サンドボックス解析結果に基づく URL ブラックリスト生成についての一検討畑田充弘田中恭之稲積孝紀先端 IP アーキテクチャセンタセキュリティ TU NTT コミュニケーションズ株式会社 Copyright NTT Communications Corporation. All right

Size: px

Start display at page:

Download "サンドボックス解析結果に基づく URL ブラックリスト生成についての一検討畑田充弘田中恭之稲積孝紀先端 IP アーキテクチャセンタセキュリティ TU NTT コミュニケーションズ株式会社 Copyright NTT Communications Corporation. All right"

みそらいちぞの
5 years ago
Views:

1 サンドボックス解析結果に基づく URL ブラックリスト生成についての一検討畑田充弘田中恭之稲積孝紀先端 IP アーキテクチャセンタセキュリティ TU NTT コミュニケーションズ株式会社

2 もくじ 1. はじめに 2. 関連研究 3. 提案方式 4. データセットをいた事例調査 5. 課題 6. まとめ 2

3 もくじ 1. はじめに 2. 関連研究 3. 提案方式 4. データセットをいた事例調査 5. 課題 6. まとめ 3

4 本当にそんなに精度いの? どんな URL? AV Comparatives[1] 主要なマルウェア対策ソフトが 90% 以上の検知率で悪意のある Web サイトへのアクセスを検知防御テストデータは独自に収集した URL( 実ファイルへの直接リンクや Drive-by download 含む ) や動で検索した URL, 研究者から提供された URL 等 AV Comparatives: Whole Product Dynamic Real-World Protection Test (March-June 2013), より引 4

5 マルウェアを取り巻く環境 Fast-Flux 未知 APT DGA USB 感染ボットネットバックドア DDoS マルウェア潜伏ゼロデイ脆弱性 Drive-by download 標的型メール MITB 5

6 ( 一案 ) 入口対策出口対策のブラックリスト感染防止 = 入口対策マルウェア早期発拡散防止 = 出口対策 C&C インターネットインターネット FW BL (BlackList) FW 拠点 A 拠点 C 拠点 A 拠点 C 拠点 B 拠点 B クライアント型ハニーポットによる悪性サイトの検知入口対策 BL 静的解析動的解析出口対策 BL 6

7 研究の動機マルウェアがアクセスするURL( 出口対策 BL) インターネットの接続確認グローバルIPアドレスの確認 C&C 通信マルウェアのダウンロード外部への情報送信など不正なアクセス先 URL を区別する必要性 7

8 もくじ 1. はじめに 2. 関連研究 3. 提案方式 4. データセットをいた事例調査 5. 課題 6. まとめ 8

9 関連研究トラフィックの特徴に基づく感染検知法としてヘッダによるもの [6,7] ペイロードによるもの [8] 課題 : 厳密に URL を特定するものではないシステムコールのビヘイビアグラフとデータフロー解析によって, 外部への送信データや受信データに基づいて C&C 通信を判定するもの [9] テイント解析により外部へ感染ホストのシステムやユーザ固有の情報などの送信先を判定するもの [10, 11] 課題 : ビヘイビアグラフの網羅性やテイントの伝搬漏れ誤伝搬などとともに解析コストが大きいサンドボックスを利した簡易な方式 9

10 もくじ 1. はじめに 2. 関連研究 3. 提案方式 4. データセットをいた事例調査 5. 課題 6. まとめ 10

11 チェック対象定義サンドボックス解析 URL 抽出ホワイトリスト定義ブラックリスト処理概要チェック対象定義マルウェアサンドボックス解析解析結果チェック対象一致? No 終了 Yes ホワイトリスト定義 URL 抽出ホワイトリスト一致? Yes 終了 No ブラックリスト 11

12 チェック対象定義感染ホストの識別情報や感染ホストを使しているユーザやアプリケーションの情報を C&C サーバや他の外部サーバに送信するといったマルウェアの挙動に着目 OS のライセンス情報ユーザ名ブラウザの Cookie ブラウザの閲覧履歴メールサーバ設定 (FQDN, IPアドレス,ID/ パスワード ) FTPサーバ設定 (FQDN,IPアドレス,ID/ パスワード ) <Regs> チェック対象定義チェック対象ホワイトリスト定義ホワイトリストマルウェアサンドボックス解析解析結果一致? Yes URL 抽出一致? No ブラックリスト No Yes 終了終了 <item>hklm SOFTWARE MICROSOFT WINDOWS NT CURRENTVERSION</item> <item>hkcu Software FTP Explorer Profiles</item> : </Regs> <Files> <item>c: Users user AppData Roaming Mozilla Firefox Profiles </item> 12 <item>c: Users user AppData Roaming Microsoft Windows Cookies Low user@yahoo[2].txt</item > : </Files>

13 サンドボックス解析 MWS Datasets 2013 の FFRI Dataset 2013[13] マルウェアサンドボックス解析 Cuckoo Sandbox チェック対象定義解析結果マルウェア 2,644 検体の動的解析ログチェック対象一致? No 終了解析対象 1 検体につき 1 ログファイル (JSON 形式 ) ホワイトリスト定義 Yes URL 抽出解析対象ファイルや解析環境のメタ情報 API コールホワイトリスト一致? No ブラックリスト Yes 終了挙動のサマリとしてのアクセスしたレジストリやファイルネットワークアクティビティ等 13

14 FFRI Dataset 2013 の例 (id=560) { "info": { "category": "file", "started": " :44:53", "ended": " :47:15", "version": "0.5", : ( 省略 ) "category": "filesystem", "status": "FAILURE", "return": "0xc ", "timestamp": " :05:10,828", "thread_id": "1396", "repeated": 0, "api": "NtOpenFile", "arguments": [ { "name": "FileHandle", "value": "0x " }, { "name": "DesiredAccess", "value": "0x001200a9 : ( 省略 ) "summary": { "files": [ "C: WINDOWS system32 msctfime.ime", "C: DOCUME~1 cuckoo1 LOCALS~1 Temp C17E F0033D15EE253F.bin.2.Manifest", : "http": [ { "body": "", "uri": " er_id=5bf b-4339-b b470712&event=setup_run&spsource=engagebd R_downloadmanager-USdirect&subid=(null)&traffic_source=engageBDR&offer_id =downloadmanager", "user-agent": " Mozilla/5.0 (Windows NT 5.1) AppleWebKit/ (KHTML, like Gecko) Chrome/ Safari/537.11", "method": "GET", "host": "imp. xxxxxxxxxxxxxxxxx.com", "version": "1.1", "path": "/impression.do/?user_id=5bf b-4339-b b470712&event=setup_run&spsource=engagebd R_downloadmanager-USdirect&subid=(null)&traffic_source=engageBDR&offer_id =downloadmanager", "data": "GET /impression.do/?user_id=5bf b-4339-b b470712&event=setup_run&spsource=engagebd R_downloadmanager-USdirect&subid=(null)&traffic_source=engageBDR&offer_id =do: : ( 省略 ) "C: DOCUME~1 cuckoo1 LOCALS~1 Temp C17E F0033D15EE253F.bin.3.Manifest", : ( 省略 ) 14

15 URL 抽出サンドボックス解析結果からマルウェア network > http > uri を抽出サンドボックス解析条件チェック対象定義解析結果サンドボックス解析結果とチェック対象が一致 ( あるいは一致した件数が N 件以上 ) チェック対象ホワイトリスト定義一致? Yes URL 抽出 No 終了チェック対象の読み出し時刻以降のアクセスであることホワイトリスト一致? No ブラックリスト Yes 終了 15

16 URL 抽出の注意事項 host と path をそのままつなげた URL # id=1013 より抜粋 "http": [ { "body": "", "uri": " xxxxxxxx.com/app.asp?prj=5&pid=wsk1&logdata=mact rycnt:0&code=&ver= &appcheck=1", "method": "GET", "host": "app2.winsoft3.com", "version": "1.1", "path": " xxxxxxxx.com/app.asp?prj=5&pid=wsk1&logdata=mact rycnt:0&code=&ver= &appcheck=1", "data": "GET xxxxxxxx.com/app.asp?prj=5&pid=wsk1&logdata=mact rycnt:0&code=&ver= &appcheck=1 HTTP/1.1 r nhost: app2. xxxxxxxx.com r n r n", "port": 80 }, DNS クエリなし # id=1027 より抜粋 "http": [ { "body": "", uri : 6%CB%D2%D3%D6%D5%8F%94%AE%A9%D9%9Fgi %9D%D3%98%A0f%CF%AA%9A%DD%94%98%A7%A 3%93u%82%94%9D%D3X%A7%E8%A2%E7%E5%CA %C4T%A6%E2%DB%B0%A0nj%9D%93%A3%D5%9A %A6%DB%9A%A4x%B3%95%DA%CC%A9%86hl%AAi d%ab%ab%a3%a8%ab%b7_u%b2%a8%a6%a0xj%a B%A3y%9Bk%AD%A6k%BA%60%9A%B5% ( 省略 ) 16

17 ホワイトリスト定義ブラックリストホワイトリストマルウェアインターネット接続確認サンドボックス解析メジャーな Web サイトチェック対象定義解析結果等チェック対象一致? No 終了グローバル IP アドレス確認のための Web サイトホワイトリスト定義 Yes URL 抽出等ブラックリストホワイトリスト一致? No ブラックリスト Yes 終了サンドボックス解析結果がチェック対象の情報と一致するものがあった場合に当該マルウェアの通信先 URL からホワイトリストに一致した URL を除外してブラックリストとする 17

18 もくじ 1. はじめに 2. 関連研究 3. 提案方式 4. データセットをいた事例調査 5. 課題 6. まとめ 18

19 FFRI Dataset 件 (id=1199, 1496, 1578, 2567) については JSON 形式のファイルが途中で切れているため集計からは除外 2,640 検体について項目約 9% の検体のみで HTTP 通信延べ URL 数に対するユニーク URL 数は約 38% 同一の URL に複数回アクセス件数 HTTP 通信ありの検体 256 延べ URL 1,628 ユニーク URL 628 ユニーク FQDN 147 同一あるいは URL クエリパラメータが異なる URL へアクセス 19

20 課題 FFRI Dataset 検体あたり 90 秒間の解析時間では不分 ( 短い?) 解析環境を検知して動作を停止 / 変更する検体検体を取得してから動的解析までの時間経過によってアクセス可能な通信先が減少これらを解決することにより抽出可能な URL 数を増やすことができる可能性 20

21 チェック対象ブラックリスト生成例 1 ブラウザの Cookie や履歴の情報をファイル読み出し URL 抽出対象 id=1565 などパス部が {3 桁の数字 }/{3 桁の数字 }.html というパターン当該検体以外でもいくつかの検体で同様のパターンが確認 < チェック対象 > C: Documents and Settings cuckoo1 Cookies index.dat C: Documents and Settings cuckoo1 Local Settings History History.IE5 index.dat < ブラックリスト > CA2A97E466E

22 チェック対象ブラックリスト生成例 2 インストール済ソフトウェアに関するレジストリ読み出し URL 抽出対象 id=1690 ホスト名が IP アドレスの URL 80 番ポートを使せず他のポートを指定した URL プロダクトキーの読み出しは FFRI Dataset 2013 ではられなかった < チェック対象 > HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Unin stall < ブラックリスト > 22

23 もくじ 1. はじめに 2. 関連研究 3. 提案方式 4. データセットをいた事例調査 5. 課題 6. まとめ 23

24 課題 (1/2) チェック対象のメンテナンス OS のバージョンやインストールされているアプリケーションの種類によってチェック対象とすべきファイルやレジストリが変わってくるプロダクトキーや設定情報など何をチェック対象とすべきかその利価値や実際のマルウェアの挙動を分析しながらチェック対象をメンテナンスしていく必要性ありホワイトリストのメンテナンス正常通信に紛れてマルウェアが通信をうことを考えるとメジャーサイトであってもマルウェアが不正利マルウェアがインターネット接続確認をう場合メジャーサイトであるとは限らないチェック対象のメンテナンスと同様に実際のマルウェアの挙動を分析しながらメンテナンスしていく必要性あり 24

25 課題 (2/2) サンドボックス解析の詳細度 API コールの時刻やプロセスツリーなど詳細なデータが利できるがその詳細度はサンドボックスに依存サンドボックスのインターネットへの接続条件やマルウェアが備える解析環境の回避技術に対してシステム固有の情報をランダム化する等の実現レベルの違いブラックリストとしての確からしさ提案方式がテイント解析等による従来法と比較してどの程度悪性サイトを判定できているのかドメインや IP アドレスのレピュテーション情報などとの比較も一つの評価方法攻撃耐性マルウェア検体の役割分担ある検体で情報収集他の検体がそのファイルを読み出して外部へ送信 25

26 もくじ 1. はじめに 2. 関連研究 3. 提案方式 4. データセットをいた事例調査 5. 課題 6. まとめ 26

27 まとめマルウェアのサンドボックス解析結果をもとにシステム情報やユーザ情報に関するファイルやレジストリの読み取りを条件とした簡易な URL ブラックリスト生成方式を提案 FFRI Dataset 2013 をいた事例調査の結果をすとともに提案方式およびデータセットの課題を考察精査したチェック対象リストをもとにテイント解析結果との比較など有効性の評価 27

28 参考文献 [1] AV Comparatives: Whole Product Dynamic Real-World Protection Test (March-June 2013), ( 参照 2013/08/19) [2] IPA: 新しいタイプの攻撃の対策に向けた設計運ガイド改訂第 2 版, ( 参照 2013/08/19) [3] Palo Alto Networks: URL Filtering, ( 参照 2013/08/19) [4] DigitalArts:i-Filter, ( 参照 2013/08/19) [5] Akiyama, M., et al.: Design and Implementation of High Interaction Client Honeypot for Drive-bydownload Attacks, IEICE Transactions on Communication, Vol.E93-B No.5 pp , May [6] 川元, 他 : マルウェア感染検知のためのトラヒックデータにおけるペイロード情報の特徴量評価, MWS2011(2011 年 10 月 ) [7] 市野, 他 : トラヒックの時系列データを考慮した AdaBoost に基づくマルウェア感染検知法, 情報処理学会論文誌 53(9) 2012 年 [8] 大月, 他 : マルウェア感染検知のためのトラヒックデータにおけるペイロード情報の特徴量評価,MWS2012 (2012 年 10 月 ) [9] Jacob, G., et al.: Jackstraws: Picking Command and Control Connections from Bot Traffic, 20th Usenix Security Symposium. USA, August [10] Kang, G. M., et al.: DTA++: Dynamic Taint Analysis with Targeted Control-Flow Propagation, Proceedings of the 18th Annual Network and Distributed System Security Symposium, Feb [11] 川古谷, 他 : テイント伝搬に基づく解析対象コードの追跡方法,MWS2012 (2012 年 10 月 ) [12] Egele, M., et al.: A survey on automated dynamic malware-analysis techniques and tools. ACM Comput. Surv. 44, 2, Mar [13] 神薗, 他 : マルウェア対策のための研究データセット MWS Datasets 2013,MWS2013 (2013 年 10 月 ) [14] TrendLabs SECURITY BLOG, マルウェア解析の現場から -06 DGA, ( 参照 2013/08/19) 28

スライド 1

スライド 1 FFRI Dataset 2016 のご紹介株式会社 FFRI http://www.ffri.jp Ver 2.00.01 1 Agenda FFRI Dataset 2016 概要 Cuckoo Sandbox 具体的なデータ項目データの利用例 2 FFRI Dataset 2016 の概要 FFRIで収集したマルウェアの動的解析ログ 2016/1~2016/3に収集された検体計 8,243