MWSCup2017c1-dist

Size: px

Start display at page:

Download "MWSCup2017c1-dist"

ともみあざみ
5 years ago
Views:

2 課題 1 におけるこれまでの取り組み 2014: pcap を解析せよ! 概要 : 複雑なリダイレクトの解析クローキングの解析意図 :D3M データセット解析 / 活の促進技術 2015: 改ざんされたサイトを発せよ! 概要 : 改ざんされたサイトの発と解析意図 : 独データセット収集の促進評価データ 2016: 改ざんされたサイトを発せよ!( 再び ) 概要 : 昨年からの続きで事前課題として出題し解析の動化や検知の夫点を競争意図 : 独データセット収集の度化および共有の促進 1

3 今年の針 2017: pcap を解析せよ!( 再び ) 概要 : リダイレクトの解析 JavaScript 難読化の解析意図 : 独データセット収集からデータセット解析へカムバック研究サイクルの加速化ら収集したデータ解析してる? 塩漬けしてない? 数年の間で変わらなかった攻撃特性であるリダイレクトと難読化に関する問題を改めて出題 2

悪性ではない Web サイトとして振る舞う pcap 振る舞いを切り替える原因となっている Web コンテンツの解析悪性な通信データの前後のデータ (HTML,

4 課題 1 1 Drive-by Download 攻撃の時系列解析特定のある Web サイトの URL を 1 ごとにおよそ半の間アクセスした際の pcap を解析し Drive-by Download 攻撃の時系列変化について回答する課題攻撃コードおよびマルウェアを含む通信データの分類問題悪性 Web サイトとして振る舞う pcap 悪性ではない Web サイトとして振る舞う pcap 振る舞いを切り替える原因となっている Web コンテンツの解析悪性な通信データの前後のデータ (HTML, JavaScript) を解析課題の意図応答 Web コンテンツが変化する悪性 Web サイトの存在を知る悪性 Web サイトは存在し続けるのではなく消滅する可能性があることを知る 3

課題 1 1 回答欄一つわかると芋づる式に分かるドライブバイの特徴を捉えた問題設計ファイル名 (F-1) (F-2) (F-3) (F-4) Webコンテンツの変化内容 (U-1) において (U-2) を参照するHTMLタグが挿されまた (U-3) において使されていたHTMLタグの参照先 URLが (U-4) から (U-2) へ変更されたその結果新しい参照先

5 課題 1 1 回答欄一つわかると芋づる式に分かるドライブバイの特徴を捉えた問題設計ファイル名 (F-1) (F-2) (F-3) (F-4) Webコンテンツの変化内容 (U-1) において (U-2) を参照するHTMLタグが挿されまた (U-3) において使されていたHTMLタグの参照先 URLが (U-4) から (U-2) へ変更されたその結果新しい参照先 URL(U-2) に含まれる (U-5) を参照するJavaScriptが実され複数のURLへのアクセス後最終的に攻撃コードを含むURLへのアクセスが観測されるようになった (U-2) にて使されていた参照先 URLが (U-5) から (U-6) へ変更された参照先 URLが変更されたものの (F-1) と同様の攻撃コードを含むURLへのアクセスが観測された (U-2) にて使されていた参照先 URLが (U-6) から (U-7) へ変更されたそのため (F-1) および (F-2) で観測されていた攻撃コードを含むURLへのアクセスは観測されなくなった (U-2) にて使されていた参照先 URLが (U-7) から (U-8) へ変更されたその結果 (F-1) および (F-2) で観測されていた攻撃コードを含むURLへのアクセスが再び観測されるようになったしかし翌には (U-2) にて使されていた参照先 URLが再度 (U-7) に変更され以降攻撃コードを含むURLへのアクセスは観測されなくなった 4

6 時系列解析 1/3 攻撃 URL ( 攻撃コードを含む URL) の特定アクセスした URL 覧を出し前後で差分を分析することで URL と異なるドメイン名や Content-Type 等を持つ URL を特定 URL パス?PHPSSESID=njrMNruDMh7HApz を含む URL 差分 URL の部に text/xml application/java-archive.mp3 を含む URL( 実ファイル ) も重要な指標アクセス先を変更する URL の特定攻撃コードを含む URL を基にアクセス遷移を追跡 Referrer ヘッダや script/iframe タグリダイレクトコード追跡したアクセス遷移を基に URL 変化の発源を特定 ratchetsupport.***/js/counter.php を起点にが転送先が変化していることに着 5

7 時系列解析 2/3 URL が読み込むファイルの内容が変更 ( 改ざん ) され異なるドメインの URL を参照 (F-1) c102_ pcap (U-1) コード変更 ( 改ざん ) board/index.php (U-2) counter.php (U-3) コード変更 ( 改ざん ) banner/ leaderboard_google.html?123 counter.php (U-5) における以下の URL パスにアクセス index.php?req=mp3&num=97&phpsessid=njrmn index.php?req=xml&num=8435&phpsessid=njrm index.php?req=jar&num=6460&phpsessid=njrmn CVE における以下の URL パスにアクセス index.php?req=xml&num=6606&phpsessid index.php?req=jar&num=4831&phpsessid 6

8 時系列解析 3/3 転送先のドメイン名は変化し続け同様の攻撃コードが実されるその後転送先 URL は out of date 攻撃 URL out of date と変化し最終的に攻撃は停 c102_ pcap c102_ pcap c102_ pcap board/index.php board/index.php board/index.php コードが変化コードが変化コードが変化 counter.php counter.php counter.php (U-6) (U-7) (U-8) における以下の URL パスにアクセス index.php?req=mp3&num=83&phpsessid=njrmn index.php?req=xml&num=8263&phpsessid=njrm index.php?req=jar&num=3019&phpsessid=njrmn out of date における以下の URL パスにアクセス index.php?req=mp3&num=35&phpsessid=njrmn index.php?req=xml&num=8754&phpsessid=njrm index.php?req=jar&num=4075&phpsessid=njrmn 2017/08/22 での攻撃検知を最後に再び out of date 7

9 課題 1 2 JavaScript の難読化解除悪性 Web サイトとの通信データを含む pcap の中から難読化された JavaScript を抽出解析し難読化を解除したコードに含まれるコンテンツを回答する課題難読化解除後に含まれるコンテンツの特定特定の関数に含まれる変数の値 ; generatepseudorandomstring() 内の変数 letters[0] を答えよ課題の意図 JavaScript 難読化の解除法を知る複雑な難読化のケースを知る 8

10 課題 1 2 難読化解除 1/2 難読化された JavaScript を探索 2 つ存在するがいずれのファイルでも OK (common.js / browser_identificator.js) 2 重に施されている難読化を解除段は eval console.log へ書き換える等で解除可能 ( 易しい ) eval() 引数をダンプして難読化解除よくある packer 9

11 課題 1 2 難読化解除 2/2 段は単純な eval console.log では解除不可能難読化解除の過程でホスト名 (window.location.host) が gettophost(h) の引数とするため pcap を参照し当該ファイルホスト名を引数 h に設定し eval console.log でコンテンツをダンプする ( 難しい!) 部関数を書き換えた後 eval() 引数をダンプして難読化解除どの箇所で解除に失敗するかをステップ実で確認! 答えは h 10

12 まとめデータセット収集と活の促進今後はデータセットの共有も活性化させたい組織による出題の限界継続的な取り組みは重要であるで Drive-by に限らず組織の偏りは課題 : 多様な材アイデアを募集! ご興味があるは問題作成援委員としてご協 or アドバイスを是! 11

タイトルを１～２行で入力（長文の場合はフォントサイズを縮小）

タイトルを１～２行で入力（長文の場合はフォントサイズを縮小） 1A3-4: MWS ドライブバイダウンロード Exploit Kit の変化への適応を目的としたサイバー攻撃検知システムの改良 2015 年 10 月 21 日株式会社 NTT データ益子博貴, 重田真義, 大谷尚通 INDEX Copyright 2014 2015 NTT DATA Corporation 2 1 Drive-by Download 攻撃の定性的特徴とその変化 2 Exploit