ボットネットの国別マルウェア活動時間 なぜインドからの攻撃は日本時間で行われるか? 東海大学 松尾峻治 菊池浩明 日立製作所 寺田真敏 藤原将志
ボットネットの問題 一般PC 不正者 C&Cサーバ マルウェア ダウンロードサーバ 不正者はC&Cサーバ,マルウェアダウンロードサーバを経由して一般PCにマルウェアを配布,感染させる. そのため基本観測できるのは感染したPCとマルウェアダウンロードサーバであり,不正者までたどりつくことができない. しかし,不正者も一般PCと同様人であり,PCを常に動かしているわけではなく,活動している時としていないときがあります. そこで,ひとつの仮説として
研究背景 人とマルウェアの活動には深い関連があるのではないか? 昼14:00 夜23:30 朝7:00 人 PC MW
ボットネットの活動時間について
活動時間
L群-日本とは活動時間が違う国
L群-時差を考慮した場合
J群-日本と活動時間が同じ しかし,L群には属さないもう一つのJ群というのがありました. これらは時差を考慮しない状態でも日本と活動時間が一緒というものでした. J群のアメリカ,カナダは10万以上のマルウェアがダウンロードされています. しかし,ユニークIP数ではアメリカが1000以上なのに対し,カナダでは256と少なく ばらつきがありました.他にもセルビアはユニークIP数が7に対し,ダウンロード数が4948回と少ないIPでたくさんダウンロードされているのに対し インドはユニークIP数が1000件以上に対し,ダウンロード回数が4806回とダウンロード数とユニークIP数との関係がばらばらであるにもかかわらず 活動時間でみると日本とほぼ一緒だということがわかりました.
日本との相関について 日本のマルウェア活動時間を基とするとき,各国iとどのくらい違うのか明確にするため相関係数を用いた. 国iの時刻tの時のダウンロード数をdi(t)とするとき,国iの日本との相関係数Si,jは次のように求める.pは時間のずれ、位相を示す
相関係数と位相の関係-L群について ブラジル 最適値(p*=11時間) ブラジル 時差 (p’=12時間)
ダウンロード活動の最適な位相 国の時差を位相p’とおく. 相関係数Si,jが最大なるときの位相をp*とおく. 国名 日本との時差p' Si,j(t) Si,j(t-p*) J群 カナダ 15 0.993 アメリカ 16 0.816 ウクライナ 7 0.959 セルビア 8 20 12 0.45 0.789 インド 3 22 5 0.785 0.809 L群 ブラジル 11 1 -0.429 0.847 イタリア 6 2 -0.073 0.765 ニュージーランド -3 19 0.058 0.881 ポーランド 0.008 0.831 ルーマニア 0.219 0.773 国の時差を位相p’とおく. 相関係数Si,jが最大なるときの位相をp*とおく.
時差と位相の差はなぜか? 仮説1)攻撃ホストAに依存している. 仮説2)ダウンロードサーバBに依存している. PM22:00 AM04:00
攻撃パターン パターン 攻撃ホスト ハニーポットC DLサーバ 活動時間 1 * 日本 日本時間 2a J群 2b 2c L群 3a 現地時間 3b 3c ハニーポットは今回使用しているデータは日本のため,すべて日本となります. それに対し攻撃ホスト,ダウンロードサーバでは日本,L群,J群と3つパターンがあり,これらの組み合わせは全部で7種類となりました. 先ほどの例では2aとなり,日本,日本,J群というパターンです. 今回DLサーバのJ群は日本時間,L群は現地時間という活動時間となっています. パターンの差がみるため,攻撃ホストに注目することになりました. もし,仮説1の攻撃ホストに依存している場合,2aと3Cが正しいことになり,もし仮説2が正しい場合2c,3bなどが正しくなるはずです.
実験 2010年3月5日から11日のCCCDateset2010の攻撃通信データを使用した. 実験1)通信の失敗 L,J の両群についてsyn-ack の通信が失敗している割合を調べる. 実験2)攻撃ホスト常時オンライン数 2010 年9 月1 日~4 日かけて,各攻撃ホストに毎時ping(ICMP Echo パケット)を行い,オンラインの攻撃ホストの割合を調べる. 実験3)攻撃ホストAとダウンロードサーバBの国分布 攻撃ホストAとダウンロードサーバBの各国の割合を調べる. 2が原因ならダウンロードサーバの中には時刻に応じて停止したりするサーバあるはずです. 先程までのCCCデータセット この攻撃ホストを観測するために次のような実験を行いました. まず,攻撃ホストのIPが偽っていないかを確かめるために,攻撃ホストの通信が失敗している数を調査しました. 次に,攻撃ホストに活動時間が存在しているかを確かめてるため,攻撃ホストに対しpingを飛ばし,オンラインになっているかを調べました. 最後に攻撃ホストとダウンロードサーバの国の関係を調べるため,国の割合を調べました.
CCCDataset2010 攻撃元データ 攻撃通信データ マルウェアをダウンロードした時のログデータ おもに日時,攻撃IP,マルウェアの情報がある. 攻撃通信データ 設置したハニーポットの実際に攻撃を受け感染し,感染活動するまでの動作をパケットキャプチャしたもの.
実験1 syn-ackの通信が失敗している割合 攻撃ホスト1164件中syn-ackに失敗している IPアドレスはは39件あった. 失敗しているIPアドレスのほとんどが 一般ホストのFQDN
実験2 J群-アメリカの常時オンライン数
実験2 L群-イタリアの常時オンライン数
実験3 攻撃通信データの国の割合 J群 L群 Aのほうが日本の割合が多く,J群への日本時間に依存して観測されている大きな要因と考えられる. 加えて,J群の中にはUSのように常時接続が高い国がある.こういう国では仮説2のような停止していることが原因で活動時間が生じることはないと考えられると思います. J群の理由は攻撃パターン2a,攻撃ホスト日本ということが原因だと結論付けました. J群 L群
考察 アメリカや日本の攻撃ホストは24時間動いていることから,日本の攻撃ホストがダウンロードを引き起こしている. イタリアやブラジルは現地時間で活動しており,攻撃の起点となっている. 以上より, 仮説1:攻撃ホストに依存している.
まとめ マルウェアと一般ユーザの活動時間深い関わりがあり,攻撃ホストの属するタイムゾーンに依存している. 攻撃ホストが多いほど,現地時刻に近くなるので,各国活動時間との相関を取るころにより,不正ホストの中で攻撃ホストの割合が多いか判定できる可能性がある.
syn-ackの失敗について ハニーポット C 攻撃ホスト A synパケット ackパケット syn-ackパケット
攻撃通信データのユニークIP数順位
ダウンロードサーバオンライン数
相関係数と位相の関係-J群について
活動時間について 日本とほぼ同じ時間で活動しているJ(Japan Time) 群と,現地時間で活動していると思われるL(Local Time) 群の二つに分けられた. 通常,各国の時差があるため,活動時間は異なっているはず.
時差について 観測時刻から位相pずれる場合di(t-p)と置く. 位相pずれている場合の相関係数Si,j(p)を次にのように置く.
ご静聴ありがとうございました.