スライド 1

Size: px

Start display at page:

Download "スライド 1"

ほだかわかはら
5 years ago
Views:

1 名古屋工業大学白石研究室 1 通信可視化と動的解析の連携による攻撃解析支援義則隆之伴拓也宮嵜仁志松井拓也佐藤両岡崎亮介篠田昭人廣友雅徳毛利公美神薗雅紀白石善明名古屋工業大学佐賀大学岐阜大学株式会社セキュアブレイン 2012/10/31

2 発表概要目的課題 DBD(Drive-by-Download) 攻撃の被害の拡大を抑える各組織で迅速に対策を講じられるよう支援攻撃フローの全容を把握できれば適切な対策を講じられる通信データから脅威を見つけ出すのは時間のかかる作業である人が通信データを解析し攻撃フローの全容を把握することを支援する本研究のコンセプト支援方法 1: 攻撃フローを可視化し, 攻撃の一連の流れを把握する支援方法 2: 脆弱性を突くコードを配布するサイトを特定する提案システム評価 MWS2012 通信データに含まれる通信フローを出現した時間順にビューワーで世界地図上に描画する誤って描画されていると思われるフローをクリックすると, 配布されたファイルを自動で動的解析しフローを自動で修正する攻撃サイト, マルウェア配布サイトのフローをクリックすると, 配布されたファイルを自動で動的解析し不正なコードの有無を確認する 9 個中 9 個の攻撃を特定することができた一連の流れは 27 秒を超えずに行えることを確認した名古屋工業大学白石研究室 2

3 名古屋工業大学白石研究室 3 DBD(Drive-by-Download) 攻撃 1 段目リダイレクト入口サイト ( 改ざんされた Web サイトなど ) 2~N-2 段目中継サイトブラウザやプラグインの脆弱性を突いて任意のコードを実行可能にする ( 管理者権限奪取 ) 攻撃コードダウンロード攻撃サイト N-1 段目マルウェアダウンロードマルウェア配付サイト N 段目

4 名古屋工業大学白石研究室 4 DBD 攻撃の対策を講じるまでの流れハニーポット : 意図的に脆弱性を有し攻撃を受けやすいように設計されたネットワーク機器のことクライアント型ハニーポット攻撃を受けた組織セキュリティベンダー通信データ分析通信データパターンファイル定義ブラックリスト定義攻撃対策に反映 Web レピュテーションファイアウォールアンチウイルスソフトセキュリティベンダーの対応を待つ間組織は有効策を打てない攻撃の防御被害の抑制を目指す各組織が通信データを解析し, 各組織で迅速に (& 連携して ) 攻撃対策を講じられるのが望ましい

5 名古屋工業大学白石研究室 5 通信データ分析の課題通信データ分析手順疑わしい通信フローに当たりをつける通信フローに含まれるファイルを復元するファイルを解析する静的解析動的解析攻撃全容把握問題通信データから疑わしい通信フローを探し出すのは相応の時間を要するリダイレクトコードや攻撃コードは難読化されていることが多く, 静的な解析だけでは正確に通信の流れを追うのは困難である難読化されたコード課題通信データを人が解析するときに, 攻撃フローの全容を把握することを支援する

6 名古屋工業大学白石研究室 6 提案システムのコンセプトクリックしていくだけで解析できる入口サイト DBD 攻撃の一連の流れが分かる通信データ誤中継サイト正攻撃サイトマルウェア配布サイト攻撃サイトが特定できるリダイレクトコード実行フロー自動修正リダイレクト先攻撃サイトから配布されたファイル実行攻撃コード解析不審な挙動のログコード解析結果リダイレクト監視挙動監視

7 名古屋工業大学白石研究室 7 提案システムのコンセプトリダイレクトフロー可視化と修正クリックしていくだけで解析できる入口サイト DBD 攻撃の一連の流れが分かる通信データ誤中継サイト正攻撃サイトフロー自動修正リダイレクトコード実行リダイレクト先リダイレクト監視

名古屋工業大学白石研究室 8 通信データの可視化 : 正しい例 GET リクエストが出てくる順にフローを描画 No. sourceip DestinationIP Info 1 10.220.0.101 A GET 2 10.220.0.101 B GET 3 10.

0s GET リクエスト同士の間隔が大きいと一連の通信の切れ目と判断するフロー 1 No. sourceip DestinationIP Info 1 10.220.0.101 A GET 2 10.220.0.101 B GET 3 10.220.0.101 C GET フロー 2 No.

8 名古屋工業大学白石研究室 8 通信データの可視化 : 正しい例 GET リクエストが出てくる順にフローを描画 No. sourceip DestinationIP Info A GET B GET C GET D GET E GET F GET GET リクエスト同士の間隔が小さければリダイレクトと判断 0.5s 0.5s 30s 1.0s 4.0s GET リクエスト同士の間隔が大きいと一連の通信の切れ目と判断するフロー 1 No. sourceip DestinationIP Info A GET B GET C GET フロー 2 No. sourceip DestinationIP Info D GET E GET F GET D IP アドレスごとにポールを立てる E A C F B 正確な可視化例

220.0.101 D GET 5 10.220.0.101 E GET 6 10.220.0.101 F GET 0.5s 1.0s 0.5s 1.0s 3.

9 名古屋工業大学白石研究室 9 通信データの可視化 : 誤った例と修正方法 : 誤って描画されたフロー No. SourceIP DestinationIP Info A GET B GET C GET D GET E GET F GET 0.5s 1.0s 0.5s 1.0s 3.0s 区別がつかないフローが混在一つの通信フローだと認識自動修正誤って描画されていると思うフローをクリック誤った可視化他のフローもクリックフローに含まれるリダイレクトコード動的解析環境正しいリダイレクト先正確な可視化

10 名古屋工業大学白石研究室 10 提案システムのコンセプト - 攻撃サイトの特定 - クリックしていくだけで解析できる入口サイト中継サイト攻撃サイトマルウェア配布サイト攻撃サイトが特定できる攻撃サイトから配布されたファイル実行攻撃コード解析不審な挙動のログコード解析結果挙動監視

11 名古屋工業大学白石研究室 11 攻撃サイト, マルウェア配布サイトを特定攻撃サイトとマルウェア配布サイトを繋ぐフローに含まれるファイルを解析する攻撃の有無を検知する解析対象ファイル API 呼び出し API フック脆弱性を突く API ネットワークアクセスに用いられる API Windows API

名古屋工業大学白石研究室 12 提案システムの構成システム管理部攻撃フロー特定支援部通信データユーザ

動的解析対象のファイル名国別 URL 分類部フロー可視化部ファイル復元部ファイル転送部通信データ, 国別

ファイル実行部リダイレクト先取得部リダイレクト先情報設定ファイル動的解析管理部設定情報判定情報

12 名古屋工業大学白石研究室 12 提案システムの構成システム管理部攻撃フロー特定支援部通信データユーザ解析対象ファイル選択判定情報提示 UI 管理部通信データ動的解析対象のファイル名受付復元要求動的解析対象のファイル名国別 URL 分類部フロー可視化部ファイル復元部ファイル転送部通信データ, 国別 URL 整理された URL 復元したファイル国別 IPv4 割当リストリダイレクトフロー管理部動的解析環境ファイル実行部リダイレクト先取得部リダイレクト先情報設定ファイル動的解析管理部設定情報判定情報ファイル受信部攻撃判定部動的解析対象のファイル解析対象ファイル攻撃サイト特定支援部動的解析環境ファイル実行部挙動監視部

13 名古屋工業大学白石研究室 13 通信データユーザ提案システムの構成解析対象ファイル選択判定情報提示システム管理部攻撃フロー特定支援部 Redirect code IP: 通信データ xxx.yyy.zzz.lll com 国別 URL 分類部国別 IPv4 ダミー DNS 割当リストサーバ通信データ, 国別 URL html Htmlファイルを動的解析対象の各 Webサイトのリダイレクト先ファイル名受付自動実行整理されたURL 攻撃コードの正確なリダイディレクトリ構造リダイレクト情報を再現フロー可視化部レクト先ドメイン名を取得フロー管理部 UI 管理部復元要求動的解析対象のファイル名ファイル復元部ファイル転送部復元したファイル動的解析環境ファイル実行部リダイレクト先取得部設定ファイル動的解析管理部設定情報動的解析対象のファイルファイル受信部対応する実行ソフトを立ち解析対象ファイル上げ, ファイルを自動実行外部ネットワークとの接続に用いるAPIをフック攻撃判定部判定情報解析対象ファイル攻撃サイト特定支援部動的解析環境ファイル実行部挙動監視部

名古屋工業大学白石研究室 14 評価用システムの実装提案システムの主要な機能を有し, 一連の流れが進むことを確認するためのシステムを実装した動的解析環境にはD3M 2012を収集したハニーポットと同じブラウザプラグインを導入した APIフックの試作としてAdobe

0 OS Windows XP SP2 ブラウザ Internet Explorer 6.

14 名古屋工業大学白石研究室 14 評価用システムの実装提案システムの主要な機能を有し, 一連の流れが進むことを確認するためのシステムを実装した動的解析環境にはD3M 2012を収集したハニーポットと同じブラウザプラグインを導入した APIフックの試作としてAdobe ReaderのネットワークI/OをフックするPDF API Hookerを実装した外部と通信を行うPDFファイルを攻撃コードとみなす動的解析環境仮想環境 Vmware Workstation 8.0 OS Windows XP SP2 ブラウザ Internet Explorer 6.0 プラグイン Adobe Reader,Flash Player,WinZip,QuickTime, JRE ( 全てセキュリティパッチ未適用 ) 実装環境 URL classfier,file transporter,file receiver,attack checker,file executer JDK 1.7.0_05 Flow Visualizer Java 3D File Restorer jnetpcap 1.3.b4 (WinPcap の Java のラッパー ) Fake DNS server Python 2.7 PDF API Hooker C++

15 名古屋工業大学白石研究室 15 評価実験と結果評価実験 1 目的 : 提案システムの一連の流れを行えることを確認手段 : 攻撃フローと正規通信フロー ( 正規サイトへの Web アクセス ) を混合した通信データを用いて評価組織の通信データを想定事前準備 : 脆弱性を突く攻撃コードを含む PDF タイプのマルウェア 3 検体を D3M 2012(3/25 付の通信データ ) から抽出攻撃に利用した CVE ナンバーを特定できたものに限定した Wireshark で正規通信フローを一つ取得一つの正規通信フローに一つの検体を含む通信フローを混合した通信を 1 セットとする同じ 2 つのフローで混合させるタイミングを変えて 3 セット作成する同様に, 別の検体を含む通信フローを利用して 3 セットずつ作成し計 9 セット作成実験手順 : 9 個の評価用データに対して, 通信データ可視化から解析結果提示までの一連の解析の操作を行い, その操作の正確性を確認評価結果 ( 通信データ 9 個中 ) 評価実験 2 9 個解析結果の提示までできた提案システムの一連の流れに要する時間を計測した解析結果の提示まで 27 秒を超えずに行えることを確認した

16 名古屋工業大学白石研究室 16 評価システムの動作確認

17 名古屋工業大学白石研究室 17 評価システムの動作確認

18 名古屋工業大学白石研究室 18 評価システムの動作確認

19 名古屋工業大学白石研究室 19 まとめ目的課題 DBD(Drive-by-Download) 攻撃に対して, 各組織で迅速に対策を講じられるよう支援することで被害の拡大を抑える人が通信データを解析し攻撃フローの全容を把握することを支援するシステムを実現する本研究のコンセプト攻撃フローの可視化脆弱性を突くコードを配布するサイトを特定提案システム通信データに含まれる通信フローを出現した時間順にビューワーで世界地図上に描画する誤って描画されていると思われるフローをクリックすると, 配布されたファイルを自動で動的解析しフローを自動で修正する攻撃サイト, マルウェア配布サイトのフローをクリックすると, 配布されたファイルを自動で動的解析し不正なコードの有無を確認する評価実験検体を含む通信データ 9 個中 9 個の攻撃サイトを特定することができた一連の流れは 27 秒を超えずに行えることを確認した今後の課題検体の数を増やし, より大きなデータサイズの通信データを用いた評価実験を行う

Drive-by Download 攻撃におけるRIG Exploit Kitの解析回避手法の調査

Drive-by Download 攻撃におけるRIG Exploit Kitの解析回避手法の調査高対話型クライアントハニーポット StarC の開発と Drive-by Download 攻撃のトラフィックデータの解析明治大学総合数理学部小池倫太郎 Drive-by Download攻撃概要 Webサイトを使ったWebブラウザに対する攻撃悪性Webサイトへ誘導された脆弱なWebブラウザに対してそのブラウザの脆弱性を突くようなコードを送り込んで制御を奪いマルウェアをダウンロード実行させる