<4D F736F F F696E74202D E9197BF C A837B C EC091D492B28DB8284E E B8CDD8AB B83685D>

Size: px

Start display at page:

Download "<4D F736F F F696E74202D E9197BF C A837B C EC091D492B28DB8284E E B8CDD8AB B83685D>"

まいえみうら
5 years ago
Views:

2 調査手法 2 種類のハニーポットと 2 種類の動的解析システムでボットネットの実態を攻撃検知検体収集検体解析の面から調査能動的攻撃受動的攻撃サーバ型ハニーポットクライアント型ハニーポットトによる能動的攻撃実態調査による受動的攻撃実態調査攻撃検知検体収集収集検体閉環境型動的解析ツール検体解析開環境型動的解析ツール Copyright 2008 NTT, corp. All Rights Reserved. 2

5 攻撃検知数推移 ISP 毎に攻撃検知数にばらつき少ないところでは一日平均 92 回多いところでは476 回の攻撃検知攻撃対象脆弱性はMS03-026が約 8 割を占める MS は攻撃コードの完成度が高くバージョン (XP/2000) や言語 (JP/EN) に依存しない攻撃コードが流通している OCN A BIGLOBE B 500 nifty C IIJD Total % 0.0% 9.9% 設置期間総検体数攻撃対象脆弱性の割合 25% 2.5% 39% 3.9% 総検体種類数 78.4% MS MS MS MS04-0 MS MS ~ (234 日間 ) 60,93 検体 6,476 種類種類は SHA のハッシュ値により分類 Copyright 2008 NTT, corp. All Rights Reserved. 5

6 特徴的な Shellcode Anti-Virus ソフトを停止させる Shellcode を検知 Anti-Virusを導入しているが未パッチというユーザが感染してしまう一般に Shellcode( メモリ上のデータ ) は Anti-Virus ソフトのスキャン対象外 Anti-Virus を導入していても OS パッチを徹底すべき :02:3 [API] CreateProcessW: C: WINDOWS system32 net.exe:net stop "Norton AntiVirus Auto Protect Service" :02:3 [API] CreateProcessW:C: WINDOWS system32 net.exe:net stop Mcshield :02:3 [API] CreateProcessW: C: WINDOWS system32 net.exe:net stop "Panda Antivirus" :02:3 3 [API] CreateFileW: c:.vbs :02:3 [API] CreateProcessW:C: WINDOWS system32 cscript.exe:cscript p //Nologo /B c:.vbs Copyright 2008 NTT, corp. All Rights Reserved. 6

7 閉環境での動的解析ワーム (PORT39,445), とボット (IRC,, HTTP) の活動が見られる IRCでの接続先ポート番号分布の上位に一般的なサービスで利用するポートがきている TCP8080 HTTP Alternate ポート番号のみでのフィルタリングは困難 TCP590 AOL Instant Messenger TCP863 MSN Messenger PORT_ IRC HTTP PORT_ PORT_ SMTP PORT_ PORT_ IRC? PORT_ 検体数検体数 TCP プロトコル IRC での利用ポートトップ 0 Copyright 2008 NTT, corp. All Rights Reserved. 7

8 前年度からのマルウェアの傾向変化取得検体数増加監視対象となる IP アドレスが増加したことが影響検体種類数増加ポリモーフィックワームの流行が原因 HTTP 利用検体比率増加ボットの使うプロトコルが IRC から HTTP へ移行している : 他 PC へ感染時に自分自身を改変するもの. 改変後はハッシュ値が異なるためハッシュ値ベースのハッシュ値ベースのマルウェアの分類では別種類に分類される 80,000 2,000 60,93,740 60,000, % 40,000,600 20,000,400,226,200 00,000 総検体数総検体種類数,000 80, ,000 5, % 40, ,476 20, 年度 2007 年度 2006 年度 2007 年度 80 % IRC 利用検体数 50 HTTP 利用検体数 HTTP 利用検体比率 ( 対 IRC) Copyright 2008 NTT, corp. All Rights Reserved. 8

9 開環境での動的解析開閉環境での解析における取得接続先数の比較 ( 同一 50 種類の検体での解析結果を比較 ) MatrixDaemons 閉環境 BotnetWatcher 開環境 HTTP 6 98 IRC 69 6 SMTP 7 5 UNKNOWN IRC 閉環境の方が多いボットにハードコーディングされたバックアップ用 C&Cサーバのアドレスを抽出したため HTTP 開環境の方が多い攻撃者からの命令に起因した HTTPの接続先 ( 追加バイナリ取得等 ) を収集したため Copyright 2008 NTT, corp. All Rights Reserved. 9

10 ボットの活動シーケンス開環境型動的解析によりボット感染後の挙動追跡が可能活動シーケンスにはボット特有のものが確認される IRC による命令受信 HTTP による追加バイナリダウンロード活動シーケンスに基づく対策が有効と思われる. 2min IRC 3 IRC 2 HTTP あるボットの感染後の挙動 Copyright 2008 NTT, corp. All Rights Reserved. 0

11 考察依然能動的攻撃が猛威を振るっている Anti-Virus を止める特徴的な Shellcode が出現 Anti-Virus 有りパッチ適用無しでは不十分 Shellcodeを実行させないためにもパッチの適用を推進する必要があるボットは一般的なアプリケーションのポート番号を利用して通信を行うポート番号のみでのフィルタリングは困難ペイロードまで見てフィルタリングする必要があるポリモーフィックワームが蔓延優先的に対処すべきマルウェアを見逃さないためにもマルウェアの分類が必要と考えられる開環境型動的解析により実インターネットでのボットの活動を把握感染した場合に接続するアドレス (C&Cサーバ追加バイナリダウンロードサイト ) を収集感染時に見られる接続先に基づく対策に利用可能ボットの活動シーケンスを収集ボット特有の活動シーケンスに着目したフィルタリング等の対策が有効 : 他 PC へ感染時に自分自身を改変するもの. 改変後はハッシュ値が異なるためハッシュ値ベースの値ベマルウェアの分類では別種類に分類される Copyright 2008 NTT, corp. All Rights Reserved.

13 悪性 URL リスト巡回結果ある悪性 URLリストをクライアント型ハニーポットで巡回悪性リストに含まれるURL 数 3,234URL 検知数一回目 ( ~27):3,408URL(0.9%) 二回目 ( ~6):3,324URL(0.6%) 攻撃に利用される脆弱性に偏り脆弱性の種類 MS 06 04(MDAC ) MS 06 04(MDAC ) MS 07 07(ani) MS 07 07(ani) 07(ani) MS 06 00(WMF ) MS 06 00(WMF ) MS (WVF MS (WVF Icom) Icom) MS (VML) MS MS (VML) 004(VML) MS (VML) CVE (WinZ ip) CVE (WinZ ip) CVE (QuickTime) CVE (QuickTime) 脆弱性の種類 MS 06 04(MDAC ) MS 06 04(MDAC ) MS 07 07(ani) MS07 07(ani) 0 MS 06 00(WMF ) MS 06 00(WMF ) MS (VML) MS (VML) MS (WVF MS (WVF Icom) Icom) CVE (WinZ ip) CVE (WinZ ip) MS (VML) MS (VML) CVE (QuickTime) CVE (QuickTime) 巡回回目巡回 2 回目 Copyright 2008 NTT, corp. All Rights Reserved. 3

14 攻撃対象脆弱性の偏りの原因 MPack では複数の脆弱性を連続的に攻撃 MS06-04(MDACの脆弱性 ) に対する攻撃は連続攻撃で一番最初に使われているいずれかの攻撃成功するとその後の攻撃は行われない HeapSpray shellcode 2.MS 攻撃コード 3.WinZip 攻撃コード 4.QuickTime 攻撃コード MS06-04 MS MS06 04 攻撃コード WinZip MPack における攻撃コード QuickTime Copyright 2008 NTT, corp. All Rights Reserved. 4

15 攻撃サイト群の iframe 構造 iframe によって構成される攻撃サイト群の構造を調査攻撃サイトは複数のWebサイトから構成されることが多かった検知したURLのうち 93.3% にはiframeが含まれていた iframe とはページの中に別のページをフレームとして埋め込むことができる仕組み中継サイト今回の検知したURL でのiframe 利用状況 iframeが含まれるurl 2,466 URL アクセス (93.3%) 3%) 攻撃コード iframeが含まれないurl 76 URL 攻撃配布サイト (6.7%) iframe 中継サイト Copyright 2008 NTT, corp. All Rights Reserved. 5

16 悪性 URL リストから得られた攻撃サイト群の iframe 構造検知 URL のうち約 88% が何らかの URL に集約集約点に対するアクセス制御で大半の攻撃を無効化できる例 ) ここへの接続を遮断することで,899URL( 検知 URL の 7.9%) の脅威を無効化調査時に攻撃コンテンツが存在していた 2,642URL が対象 Attack contents B Close-up Attack contents A Attack contents C Attack contents D Copyright 2008 NTT, corp. All Rights Reserved. 6

17 閉環境での動的解析 HTTP による通信を利用するものが主能動的攻撃で見られたIRCやTCP39, 445への通信は見られない TCP プロトコルの分布 PORT_ TCP( 回目巡回 ) IRC HTTP HTTP PORT_ PORT_ PORT80 SMTP 933 PORT_4444 PORT_ PORT2703 IRC? PORT_300 PORT 能動的攻撃での検体受動的攻撃の検体 Copyright 2008 NTT, corp. All Rights Reserved. 7

18 開環境での動的解析閉開環境での取得接続先数の比較 ( 同一のマルウェア 42 種類での解析結果を比較 ) 開環境により追加バイナリ取得先のホスト名を取得追加バイナリのダウンロードな 30 どによる接続先を取得閉環境開環境 HTTP UNKNOWN(TCP25) 0 UNKNOWN(TCP80,25 以外 ) 3 0 接続確認のためにランダムに生成されたホストへのアクセスは除いたた Copyright 2008 NTT, corp. All Rights Reserved. 8

19 追加バイナリ取得状況受動的攻撃での検体の方が追加バイナリ数が多い受動的攻撃ではダウンローダと判定されるものが最も多い観測の中でダウンローダの多段構成が確認された解析検体数解析期間取得追加バイナリ数能動的攻撃の検体 50 種類 4 日間 3 種類受動的攻撃の検体 42 種類 6 日間 50 種類 Trojan.Downloader 9 Trojan.Spy 3 Trojan.Padodor Trojan.Crypt Trojan.Fakealert Trojan.Proxy Dialer Trojan.Agent Trojan.Hupigon UNKNOWN Anti-Virus ソフトによる受動的攻撃検体の追加バイナリ検査結果 ClamAV を利用 Copyright 2008 NTT, corp. All Rights Reserved. 9

20 考察攻撃サイト群のiframe 構造を可視化検知 URLの約 88% は何らかのURLに集約集約点のURLに対するフィルタリング等を実施することで効率よく対策が可能検知 URLの約 93% はiframeによる転送を利用ブラウザでiframeを無効にすることは可能だが利便性を考慮すると実現性は困難. 加えて攻撃者がiframe 以外の手法で利用者を攻撃コード配布サイトへ誘導することは容易. 受動的攻撃で取得した検体について開環境での解析が特に効果的閉環境での解析より多くの接続先を収集次検体がダウンローダであることが多いため開環境型解析による本体収集が本当の脅威を知る上で必須 Copyright 2008 NTT, corp. All Rights Reserved. 20

21 まとめ攻撃検知検体収集検体収集能動的攻撃依然継続中新たなShellcodeの存在もありパッチ適用をより一層推進する必要がある受動的攻撃脅威増大攻撃サイト群のiframe 構造における集約点に対するアクセス制御は効果が大きい各々の攻撃手法に対応したハニーポットで調査対策を進めていく必要がある検体解析ポリモーフィックワームに惑わされず効率的な解析を狙いとしてマルウェアの分類技術 ( 自動化可視化など ) は必要不可欠解析技術者間での情報共有や感染者への注意喚起の迅速性正確性を狙いとしてマルウェアのネーミングを統一することも必要. 次情報をすばやく情報を得るためには閉環境での解析が有効追加バイナリダウンローダによる真の脅威把握ボット感染時の接続先に基づく対策実施をより効果的にするには開環境での解析が必要開環境型動的解析は実インターネットにおけるボットの挙動活動中のボットネットの挙動を把握できるため対策に向けての効果が大きいマルウェア侵入経路の多様化機能の高度化継続して通信事業者セキュリティベンダ等で連携して対策を進めていく必要がある Copyright 2008 NTT, corp. All Rights Reserved. 2

PowerPoint Presentation

PowerPoint Presentation 資料 2-4 次世代情報セキュリティ対策について啓発だけでは不十分永遠のビギナー対策が最大の課題平成 19 年 12 月 5 日 NTTPC コミュニケーションズ小山覚 NW セキュリティ対策における官民の役割分担イメージ 2 インターネットを利用するために必要な知識を持たず正しい判断と行動が出来ないユーザ ( 子供などの若年層を含む ) の実態に即したセキュリティ対策が必要国の役割