Progress report

Size: px

Start display at page:

Download "Progress report"

いっけいきせんばる
5 years ago
Views:

1 自動化されたマルウェア動的解析システムで収集した大量 API コールログの分析 MWS 2013 藤野朗稚, 森達哉早稲田大学基幹理工学部情報理工学科 Akinori Fujino, Waseda Univ. 1

2 目次研究背景提案手法結果まとめ Akinori Fujino, Waseda Univ. 2

3 マルウェアは日々驚くべき速さで増加している. 一日当たり 20 万個の新しいマルウェアが発見されている [1]. 研究背景新たに発見されてきたマルウェア [2] このような状況の中, マルウェアに対応するためにはより効率のよい解析方法を確立する必要がある. [1] Kaspersky Lab, 2012 by the numbers: Kaspersky Labnow detects 200,000 new malicious programs every day. " _programs_every_day. [2] AV-TEST GmbH, The AV-TEST Institute registers over 200,000 new malicious programs every day. 3

4 研究背景マルウェアの解析方法には大きく分けて静的解析と動的解析の 2 種類がある. 静的解析 : マルウェアのソースコードを解析することでどのような挙動をするのかを詳細に調べるために行われる. 自動化が難しい. 長所 : 動的解析よりも詳細に挙動がわかる. & 動的解析 : 実際の感染者と類似した環境の中でマルウェアを動作させ, その結果を用いて解析する. 自動化がしやすい. 長所 : 解析にかかる時間が少なくて済む. 短所 : 解析に時間がかかる. 短所 : マルウェアに感染する可能性がある. 4

5 研究背景大量に増え続けるマルウェアに対抗するために, 動的解析を自動で行う技術が発達してきている. Cuckoo sandbox というオープンソースのソフトウェアもそのような動的解析を自動化したシステムのひとつである. malware PE 形式かつ実行可能なもの入力動的解析システム実行と解析ログの出力自動動的解析システム使用時のイメージ図 log file ~~~~~~~~~~ ~~~~~~~~~~ ~~~~~~~~~~ ~~~~~~~~~~ ~~~~~~~~~~ 5

6 研究背景大量のマルウェアに対して自動動的解析システムを使用した場合, ログファイルの量もマルウェアの数に比例して多くなってしまう. malware malware malware malware malware 入力動的解析システム実行と解析ログの出力 log file ~~~~~~~ log file ~~~~~~~ log file ~~~~~~~ ~~~~~~~ ~~~~~~~ log file ~~~~~~~ log file ~~~~~~~ ~~~~~~~ ~~~~~~~ ~~~~~~~ 解析するマルウェアの数が増えた場合 6

7 研究背景膨大な数になったログを効率よく解析するためには, マルウェアの対策につながるような特徴を発見する必要がある. malware の出力ログ log file 1 ~~~~~~~ ~~~**~~ log file 2 ~~~@@ ~~~~~~~ 特徴 A が存在特徴 B が存在 New malware A タイプ malware B タイプ malware C タイプ未知のマルウェアマルウェアの特徴を発見できた場合 7

8 使用したデータについて FFRI-Dataset-2013 FFRI 社より提供されたデータ年 9 月から 2013 年 3 月に収取されたもの. 検体数は,2644 検体. PE 形式のものを Cuckoo sandbox を用いて解析したログ. ファイル形式は,json 形式. 8

9 cuckoo sandbox のログのデータ構造と分布 e.g. ログのデータ構造 { info : {}, yara : [], signatures : [], virustotal : {}, static : {}, dropped : [], behavior : {}, target : {} debug : {}, strings : [], } network : {} ログの各項目の行数 9

10 ログの具体例 e.g. virustotal の構造の一部 scans : { AV NAME": { "detected": true or false, "version": version", "result": virus name", "update": update }, }, e.g. behavior の構造の一部 "processes": [ { "calls": [ { "api": API name", "arguments": [ { "name": name 1", "value": value 1 }, { "name": name 2", "value": value 2 } ] }, }, ] 10

11 研究背景マルウェアの特徴を発見するために, 今回着目したのは出力ログの中の API コールに関するログである. 下の図に示した behavior 以下の部分を API コールログと呼ぶことにする. behavior processes calls api arguments API 名引数名, 値 API コールログのデータ構造の一部 11

12 目次研究背景提案手法結果まとめ Akinori Fujino, Waseda Univ. 12

データの処理 2600 検体データ処理時のデータの様子ログ log file log file log file 前処理

13 提案手法 ( 概要 ) API コールログを用いて特徴ベクトルを作成し, クラスタリングを用いて, データの分析をした. クラスタリングは,k-means と NMF を使用した. データの処理 2600 検体データ処理時のデータの様子ログ log file log file log file 前処理 270 検体 log file log file log file クラスタリング cluster 1 cluster 2 cluster 20 トピック抽出類似検体検索各クラスタのトピック抽出 13

14 提案手法 ( 前処理 ) 前処理スクリーニング特徴ベクトル特徴選択スクリーニング virustotal 内の Kaspersky の検査結果を使用しラベル付けをし, 同一の種類の検体が 10 体以上存在する種類を選択した. ログ前処理スクリーニングによって選択された種類クラスタリングトピック抽出類似検体検索 14

15 提案手法 ( 前処理 ) 前処理スクリーニング特徴ベクトル特徴選択ログ前処理特徴ベクトル APIの関数名 api= LGD, arguments: [ { name: FN, value : WINDOWS, ] }, { } 引数 1 引数 2 name : MH, value : 0x クラスタリング特徴ベクトル作成の具体例トピック抽出類似検体検索 15

16 提案手法 ( 前処理 ) 前処理スクリーニング特徴ベクトル特徴選択ログ特徴選択作成した特徴ベクトルの中から, 出現頻度が高頻度のものと低頻度のものを除去する. 高頻度で出現する特徴ベクトルの除去前処理クラスタリングトピック抽出類似検体検索 16

17 提案手法 ( クラスタリング ) クラスタリング k-means & NMF クラスタリング特徴ベクトルを用いることで,k-means と NMF のそれぞれの手法でクラスタリングを行う. トピック抽出は NMF の方でのみ可能. クラスタの数は 20 とする. ログ前処理 270 検体 file 1 file 269 file 270 クラスタリング cluster 1 cluster 2 cluster 20 トピック抽出類似検体検索 270 検体のクラスタリングのイメージ図 17

18 NMF 非負値行列因子分解 (NMF: Nonnegative Matrix Factorization) 0 か正の値をもつ行列を解析する手法. 下図に示すように, 行列 X を 2 つの行列に分解し,X と TV の距離を最小化する. 分解行列 X 行列 T 行列 V NMFのアルゴリズムイメージ図 18

19 提案手法 ( トピック抽出 ) ログ前処理クラスタリングトピック抽出類似検体検索トピック抽出 NMF を用いて, 同時生起しやすい単語をトピックとして抽出する. トピックを構成する特徴を使うことで, 類似の検体を検索することができると期待できる. 今年の野球では台風参議院選挙無効訴 28 号が発生した, 楽天. がリーグ優勝した訟が11 月 28 日判決.. 台風衆議院で公職選挙法楽天がリーグ優勝する 27 号が接近している違反が起きたのは., 初めてのことだ.. 類似検体検索のイメージ図 19

20 目次研究背景提案手法結果まとめ Akinori Fujino, Waseda Univ. 20

21 結果 ( クラスタリング ) NMF のクラスタリング結果 Backdoor 4 種, Adware.iBryte2 種, Trojanの一部は綺麗にクラスタに分離された. Worm 系全般を含む Vobfus, VB, VBNA, WBNA はファミリー毎のクラスタを持たなかった. NMF によるクラスタリング 21

"0x77cf0000":"FunctionName":"CallNextHookEx":"Ordinal":"0" "NtCreateSection":"SectionHandle":"0x00000070":"DesiredAccess":

22 結果 ( トピック抽出 ) クラスタ番号 4 の Trojan.Win32.Midhos の重要度が高い上位 5 個のトピック "RegOpenKeyExW":"Registry":"0x ":"SubKey :"SoftwarenMicrosoftnCOM3":"Handle":"0x000000f4" "LdrGetProcedureAddress":"ModuleHandle": "0x77cf0000":"FunctionName":"CallNextHookEx":"Ordinal":"0" "NtCreateSection":"SectionHandle":"0x ":"DesiredAccess": "0x ":"ObjectAttributes:":"FileHandle":"0x c" "LdrLoadDll":"Flags":"522168":"FileName":"uxtheme.dll": "BaseAddress":"0x " "LdrLoadDll":"Flags":"522348":"FileName": "C:nWINDOWSnsystem32nuxtheme.dll":"BaseAddress":"0x " 上記のトピックをすべて持つ検体を全検体から検索したところ,15 体が該当し, 10 体は今回使用した検体 5 体は今回使用しなかった検体であった.5 検体の種別は右図に示す. 22

23 目次研究背景提案手法結果まとめ Akinori Fujino, Waseda Univ. 23

24 まとめ API コールを機械学習を用いて分析するための前処理方法を提示した. API コールで分類可能なマルウェア種別と不可能なものが存在する. NMF を利用することで, トピックを自動抽出し, 類似する検体の検索に応用可能であることを示した. 24

25 今後の課題未使用のbehaviorの項目の活用. APIコールの時間的流れの使用. 未知のマルウェアの分類. クラスタの精度評価 25

26 補足資料 26

27 特徴選択時の図 ( 低頻度 ) 2 以下の数の検体で使用されたものを削除 5 以下の数の検体で使用されたものを削除 10 以下の数の検体で使用されたものを削除 27

28 k-means k-means とは, クラスタリングの手法のひとつである. e.g. 3 つのクラスタに分類する場合. 28

マルウェア対策のための研究用データセット～ MWS Datasets 2013 ～.pptx

マルウェア対策のための研究用データセット～ MWS Datasets 2013 ～.pptx 1 2 3 4 5 6 MWS Datasets 2013 MWS Datasets 2013 感染 PC 群 PRACTICE Dataset 2013 サーバ型ハニーポット CCC Dataset 2013 NICTER Darknet Dataset 2013 Darknet scan ボットワームクライアント型ハニーポット SandBox D3M 2013 FFRI Dataset 2013