侵入挙動の反復性によるボット検知方式

Size: px

Start display at page:

Download "侵入挙動の反復性によるボット検知方式"

なつきかつもと
6 years ago
Views:

1 侵入挙動の反復性によるボット検知方式静岡大学酒井崇裕 KDDI 研究所竹森敬祐 NICT 安藤類央静岡大学西垣正勝 1 1

2 ボットの検知技術パターンマッチング法ボットのバイトパターンを定義しマッチングすることで検出するビヘイビアブロッキング法ボットの振る舞いを定義しその振る舞いを行っているかを監視することで検出する 2 2

3 パターンマッチング法一般的なアンチウイルスソフトの主流既知のボット検知にあたり簡素かつ確実しかしボットの傾向様々な亜種が生成暗号化難読化技術による自己改変そのためパターンファイルにない未知のボットに対応できない 3 3

4 ビヘイビアブロッキング法ビヘイビアからボットらしさを定義することでビ未知のボットに対しても有効しかしボットの挙動隠蔽不正者は長期間にわたってボットが感染したパソコンを悪用するファイル破棄やシャットダウン大規模感染活動など表立った行動をしない通信プロトコルや通信量の制御による正規通信へのなりすましそのためボットの本質を捉えたビヘイビアの発見が必要 4 4

5 ボットの挙動の分析システムフォルダへの潜伏一般ユーザはシステムフォルダの構成プロセスを把握していない多数のEXE,DLLが存在しているためボットの追加に気づきにくいボット A 自己複製 ( ポリモーフィックを含む ) < 侵入先フォルダ > ボット A 攻撃侵入挙動攻撃挙動潜伏のための環境を整える外部の指令サーバから受信し侵入先フォルダへの実行ファイルのた指令などに従った攻撃生成 ( 自己複製など ) スパム送信 OS 上のファイルレジストリの DDoS 攻撃書き換え外部へのボット拡散活動 5 5

6 ボットの挙動の分析 ~ 攻撃挙動 ~ < 侵入先フォルダ > 自己複製 ( ポリモーフィック攻撃攻撃挙動を含む ) ボットA ボットの目的によってボットA 攻撃方法が異なる攻撃タイミングの制御攻撃挙動正規通信への偽造外部の指令サーバから受信しのため観測が困難た指令などに従った攻撃スパム送信 DDoS 攻撃外部へのボット拡散活動 6 6

7 ボットの挙動の分析 ~ 侵入挙動 ~ 侵入挙動に注目する (1) ファイル生成 < 潜伏先フォルダ > (2) 自動実行登録自己複製攻撃 ( ポリモーフィックを含む ) 侵入挙動ボットA ボットA 潜伏 / 常駐するためにはシステムフォルダ等への侵入 / 侵入挙動自動実行登録は重要侵入は初めて実行された際に行われるため観測ポイントが一定潜伏のための環境を整える侵入先フォルダへの実行ファイルの生成 ( 自己複製など ) OS 上のファイルレジストリの書き換え 7 7

8 ボットの挙動の特徴実行侵入攻撃の両機能を持ったファイル < 侵入先フォルダ > ボットA A.exe 侵入ボットA A.exe 侵入 [ + 攻撃 ] 実行 [ 侵入 + 攻撃 ] 攻撃実行環境の違いによる挙動変化実行場所実行ファイル名 8 8

9 実行環境に影響するボットの挙動本来の挙動 < 侵入先フォルダ > ボットA A.exe 侵入ボットA A.exe 侵入 [ + 攻撃 ] [ 侵入 + 攻撃 ] 攻撃ボットA A.exe 侵入 [ + 攻撃 ] 侵入実行環境を戻して実行すると再び侵入挙動が行われる 9 9

10 実行環境に影響しないボットの挙動本来の挙動攻撃 < 侵入先フォルダ > ボット B B.exe 侵入ボット B B.exe 侵入攻撃侵入攻撃 [ 侵入 + 攻撃 ] [ 侵入 + 攻撃 ] 攻撃侵入実行環境を操作せずとも ( 常に ) 侵入挙動が繰り返される 10 10

11 ボットの侵入挙動の反復性侵入 / 攻撃機能を使い分けるボット実行環境を戻して実行すると再び侵入挙動が行われる高機能ボット侵入挙動の反復性常に侵入 / 攻撃機能を両方使うボット実行環境を操作せずとも ( 常に ) 侵入挙動が繰り返される低機能ボット 11 11

12 実行環境による正規プログラムの挙動本来の挙動インストーラC C.exe [ インストール ] インストール < インストール先フォルダ > アプリ実行アプリD D.exe [ アプリ実行 ] アプリ D アプリ実行そもそもインストール機能を持っていないためインストール挙動 ( 侵入挙動 ) の反復性は無い C.exe [ アプリ実行 ] アプリ実行 12 12

13 侵入挙動の反復性を利用したボット検知方式低機能ボット高機能ボット (1) 侵入直後に実行したときの侵入挙動の反復性 Or (2) 実行環境戻して実行したときの侵入挙動の反復性ありなしボット正規プログラム 13 13

14 実行環境による低機能ボットの挙動本来の挙動攻撃 < 侵入先フォルダ > ボット B B.exe 侵入ボット B B.exe 侵入攻撃侵入攻撃 [ 侵入 + 攻撃 ] [ 侵入 + 攻撃 ] 攻撃侵入ボット B B.exe 侵入攻撃 [ 侵入 + 攻撃 ] 攻撃侵入実行環境を操作しても再び侵入挙動が行われる 14 14

15 侵入挙動の反復性を利用したボット検知方式低機能ボット高機能ボット (1) 侵入直後に実行したときの侵入挙動の反復性実行環境戻して実行したときの Or 侵入挙動の反復性 (2) 実行環境戻して実行したときの侵入挙動の反復性ありなしボット正規プログラム 15 15

16 提案方式検査開始実行ファイル α α.exe ボット検査侵入 (1) ファイル生成 (2) 自動実行登録 < 生成先フォルダ> 実行ファイル β β.exe 実行ファイル γ α.exe 侵入 (1) ファイル生成 (2) 自動実行登録ボット検知 16 16

17 提案方式の実現方法システムコールを監視実行ファイルの生成ファイルアクセスの監視自動実行登録自動実行の関係のあるレジストリ書込みの監視など OS のシステムコール (API) をフックすることによりリアルタイムで監視可能 17 17

18 検証実験の概要 ProcMon と Autoruns を用いた有効性の評価ファイルアクセスを自動実行されるプログラムを監視可能なモニタツール監視可能なモニタツール (1) ファイル生成の観測 (2) 自動実行登録の観測侵入挙動の観測 18 18

19 検証実験有効性の評価検知実験 : ボットを用いる誤検知実験 : 正規プログラムを用いる実験環境仮想マシン (VMWare Workstation6) ゲスト OS:WindowsXP Professional SP2 隔離されたローカルマシン 19 19

20 検知実験研究用データセット CCC DATAset 2009のボット検体 10 体に対して提案方式に基づいて監視ツールを用いた検証実験を行い提案方式の有効性をしめす 20 20

21 検知実験結果ボット検体場所高機能タイプ名前低機能判定検体 A - - ( 検知 ) 検体 B - ( 検知 ) 検体 C - - ( 検知 ) 検体 D - - ( 検知 ) 検体 E - ( 検知 ) 検体 F - ( 検知 ) 検体 G - - ( 検知 ) 検体 H - - ( 一部検知 ) 検体 I ( 検知漏れ ) 検体 J ( 検知漏れ ) 21 21

22 検知実験結果 ~ 一部検知 ~ 侵入挙動として自動実行登録のみが反復されるタイプの検体ボットB B.exe 侵入攻撃 [ 侵入 + 攻撃 ] 攻撃侵入自動実行登録のみ侵入挙動の定義を見直すことによって検知できる可能性がある 22 22

23 検知実験結果ボット検体場所高機能タイプ名前低機能判定検体 A - - ( 検知 ) 検体 B - ( 検知 ) 検体 C - - ( 検知 ) 検体 D - - ( 検知 ) 検体 E - ( 検知 ) 検体 F - ( 検知 ) 検体 G - - ( 検知 ) 検体 H - - ( 一部検知 ) 検体 I ( 検知漏れ ) 検体 J ( 検知漏れ ) 23 23

24 検知実験結果 ~ 検知なし~ 生成された実行ファイルが攻撃機能のみを備えるタイプの検体 < 侵入先フォルダ > ボット A A.exe [ 侵入 ] 侵入侵入ボットA A.exe [ 攻撃 ] ボットA A.exe [ 攻撃 ] 攻撃 24 24

25 誤検知実験一般的に使用されるアプリケーションに対して本提案方式で誤検知されないかどうかを実験した 25 25

26 誤検知実験結果正規プログラム判定 MS WORD2003 ( 誤検知なし ) InternetExplorer ( 誤検知なし ) Adobe Reader ( 誤検知なし ) Skype ( 一部誤検知 ) Rainlendar ( スケジュール管理ツール ) ExtendQuickBar ( キーバインドツール ) ( 一部誤検知 ) ( 一部誤検知 ) 26 26

27 誤検知実験結果 ~ 誤検知なし~ MS WORD2003 等のインストーラはそもそも自動実行登録を行わない検査開始条件 (1) ファイル生成 (2) 自動実行登録検査自体が開始されること無いため誤検知も無い 27 27

28 誤検知実験結果正規プログラム判定 MS WORD2003 ( 誤検知なし ) InternetExplorer ( 誤検知なし ) Adobe Reader ( 誤検知なし ) Skype ( 一部誤検知 ) Rainlendar ( スケジュール管理ツール ) ExtendQuickBar ( キーバインドツール ) ( 一部誤検知 ) ( 一部誤検知 ) 28 28

29 誤検知実験結果 ~ 一部誤検知 ~ Skype 等はユーザが任意に自動実行を設定できる機能を持っているアプリケーションオプション (O) オプション自動実行自動実行の登録自動実行の解除 29 29

30 一部誤検知についてボット [ 侵入 + 攻撃 ] 攻撃侵入攻撃自動実行登録アプリ [ アプリ実行 ] アプリ実行自動実行登録実行の度に無条件に行うユーザの任意のタイミングでの設定時に行う条件を整理することによってボットは検知 / 正規プログラムは誤検知なしに改良できる 30 30

31 考察ボットにおいて本方式では検知出来ない検体があったボットとして潜伏常駐して機能するためには何かしらの方法で PC 内に侵入する必要はある 31 31

32 考察 ~ 侵入挙動の定義 ~ 検体 I: システム系プロセスへの寄生? 検体 J:DLL を利用した寄生? (1) ファイル生成 (2) 自動実行登録今回定義した侵入挙動では検知出来ないファイル生成自動実行登録以外の侵入挙動を定義することによる検知方式の発見 32 32

33 まとめ侵入挙動の反復性を用いてボットの検知方式を提案した検知実験誤検知実験を行いその有効性や問題点における対策を示すことが出来た今後は侵入挙動の定義をより明確にすることで検知精度を高めていきたい 33 33

感染条件感染経路タイプウイルス概要 Authplay.dll (aka AuthPlayLib.bundle) を利用する Adobe Reader 9.x ~ より前のバージョンと 10.x から上記動作環境に一致した環境下で当該 PDF タイプウイルスを実行することで

感染条件感染経路タイプウイルス概要 Authplay.dll (aka AuthPlayLib.bundle) を利用する Adobe Reader 9.x ~ より前のバージョンと 10.x から上記動作環境に一致した環境下で当該 PDF タイプウイルスを実行することで 1. Exploit.PDF.CVE-2010-2883 一般向け情報 1.1 Exploit.PDF.CVE-2010-2883 の流行情報 2011 年 12 月 17 日朝鮮民主主義人民共和国 ( 北朝鮮 ) の金正日氏の訃報に便乗して発生したウイルスである今回解析する Exploit.PDF.CVE-2010-2883 は PDF 形式のウイルスでありメールや Web サイトに掲載されることで被害が拡大したと想定される