OS のシグネチャを用いた 悪意のある通信の検出法

1. OSのシグネチャを用いた悪意のある通信の検出法OSのシグネチャを用いた悪意のある通信の検出法 後藤研究室 学部4年 1G06R129-3 棚澤 崇行 卒業論文B 合同審査会

2. 研究背景 • マルウェアにおける脅威の傾向 • カーネル・マルウェアの出現 • 独自に実装されたネットワークドライバを用いて、カーネルモードで通信を行う • 一度感染したら、ファイアウォールでは通信を遮断できない • ボットネット、ボットの感染拡大 • 攻撃者が外部から感染マシンをコントロール可能 • 頻繁な亜種の出現、自己更新機能 マルウェアとは • malware (malicious software) • 悪意のあるソフトウェアの総称 近年のマルウェアに対し、既存の対策では 効果が薄れてきている 卒業論文B 合同審査会

3. 先行研究 • 『TCPフィンガープリントによる悪意のある通信の検出』 • 後藤研 M2 木佐森さん, MWS 2009, pp.553--558, 2009.10. • 概要 • 独自に実装されたネットワークドライバ発のパケットは、既存のOSとは異なるTCPヘッダの特徴をもつことが知られている • そこで、 • “一般的なOSでは利用されないTCPフィンガープリント (= TCPヘッダの特徴) を有する攻撃パケットはFKM感染ホストが発信した” と仮定した上で、FKM感染ホストの実態調査、および 通信パターンの分析を行っている • MWSシグネチャを定義 FKM (Full Kernel Malware) ・・・すべての機能をカーネルモードで動作するマルウェア 卒業論文B 合同審査会

4. passiveTCPfingerprinting, p0f • passiveTCPfingerprinting • 受信した通信パケットの特徴から、受動的に通信相手のOSを特定する技術 • TCP/IPではオプション等の実装がOSごとに異なることを利用 • p0f • 代表的な passive TCP fingerprinting のツール • 以下の形式のシグネチャとマッチング [wwww:ttt:D:ss:OOO…:QQ:OS:Details]

5. MWS シグネチャ • CCC DATAsetの「攻撃通信データ」にp0fを適用した結果、OSがUNKNOWNと判定されたもの • TTL初期値を2の累乗と推定し、43のシグネチャに集約 • CCC DATAsetとは • サイバークリーンセンター (CCC) の収集するデータをもとに作成された研究用データセット、以下の３つから構成 • マルウェア検体 (のハッシュ値) • 攻撃通信データ ･･･ ハニーポットのパケットダンプファイル • 攻撃元データ • マルウェア対策研究人材ワークショップ(MWS)において共有 卒業論文B 合同審査会

6. 研究の目的 • MWSシグネチャに関する以下の検証を行う • マルウェアがどの過程でMWSシグネチャによる通信を行うのか • マルウェアの動作実験 • MWSシグネチャはどの程度の脅威なのか • Nepenthesにおける攻撃成立率の算出 Nepenthesとは • マルウェア収集に特化した低対話型ハニーポット • 著名な脆弱性と一部のシェルコードをエミュレート 卒業論文B 合同審査会

7. マルウェアの動作実験 • 隔離されたネットワークの中でマルウェアを実行 • 実行からおよそ5分間の通信をキャプチャし、分析 • 仮想環境、実機環境で比較 • 仮想環境はVMware ESXi 4.0.0を利用 • 実機環境は情報通信研究機構 三輪氏らによるMAT (Minimal-attack / Malware Analysis Testbed) を利用させていただいた • 使用したマルウェア • CCC DATAset で提供されたハッシュ値に一致する検体11種 • Nepenthes等によって独自に入手した検体9種 マルウェアや小規模な攻撃の再現を行い、安全に解析や体験学習に利用するためのテストベッド 卒業論文B 合同審査会

8. 実験環境 (概要図) 卒業論文B 合同審査会

9. 実験結果 • 実機と仮想マシンによる動作の違い • 仮想環境を検出し、動作しない検出が1検体あった • その他挙動の違いはほとんど見られず • いくつかの基本的な動作パターンを確認 (後述) • MWSシグネチャは見つからず 卒業論文B 合同審査会

10. マルウェアの動作パターン① • DNSサーバに正引き問い合わせを行い、 返ってきたIPアドレスのTCP/80に接続要求を行う • Webサーバには以下のようなリクエスト ・GET /ecv20.php ・GET /ecv60.php?p=bGlwPTE5Mi4xNjguMC45Jm49MSZ3PTIuNS4xLlNlcnZpY 2UgUGFjayAz ・GET /binaries/relevance.dat ・GET /client.php?str=/yfwar6fICJrSn8buMBjhMYZKTK3COLQMFjoKqBzsag= ・GET /ack.php?version=16\&myVer=6\& uid=98818A46-0BF2-1041-0326-090000000051\&status=OK\&l=0 ・GET /public/controller.php?action=bot\&entity\_list=\&uid=\&first=1\& guid=2558626374\&v=15\&rnd=8520045 ・POST /safebrowsing/downloads?client=navclient-auto-ffox\&appver=3.5.5\& pver=2.2\&wrkey=AKEgNitUOrc7a5aJHiJXVf9do2jFt-VEdY5mCHM0f6T5v EIjn5d7hgr1GuqHTbeD\_APiw82xUzF4vdn\_RTVYo16LzUNlnWutdQ== 別のマルウェアに感染しに いっているのでは？

11. マルウェアの動作パターン② • DNSサーバに正引き問い合わせを行い、 返ってきたIPアドレスのTCP/(80以外) に接続要求を行う • TCP/2345, 3305, 9111 宛の接続要求を確認 • TCP/2345 は Doly Trojan が利用することで知られる • TCP/3305, 9111 は不明 • 以下の可能性が考えられる • マルウェア配布サーバのポート • 特定のバックドア • 未知のワーム、トロイの木馬が利用 卒業論文B 合同審査会

12. マルウェアの動作パターン③ • DNSの問い合わせは行わずに外部に接続要求を行う • 乱数からIPアドレスを作り出していると思われる • TCP/80, 445宛を確認 パターン②、パターン③では、 感染後すぐに感染活動を行っていると考えられる 卒業論文B 合同審査会

13. 実験の考察 • なぜMWSシグネチャが観測されなかったのか • 使用したマルウェアがFKMではなかった • ではCCCDATAset のマルウェアは？ • 完全に隔離された実験環境では自由度が足りなかった • 別検体のダウンロードと思われる挙動 • 感染の初期段階ではMWSシグネチャが現れない可能性も • 動作時間が短かった • ユーザの操作や特定の時間に同期して動作するマルウェアの存在 • さらなる情報を手に入れるためには • マルウェアの挙動を確認しながら、 • 徐々に自由度を高めた実験を行う必要がある 卒業論文B 合同審査会

14. Nepenthesにおける攻撃検出率 • 一般の商用プロバイダの回線につないだホスト上でSYNパケットをキャプチャ (2009年11月22日～12月22日) • 外部へのサービスはNepenthesのみ • 攻撃パケットが届いた際に、Nepenthesが応答してダウンロードを試みたものを攻撃成立とみなす • 簡単のため、以下のように分類 • ALL ：すべてのパケット • Nepen ：上記のうち、Nepenthesにおいて攻撃が成立したことの 　　　　　　　 あるIPアドレスからのパケット • MWS.Nepen ：上記のうち、MWSシグネチャを有するもの • MWS ：MWSシグネチャを有するすべてのパケット 卒業論文B 合同審査会

15. MWS.Nepenの攻撃成立回数の推定 • MWS.Nepenにおける１パケットあたり成立回数 =Nepenにおける１パケットあたりの成立回数 と仮定 • 1740packets×0.6984 ～ 1215 回 と推定 69.84% (推定)1,215 回 卒業論文B 合同審査会

16. パケット単位の攻撃成立率 • すべて • 27.92% • MWS • 30.35% • MWSパケットは全パケットの平均と比べて、 １パケットあたりの攻撃成立が2.43%高い 卒業論文B 合同審査会

17. ホスト単位の攻撃成立率 • すべて • 36.38% • MWS • 48.35% • MWSパケット発信ホストは全ホストの平均と比べて、 １ホストあたりの攻撃成立率が11.97%高い 卒業論文B 合同審査会

18. 攻撃成立率から • パケット単位でみると、 • MWSパケットの攻撃成立率は、全パケットの平均値と比べて少し高い程度 (+2.43%) • しかし、ホスト単位でみると、 • MWSシグネチャ発信ホストの攻撃成立率は、平均値に比べて非常に高い (+11.97%) • つまり、 • MWSシグネチャ発信ホストによる攻撃は偏りが少なく、同規模の攻撃を受けた場合、より成立しやすい 卒業論文B 合同審査会

19. まとめ • 隔離された環境におけるマルウェアの動作実験 • 基本的な動作パターンを確認 • 別検体のダウンロード、アップデート • 感染活動 • MWSシグネチャは発見できず • Nepenthesにおける攻撃成立率 • MWSシグネチャ発信ホストからの攻撃パケットは、１ホストあたりの攻撃成立率が非常に高く、特に注意が必要である。 卒業論文B 合同審査会

20. 今後の課題 • 外部接続性のある環境でのマルウェアの実行 • 外部接続性を保ちながらも感染活動を遮断できるような実験環境の構築 • 他のハニーポットによる攻撃成立率の評価 • 本研究において算出した攻撃成立率は、Nepenthesの実装に大きく依存している 卒業論文B 合同審査会

21. 卒業論文B 合同審査会 　　ご清聴ありがとうございました

22. 実験に使用したマルウェアの検体名 • avast! Version4.8 Home Editionによる (ウイルスデータベースのバージョン 100121-0) • Win32:Trojan-gen × 4 • Win32:Small-MTP [Trj] × 2 • Win32:Agent-ABSM [Trj] • Win32:Zbot-ALS • Win32:Agent-UBI [Wrm] • Win32:Virut • Win32:Agent-SPX [Trj] • Win32:Bredolab-AP [Trj] • Win32:MalOb-Z [Cryp] • Win32:Malware-gen • Win32:Rbot-GNZ [Trj] • Win32:Small-ESX [Trj] • Win32:VB-NUQ [Drp] • Win32:Virtob • Win32:Zbot-MML [Trj] • 不明 ×1 卒業論文B 合同審査会

23. MWS シグネチャの分析 • 各MWSシグネチャの割合 • 宛先ポート番号 • 送信元IPアドレスの国別情報 • 送信元IPアドレスのDNSBL(DNS Blacklist) 掲載 • Nepenthesにおける攻撃成立率の算出 卒業論文B 合同審査会

24. 分析に用いたデータ • CCC_SYN • CCC DATAset の「攻撃通信データ」に含まれるすべてのSYNパケット • この内、MWSシグネチャを有するものをCCC_MWSとする • 収集期間は2009年～～の2日間 • HONEY_SYN • 一般の商用プロバイダの回線につないだホスト上でキャプチャしたSYNパケット • この内、MWSシグネチャを有するものをHONEY_MWSとする • 収集期間は2009年11月22日～12月22日の約1ヶ月間 • Nepenthesを同時実行 卒業論文B 合同審査会

25. 分析に用いたデータ 卒業論文B 合同審査会

26. MWSシグネチャの割合 図：CCC_SYNのMWSシグネチャ 図：HONEY_SYNのMWSシグネチャ 卒業論文B 合同審査会

27. 宛先ポート番号 図：CCC_MWSの宛先ポート番号 図：HONEY_MWSの宛先ポート番号 卒業論文B 合同審査会

28. 送信元IPアドレスの国別情報 図：CCC_MWSの送信元国別情報 図：HONEY_MWSの送信元国別情報 卒業論文B 合同審査会

29. 送信元IPアドレスのDNSBL掲載率 • DNSBLとは、 • 主にスパムメールの送信者のIPアドレスを収集したもの • 本研究では The Spamhaus Project のものを利用 • SBL (Spamhaus Block List) • スパムメールの送信、中継に関係したIPアドレスのリスト • XBL (Exploits Block List) • ワームやトロイの木馬、公開プロキシなどによってハイジャックされ、 攻撃の踏み台となったIPアドレスのリスト • PBL (Policy Block List) • 動的IPアドレスのリスト 卒業論文B 合同審査会

30. 送信元IPアドレスのDNSBL掲載率 • CCC_SYN, HONEY_SYNに加え、頻出のシグネチャ 30 卒業論文B 合同審査会 2010/2/1 (Mon.)

31. 卒業論文B 合同審査会