1012 　ボットネットおよびボットコードセットの耐性解析

Size: px

Start display at page:

Download "1012 　ボットネットおよびボットコードセットの耐性解析"

さなえみねむら
4 years ago
Views:

1 ボットネットおよびボットコードセットの耐性解析 KDDI 研究所静岡大学竹森敬祐磯原隆将三宅優西垣正勝 1. はじめに 2. 基本的な統計情報の調査 3. ネットワーク上でのボットネット耐性解析 4. PC 上でのコードセット耐性解析 5. おわりに 1

2 1. はじめにボットネットトップダウン型 P2P 型課題指令者は効率的かつ安定的なボットネットの運用とボットの確保に努めているボットネットおよびコードセットの耐性を把握することは今後の対策として重要である 2

3 1. はじめにそこで本稿ではネットワーク上での耐性中継サーバを並列化することでネットワーク上での生き残りを図っている (i) ボットネットの耐性解析 (ii) 並列管理されるコードの耐性解析 PC 上での耐性高機能を持った多数のコードを PC に送り込むことで PC 上での生き残りを図っている (iii) 送り込まれるコード数に着目した耐性解析 (iv) 単体のコードが持つ豊富な機能 (v) Anti Virus(AV) 駆除後の残存コードのその後 3

4 1. はじめに ~ 解析対象のデータ ~ CCC DATAset 2008 攻撃通信データ ( 以降 CCC2008 攻撃通信データ ) ハニーポット ( ボット感染 PC) が送受信する通信パケット (Pcap ファイル ) 中継サーバとの通信パケット攻撃通信パケット ( ただし Firewall で Outbound 方向を棄却 ) CCC DATAset 2008 攻撃元データ ( 以降 CCC2008 攻撃元データ ) ボットが中継サーバからコードを取得するときの通信ログ中継サーバの IP:Port 取得されたコード名とハッシュ値著者らが収集したコードからハニーポットを運用しており CCC 攻撃元データに記録された同じコードを持っている同じコードを PC に感染させたときの PC のファイル状態 (Outbound 攻撃パケットの発信を棄却する安全な感染環境を構築している ) 4

5 2. 基本的な統計情報の調査 ~ 中継サーバ通信 Port の分布 ~ 中継サーバ通信検知の難しさ IP 変動の影響の小さな 1 日分 : 2008 年 4 月 30 日の CCC2008 攻撃元データに注目総コード数の 38.9% は 80/TCP で配布されている他は様々な通信 Port が利用されている通信 Port は広く薄く分布しており通信 Port に注目した検知やフィルタリングは難しい 5 中継サーバが利用する Port の分布

6 2. 基本的な統計情報の調査 ~ 中継サーバ IP の分布 ~ 中継サーバ駆除の難しさ IP 変動の影響の小さな 1 日分 : 2008 年 4 月 30 日の CCC2008 攻撃元データに注目総コード数の 32.8% のコードを配布した中継サーバが 1 つある他は多数の中継サーバが少しずつコードを配布している中継サーバはインターネット上に広く薄く分布しておりボットネットとして高い耐性あり 6 コード配布を行う中継サーバ IP の分布

7 2. 基本的な統計情報の調査 ~ 未知のコード数 ~ 調査手順 2008 年 4 月 30 日の CCC2008 攻撃元データに注目この時点で CCC が利用している AV で判定できない Unknown コード数を調査したコードの種別の判断はハッシュ値に注目した未知のコード数中継サーバから取得されたコード総数 12,592 件に対して未知のコード総数は 2,543 件 (20.2%) であった未知のコード種類数中継サーバから取得された総コード種類数 817 件に対して未知のコード種類数は 52 件 (6.4%) であった未知のコードを積極的に配布している 7

8 3. ネットワーク上での耐性解析 ~ 概要 ~ 解析項目 (i) 中継サーバの並列化 CCC2008 攻撃通信データからボットネットの構成を視覚化する (ii) コードの分散管理の様子 CCC2008 攻撃元データからコード配布サーバの分散の様子を把握する 8

9 3. ネットワーク上での耐性解析 ~ ボットネットの視覚化 ~ ボットネットのネットワーク上での耐性解析数台の中継サーバが駆除されてもネットワーク上でボットネットは生き残るボットネットの視覚化ツールの提案 [DICOMO2008 竹森藤長佐山西垣 ] 本稿では Pcap ファイルからボットネットを視覚化するツールを実装した Step 1) 正常な宛先 IP を除外する Step 2) ボットにみられる特徴的なパケットの Source IP をボット層に描画する Step 3) 攻撃拡散に利用される Port25, 53, , 445 などをターゲット層に描画する Step 4) 上記以外の Destination IP を中継サーバ層に描画する加害者 PC あたりの指令サーバ数 : Port 25 Port 135 Port 136 Port 138 Port 139

10 3. ネットワーク上での耐性解析 ~(i) 中継サーバの並列化 ~ 視覚化の効果あるボットネットを視覚化した活発な中継サーバ 7 台を含む合計 17 台の中継サーバで制御されている様子がわかる Pcap ファイルのオフライン解析としてボットネット構成を自動描画できるボットネットが狙うターゲット Port を把握できる活発な中継サーバを把握できる 10

11 3. ネットワーク上での耐性解析 ~(ii) コード管理の並列化 ~ コードのネットワーク上での耐性解析コードを複数の中継サーバで管理配布することで中継サーバが駆除された場合でもネットワーク上でコードが生き残ることができる CCC2008 攻撃元データに記録されているコードのハッシュ値に注目して各々のコードがいくつの中継サーバから配布されているかを調査した 25.7% のコードが複数台の中継サーバから配布されていた多いものは台 11

12 4.PC 上での耐性解析 ~ 解析対象のコードセット ~ コードの PC 上での耐性解析ここでは (iii) 送り込まれるコード数 (iv) コードの多機能性 (v) 残存コードの挙動 (vi) AV 処理の妨害について紹介する 8 つのコードセット我々が独自に収集したコードのうち CCC2008 攻撃元データと一致するものに注目ボットに感染すると中継サーバから複数のコードを取得して以下の処理を行う自身のコードを削除するもの HDD にそのまま保存されるもの複数のコードに変態して HDD に保存されるもの元からあるファイルに感染するものレジストリや設定ファイルを改変するもの 12

13 4.PC 上での耐性解析 ~(iii)pc に送り込まれるコード数 ~ 8 つのコードセット各コードに感染して 10 分後のコードと設定の追加変更削除の様子を Tripwire で確認解説複数のコードを取得して多数のコードを書き込み多数の設定を改ざんする 13

14 4.PC 上での耐性解析 ~(iii) 送り込まれるコード数 ~ 未知コードの様子我々が運用しているハニーポットで判定された未知 / 既知コードの様子を示す解説初期コードが削除され 5 つの exe コードが追加され hosts が改竄された AV で初期コード 2 つの exe コード hosts が検知され 2 つの exe コードが残っている 14

15 4.PC 上での耐性解析 ~(iv) コードの多機能性 ~ コードの生き残りの工夫追加変更されたコードの一例を示す解説これらの殆どが起動されることなく HDD に保存されたままであるしかし cmd.exe や explorer.exe bedaula.htm などは,Windows PC が元々持つプログラムに感染しておりユーザ操作の中で起動が期待されるトロイの木馬である 15

16 4.PC 上での耐性解析 ~(iv) コードの多機能性 ~ プロセス通信モニタ著者らが開発したホスト型の通信プロセスモニタ [4] を用いて視覚化した様子を示す解説 exploere.exe,winamp.exe, winiogon.exe の 3 つのコードが起動して外部の PC と通信している 3 つのコードは独立動作しており様々な IP:Port に向かって通信している 16

17 4.PC 上での耐性解析 ~(iv) コードの多機能性 ~ 通信パターンモニタ著者らが開発した通信パターンモニタで先ほどの通信を視覚化した様子を示す解説 PC の送受信パケットを観測しただけではユーザ操作による通信とボットの通信を見分けることはできない起動中のボットプロセス数を推定することもできない. 17

18 4.PC 上での耐性解析 ~(iv) コードの多機能性 ~ 通信挙動の解析 3 つのボットプロセスが 10 分間で通信した Destination Port と正常なアプリケーションを特別な設定や操作を行うことなく利用したときの Destination Port について示す解説ボットのプロセスは,2 つの High Port を含む 4 つの Port を利用している正常なアプリケーションは 1 つもしくは 2 つの Well-known Port を利用している 3 つのボットプロセスとも 80/TCP の通信を行っているよって 1 台のボット感染 PC から発信される 80/TCP の通信は複数のボットプロセスから発信される複合パケットである 18

19 4.PC 上での耐性解析 ~(iv) コードの多機能性 ~ 7KB のコードの脅威数十 ~ 数百 KB のサイズのコードが多い中コードセット 6 では 7KB のコードが追加されたこのコードについて挙動解析を行ったところ 80/TCP による指令の取得と 25/TCP によるスパムメールの送信を行った解説小さなコードでも豊富な機能を持つ今回の 8 つのコードセットでは指令の受信や攻撃の発信をコード間で分担するような協調処理はみられず個々のコードで処理が完結していた一部のコードを駆除することでコードセットを機能不全にすることはできない 19

20 4.PC 上での耐性解析 ~(v) 残存コードのその後 ~ AV 駆除後の残存コードコードセット 7 では AV で駆除できずに未知コードとして残ったものがあるこのコードを 10 分間活動させたときの様子をモニタした解説 135/TCP への攻撃を拡散する新たに 80/TCP で 2 つのコードを取得してこれらを起動したさらに 3 つのコードを作成して HDD に保存したこれらは起動されていない駆除漏れのコードが残ることで感染状態に戻ってしまう AV や IDS をインストールしてある PC の場合残ったコードが既知のコードを自動取得することで身に覚えの無い AV アラームが次々と出ることになる残存コードの有無を確認できる 20

21 5. おわりにネットワーク上での耐性解析多数の中継サーバが並列化されていることコードを複数の中継サーバから配布していることネットワーク上でのボットネットの耐性が明らかになった PC 上での耐性解析多数のコードを HDD に作成することトロイの木馬型コード複数 Port 通信コード多機能搭載のスモールコードであること残存コードから復元されること AV のパターンファイルの更新を妨げること PC 上でのコードの耐性が明らかになった著者からの提言 AV は初期の感染予防には役立つが感染後は完全な駆除や修復は望めない身に覚えのない AV アラームが出るような場合には残存コードが疑われるユーザファイルのバックアップを取った後に OS の再インストールを行う 21

1012 　ボットネットおよびボットコードセットの耐性解析

1012 　ボットネットおよびボットコードセットの耐性解析ボットネットおよびボットコードセットの耐性解析竹森敬祐磯原隆将三宅優西垣正勝株式会社 KDDI 研究所 356-8502 埼玉県ふじみ野市大原 2-1-15 静岡大学創造科学技術大学院 432-8011 静岡県浜松市中区城北 3-5-1 あらましボットネットを制御する指令者は, ボットコード ( 以下, コードと呼ぶ ) および指令の効率的な配布とボットネットの安定運用を図るために, 中継サーバの並列化を図っている.

1012 ボットネットおよびボットコードセットの耐性解析

1012 　ボットネットおよびボットコードセットの耐性解析