ⑦ ⑧ ⑨ ⑩ ⑪ ⑫ ① samandgostar.com ②~⑫ (⑤は除く) metroflog- com.washingtonpost.com.stumbleupon- com.greatwestend.ru:8080 ⑤ mycontentguide.ru:8080

攻撃のシーケンス No.ru:8080 Gumblar 3129 インジェクション攻撃 1 /index.htm またはなし.html またはなし 2.com.php または.com.cn.php /in.php 3/index.php?jl=/js 4/pics/jquery.jxx/download/index.php 5/main.php?id=0/download/jabber.php 6/pics/ChangeLog.pdf/download/banner.php?spl=mdac 7/pics/java.html 8/pics/JavaJopa.jar 9 10/pics/JavaJopa.jar 11/pics/JavaJopa.jar 12/welcome.php?id=9&hey240 Page 9 全ての攻撃で同じ通信の順番であった

研究方法 A. 攻撃パターン特徴量 - 攻撃に用いられる通信のパスの一部,発信元 IP などの特徴. B. フルパスインデックス - 攻撃に用いられる URL のパス列. Page 10 パスを用いた攻撃の分類 脆弱性による攻撃の分類 2. パス以外の分類方法との比較 1. パスによる攻撃の種類を分類 C. 脆弱性特徴量 攻撃に用いられる脆弱性の種類

パスを用いた攻撃の分類手法 Page 11  D3M2010 攻撃通信データに含まれる URL のパス  URL のパスを全ての階層の文字列に ID を付加したもの  複数の IP において観測されたもの  複数のスロットにおいて観測されたもの A. 攻撃パターン特徴量の定義 例 /ajax/libs/jquery/1.4.1/jquery.min.js /ajax/libs/jquery/1.4.1/jquery.min.js ID

パスを用いた攻撃の分類手法  D3M2010 攻撃通信データに含まれる URL のパス  複数の IP において観測されたもの  複数のスロットにおいて観測されたもの Page 12 B. フルパスインデックスの定義 IDpath 1 /ajax/libs/jquery/1.4.1/jquery.min.js 2 /BaaaaBaa.class 3 /cache/CSS.css 4 /cache/PDF.php?st=Internet%20Explorer% /compressiontest/gzip.html 6 /cry217/down.php 7 /cry217/xd.php

C. 脆弱性による攻撃の分類 No. 脆弱性出現回 数 C1CVE C2CVE C3CVE C4CVE C5CVE C6CVE C7CVE C8CVE C9CVE C10CVE C11CVE C12CVE C13CVE C14CVE 計 595 Page 13  jsunpack-n -Blake Hartstein によって開発され たマルウェアアンパックツール  脆弱性の種類 -14 種類 /3 日間

解析結果 攻撃パターン攻撃に用いられるパス / 発信元 IP スロット数 A1/index.php?spl=227 A2/cache/PDF.php?st=Internet\%20Explorer\% A3/pdf.php[pdf]55 A4/load.php?a=a\&e=615 A5/load.php?spl=mdac8 A6/load.php?id=07 A7/load.php24 A A A A11/newload.php?ids=MDAC7 A 計 231 Page 14 A. 攻撃パターン特徴量の攻撃パターン

パスを用いた攻撃の分類手法 攻撃パターンシーケンススロット数 A3-1 ① /pdf.php[pdf] にアクセス ( 巡回 URL リストの URL が 7 A3-2 ① /load.php?spl=mdac [octet-stream] にアクセス ② ?spl=2&br=MSIE&vers=6.0&s=[html] をパスに含む URL にアクセス ③ ?spl=3&br=MSIE&vers=6.0&s=[html] をパスに含む URL にアクセス ④ /pdf.php[pdf] にアクセス ( ③、④は順序が逆になることも ) 15 A3-3 ① / にアクセス ② /feedback.php?page=1 にアクセス ③ (/files/sdfg.jar にアクセス ) ④ /pdf.php にアクセス ⑤ /files/som.jpg にアクセス ⑥ (/feedback.php?page=10 にアクセス,2 回アクセスすることも ) ⑦ /feedback.php?page=5 にアクセス (DL ファイルは⑥と同じ ) 14 A3-4 ① /show.php にアクセス ② (/load.php?e=1) にアクセス ( リダイレクト ) ③ /pdf.php ④ /directshow.php 13 A3-5 /loading.php?spl=mdac /sdfg.jar /q.jar /?spl=2&br=MSIE&vers=6.0&s= /pdf.php /?spl=3&br=MSIE&vers=6.0&s= /loading.php?spl=javad0 /dx_ds.gif /loading.php?spl=DirectX_DS 2 A3-6 / /exe.php?spl=MDAC /pdf.php /exe.php?spl=java0 4 Page 15

パスを用いた攻撃の分類手法 攻撃パターンシーケンス A3-2 /pdf.php[pdf] ① /load.php?spl=mdac [octet-stream] にアクセス ② ?spl=2&br=MSIE&vers=6.0&s=[html] をパスに含む URL にアクセス ③ ?spl=3&br=MSIE&vers=6.0&s=[html] をパスに含む URL にアクセス ④ /pdf.php[pdf] にアクセス Page 16

パスを用いた攻撃の分類手法 攻撃パター ン フルパス ID のシーケンススロット数 B1 180 , 169 , 170 , 171 , 176 , 173 , 174 , 175 , 181 , 50 , 183 , B2 60 , 2 3 B3 3 , 4 , B B5 64 , 66 , B6 71 , 8 11 B B8 53 or B Page 17 B. フルパスインデックスの攻撃パターン

パスを用いた攻撃の分類手法 slot Page 18 攻撃シーケンス B. フルパスインデックスの攻撃パターン B1

脆弱性による攻撃の分類 No 脆弱性出現回数 1 C9→C6→C10 3232 2 C8→C11→C1→C7→C8→C1111 3 C9→C13→C6→C10 →C13 5 4 C9→ C13→ C6→ C1310 Page 19 C. 脆弱性の組み合わせによる攻撃パターン

攻撃分類の精度 Page 20  再現率 R A 8080 = 4/13 = 0.31  適合率 P A 8080 = 4/90 = 0.04  平均再現率  R (A. 攻撃パターン ) = /2 =  R (B. フルパスインデックス ) = 0.38  R (C. 脆弱性 ) = 0.54 G\AG\A A1A2A5A7A9 その他計 その他 5

結論  パスを用いた攻撃分類の各提案手法の精度を既知の攻撃と の再現率と適合率で評価した. IP やホスト名が違っていて も同じパスを使った攻撃は存在した.  パスによる攻撃の分類よりも,脆弱性を使った攻撃の分類 のほうが精度が高かった.  パスを用いた攻撃分類手法の平均適合率が低いことから, パスを用いた攻撃の分類は難しい Page 21

Page 22 ご静聴ありがとうございました