Download presentation
Presentation is loading. Please wait.
1
OSのシグネチャを用いた 悪意のある通信の検出法
後藤研究室 学部4年 1G06R129-3 棚澤 崇行 卒業論文B 合同審査会 2010/2/1 (Mon.)
2
研究背景 近年のマルウェアに対し、既存の対策では 効果が薄れてきている マルウェアにおける脅威の傾向 カーネル・マルウェアの出現
独自に実装されたネットワークドライバを用いて、 カーネルモードで通信を行う 一度感染したら、ファイアウォールでは通信を遮断できない ボットネット、ボットの感染拡大 攻撃者が外部から感染マシンをコントロール可能 頻繁な亜種の出現、自己更新機能 マルウェアとは malware (malicious software) 悪意のあるソフトウェアの総称 卒業論文B 合同審査会 2010/2/1 (Mon.)
3
先行研究 『TCPフィンガープリントによる悪意のある通信の検出』 MWSシグネチャを定義 概要
後藤研 M2 木佐森さん, MWS 2009, pp , 概要 独自に実装されたネットワークドライバ発のパケットは、既存 のOSとは異なるTCPヘッダの特徴をもつことが知られている そこで、 “一般的なOSでは利用されないTCPフィンガープリント (= TCPヘッダ の特徴) を有する攻撃パケットはFKM感染ホストが発信した” と仮定した上で、FKM感染ホストの実態調査、および 通信パターンの分析を行っている MWSシグネチャを定義 FKM (Full Kernel Malware) ・・・すべての機能をカーネルモードで動作するマルウェア 卒業論文B 合同審査会 2010/2/1 (Mon.)
4
passive TCP fingerprinting, p0f
受信した通信パケットの特徴から、受動的に通信相手のOSを 特定する技術 TCP/IPではオプション等の実装がOSごとに異なることを利用 p0f 代表的な passive TCP fingerprinting のツール 以下の形式のシグネチャとマッチング [wwww:ttt:D:ss:OOO…:QQ:OS:Details] 表 p0fのシグネチャを構成するフィールド値 wwww ウィンドウサイズ ttt TTL初期値 D DF (Don't Fragment) ビット ss SYNパケット全体のサイズ OOO TCPオプション (MSS, NOP, etc) QQ その他、特徴的な点など OS 表示するOS名 details OSのバージョンなど
5
MWS シグネチャ CCC DATAsetの「攻撃通信データ」にp0fを適用した結果、 OSがUNKNOWNと判定されたもの
TTL初期値を2の累乗と推定し、43のシグネチャに集約 CCC DATAsetとは サイバークリーンセンター (CCC) の収集するデータをもとに 作成された研究用データセット、以下の3つから構成 マルウェア検体 (のハッシュ値) 攻撃通信データ ・・・ ハニーポットのパケットダンプファイル 攻撃元データ マルウェア対策研究人材ワークショップ (MWS) において共有 卒業論文B 合同審査会 2010/2/1 (Mon.)
6
研究の目的 MWSシグネチャに関する以下の検証を行う マルウェアがどの過程でMWSシグネチャによる通信を 行うのか
マルウェアの動作実験 MWSシグネチャはどの程度の脅威なのか Nepenthesにおける攻撃成立率の算出 Nepenthesとは マルウェア収集に特化した低対話型ハニーポット 著名な脆弱性と一部のシェルコードをエミュレート 卒業論文B 合同審査会 2010/2/1 (Mon.)
7
マルウェアの動作実験 隔離されたネットワークの中でマルウェアを実行 実行からおよそ5分間の通信をキャプチャし、分析 仮想環境、実機環境で比較
仮想環境はVMware ESXi 4.0.0を利用 実機環境は情報通信研究機構 三輪氏らによるMAT (Minimal- attack / Malware Analysis Testbed) を利用させていただいた 使用したマルウェア CCC DATAset で提供されたハッシュ値に一致する検体11種 Nepenthes等によって独自に入手した検体9種 マルウェアや小規模な攻撃の再現を行い、安全に解析や体験学習に利用するためのテストベッド 卒業論文B 合同審査会 2010/2/1 (Mon.)
8
実験環境 (概要図) 卒業論文B 合同審査会 2010/2/1 (Mon.)
9
実験結果 実機と仮想マシンによる動作の違い いくつかの基本的な動作パターンを確認 (後述) MWSシグネチャは見つからず
仮想環境を検出し、動作しない検出が1検体あった その他挙動の違いはほとんど見られず いくつかの基本的な動作パターンを確認 (後述) MWSシグネチャは見つからず 卒業論文B 合同審査会 2010/2/1 (Mon.)
10
マルウェアの動作パターン① 別のマルウェアに感染しに いっているのでは? DNSサーバに正引き問い合わせを行い、
返ってきたIPアドレスのTCP/80に接続要求を行う Webサーバには以下のようなリクエスト ・GET /ecv20.php ・GET /ecv60.php?p=bGlwPTE5Mi4xNjguMC45Jm49MSZ3PTIuNS4xLlNlcnZpY 2UgUGFjayAz ・GET /binaries/relevance.dat ・GET /client.php?str=/yfwar6fICJrSn8buMBjhMYZKTK3COLQMFjoKqBzsag= ・GET /ack.php?version=16\&myVer=6\& uid=98818A46-0BF \&status=OK\&l=0 ・GET /public/controller.php?action=bot\&entity\_list=\&uid=\&first=1\& guid= \&v=15\&rnd= ・POST /safebrowsing/downloads?client=navclient-auto-ffox\&appver=3.5.5\& pver=2.2\&wrkey=AKEgNitUOrc7a5aJHiJXVf9do2jFt-VEdY5mCHM0f6T5v EIjn5d7hgr1GuqHTbeD\_APiw82xUzF4vdn\_RTVYo16LzUNlnWutdQ== 別のマルウェアに感染しに いっているのでは?
11
マルウェアの動作パターン② DNSサーバに正引き問い合わせを行い、 返ってきたIPアドレスのTCP/(80以外) に接続要求を行う
TCP/2345 は Doly Trojan が利用することで知られる TCP/3305, 9111 は不明 以下の可能性が考えられる マルウェア配布サーバのポート 特定のバックドア 未知のワーム、トロイの木馬が利用 卒業論文B 合同審査会 2010/2/1 (Mon.)
12
マルウェアの動作パターン③ DNSの問い合わせは行わずに外部に接続要求を行う パターン②、パターン③では、
乱数からIPアドレスを作り出していると思われる TCP/80, 445宛を確認 パターン②、パターン③では、 感染後すぐに感染活動を行っていると考えられる 卒業論文B 合同審査会 2010/2/1 (Mon.)
13
実験の考察 なぜMWSシグネチャが観測されなかったのか さらなる情報を手に入れるためには 使用したマルウェアがFKMではなかった
ではCCC DATAset のマルウェアは? 完全に隔離された実験環境では自由度が足りなかった 別検体のダウンロードと思われる挙動 感染の初期段階ではMWSシグネチャが現れない可能性も 動作時間が短かった ユーザの操作や特定の時間に同期して動作するマルウェアの存在 さらなる情報を手に入れるためには マルウェアの挙動を確認しながら、 徐々に自由度を高めた実験を行う必要がある 卒業論文B 合同審査会 2010/2/1 (Mon.)
14
Nepenthesにおける攻撃検出率 一般の商用プロバイダの回線につないだホスト上でSYNパ ケットをキャプチャ (2009年11月22日~12月22日) 外部へのサービスはNepenthesのみ 攻撃パケットが届いた際に、Nepenthesが応答してダウンロー ドを試みたものを攻撃成立とみなす 簡単のため、以下のように分類 ALL :すべてのパケット Nepen :上記のうち、Nepenthesにおいて攻撃が成立したことの あるIPアドレスからのパケット MWS.Nepen :上記のうち、MWSシグネチャを有するもの MWS :MWSシグネチャを有するすべてのパケット 卒業論文B 合同審査会 2010/2/1 (Mon.)
15
表 パケット数、攻撃成立回数とユニークIPアドレス数
MWS.Nepenの攻撃成立回数の推定 MWS.Nepenにおける1パケットあたり成立回数 = Nepenにおける1パケットあたりの成立回数 と仮定 1740 packets × ~ 1215 回 と推定 表 パケット数、攻撃成立回数とユニークIPアドレス数 パケット数 / 攻撃成立回数 ユニークな IPアドレス数 ALL 11,072 packets 2,287 Nepen 4,426 packets 832 3,091 回 MWS.Nepen 1,740 packets 308 計測不能 MWS 4,003 packets 637 69.84% (推定) 1,215 回 卒業論文B 合同審査会 2010/2/1 (Mon.)
16
表 パケット数、攻撃成立回数とユニークIPアドレス数
パケット単位の攻撃成立率 すべて 27.92% MWS 30.35% MWSパケットは全パケットの平均と比べて、 1パケットあたりの攻撃成立が2.43%高い 表 パケット数、攻撃成立回数とユニークIPアドレス数 パケット数 / 攻撃成立回数 ユニークな IPアドレス数 ALL 11,072 packets 2,287 Nepen 4,426 packets 832 3,091 回 MWS.Nepen 1,740 packets 308 (推定) 1,215 回 MWS 4,003 packets 637 卒業論文B 合同審査会 2010/2/1 (Mon.)
17
表 パケット数、攻撃成立回数とユニークIPアドレス数
ホスト単位の攻撃成立率 すべて 36.38% MWS 48.35% MWSパケット発信ホストは全ホストの平均と比べて、 1ホストあたりの攻撃成立率が11.97%高い 表 パケット数、攻撃成立回数とユニークIPアドレス数 パケット数 / 攻撃成立回数 ユニークな IPアドレス数 ALL 11,072 packets 2,287 Nepen 4,426 packets 832 3,091 回 MWS.Nepen 1,740 packets 308 (推定) 1,215 回 MWS 4,003 packets 637 卒業論文B 合同審査会 2010/2/1 (Mon.)
18
攻撃成立率から パケット単位でみると、 しかし、ホスト単位でみると、 つまり、
MWSパケットの攻撃成立率は、全パケットの平均値と比べて 少し高い程度 (+2.43%) しかし、ホスト単位でみると、 MWSシグネチャ発信ホストの攻撃成立率は、平均値に比べ て非常に高い (+11.97%) つまり、 MWSシグネチャ発信ホストによる攻撃は偏りが少なく、同規 模の攻撃を受けた場合、より成立しやすい 卒業論文B 合同審査会 2010/2/1 (Mon.)
19
まとめ 隔離された環境におけるマルウェアの動作実験 Nepenthesにおける攻撃成立率 基本的な動作パターンを確認
別検体のダウンロード、アップデート 感染活動 MWSシグネチャは発見できず Nepenthesにおける攻撃成立率 MWSシグネチャ発信ホストからの攻撃パケットは、1ホストあ たりの攻撃成立率が非常に高く、特に注意が必要である。 卒業論文B 合同審査会 2010/2/1 (Mon.)
20
今後の課題 外部接続性のある環境でのマルウェアの実行 他のハニーポットによる攻撃成立率の評価
外部接続性を保ちながらも感染活動を遮断できるような実験 環境の構築 他のハニーポットによる攻撃成立率の評価 本研究において算出した攻撃成立率は、Nepenthesの実装に 大きく依存している 卒業論文B 合同審査会 2010/2/1 (Mon.)
21
ご清聴ありがとうございました 卒業論文B 合同審査会 2010/2/1 (Mon.)
22
実験に使用したマルウェアの検体名 avast! Version4.8 Home Editionによる
(ウイルスデータベースのバージョン ) • Win32:Trojan-gen × 4 • Win32:Small-MTP [Trj] × 2 • Win32:Agent-ABSM [Trj] • Win32:Zbot-ALS • Win32:Agent-UBI [Wrm] • Win32:Virut • Win32:Agent-SPX [Trj] • Win32:Bredolab-AP [Trj] • Win32:MalOb-Z [Cryp] • Win32:Malware-gen • Win32:Rbot-GNZ [Trj] • Win32:Small-ESX [Trj] • Win32:VB-NUQ [Drp] • Win32:Virtob • Win32:Zbot-MML [Trj] • 不明 × 1 卒業論文B 合同審査会 2010/2/1 (Mon.)
23
MWS シグネチャの分析 各MWSシグネチャの割合 宛先ポート番号 送信元IPアドレスの国別情報
送信元IPアドレスのDNSBL (DNS Blacklist) 掲載 Nepenthesにおける攻撃成立率の算出 卒業論文B 合同審査会 2010/2/1 (Mon.)
24
分析に用いたデータ CCC_SYN HONEY_SYN CCC DATAset の「攻撃通信データ」に含まれるすべてのSYN パケット
この内、MWSシグネチャを有するものをCCC_MWSとする 収集期間は2009年~~の2日間 HONEY_SYN 一般の商用プロバイダの回線につないだホスト上でキャプ チャしたSYNパケット この内、MWSシグネチャを有するものをHONEY_MWSとする 収集期間は2009年11月22日~12月22日の約1ヶ月間 Nepenthesを同時実行 卒業論文B 合同審査会 2010/2/1 (Mon.)
25
表 : 各データセットにおける攻撃元のOSの割合
分析に用いたデータ 表 : 各データセットにおける攻撃元のOSの割合 OS パケット数 CCC_SYN HONEY_SYN Windows 4,815,260 3,390 MWSシグネチャ 2,619 4,003 Unix / Linux 37 156 Redline 5 Novell NetWare 815 UNKNOWN 27,028 計 4,817,921 35,392 卒業論文B 合同審査会 2010/2/1 (Mon.)
26
MWSシグネチャの割合 図:CCC_SYNのMWSシグネチャ 図:HONEY_SYNのMWSシグネチャ 卒業論文B 合同審査会
2010/2/1 (Mon.)
27
宛先ポート番号 図:CCC_MWSの宛先ポート番号 図:HONEY_MWSの宛先ポート番号 卒業論文B 合同審査会
2010/2/1 (Mon.)
28
送信元IPアドレスの国別情報 図:CCC_MWSの送信元国別情報 図:HONEY_MWSの送信元国別情報 卒業論文B 合同審査会
2010/2/1 (Mon.)
29
送信元IPアドレスのDNSBL掲載率 DNSBLとは、 本研究では The Spamhaus Project のものを利用
SBL (Spamhaus Block List) スパムメールの送信、中継に関係したIPアドレスのリスト XBL (Exploits Block List) ワームやトロイの木馬、公開プロキシなどによってハイジャックされ、 攻撃の踏み台となったIPアドレスのリスト PBL (Policy Block List) 動的IPアドレスのリスト 卒業論文B 合同審査会 2010/2/1 (Mon.)
30
送信元IPアドレスのDNSBL掲載率 CCC_SYN, HONEY_SYNに加え、頻出のシグネチャ 表 DNSBL掲載率
XBL PBL CCC_MWS 0.86 % 0.58 % 46.97 % HONEY_MWS 0.00 % 0.32 % 29.22 % 53760_4 40.14 % 60352_6 41.63 % 16384_1 3.37 % 1.12 % 23.60 % 30 卒業論文B 合同審査会 2010/2/1 (Mon.)
31
卒業論文B 合同審査会 2010/2/1 (Mon.)
Similar presentations
© 2024 slidesplayer.net Inc.
All rights reserved.