SCOPE2012

Size: px

Start display at page:

Download "SCOPE2012"

なぎさながおか
4 years ago
Views:

1 ハニーポットとバイナリコード解析の連携によるネットワーク攻撃の自動防御技術に関する研究独立行政法人産業技術総合研究所国立大学法人名古屋大学

2 研究の背景と目的ネットワーク攻撃の大規模化と先鋭化標的型攻撃 : 政府機関防衛産業原子力施設ボットネット攻撃 : クレジットカード情報等流出既存の対処法の限界未知攻撃への対処が困難 ( ゼロデイ攻撃 ) 既知攻撃パターン ( シグネチャ ) に依存攻撃捕捉網の不足いつどのように攻撃を受けたかすら不明な場合が多い未知のネットワーク攻撃を発生端緒で同定し自動的に分析を行う手法の確立

3 目標 : ネットワーク攻撃自動防御ネットワーク攻撃攻撃情報警告の広域共有仮想化高速起動攻撃無害化適応制御囮サーバー ( ハニーポット ) 攻撃プログラム ( ウィルス / ワーム ) 検体の解析 FC BE B cld mov esi, push esi mov eax, push eax 97 xchg eax, edi B280 BB A4 FFD3 02D A 8A16 12D2 C3 mov dl, 80 mov ebx, movsb es:[edi],ds:[esi ] call near ebx add dl, dl jnz inc esi mov dl, ds:[esi ] adc dl, dl retn32 バイナリコード解析器自動解析低コスト網羅的解析対アンチウィルス困難なネットワーク攻撃の捕捉と分析を自動化

4 ハニーポット技術の研究高感度で運用の容易なハニーポット技術実ハードウェアに直接 OS を搭載攻撃パケットを遮断し実ネットワークに接続制御サーバーにより OS 起動イメージの投入や電源制御を自動化未知の攻撃パケットを同定投下された攻撃プログラム ( マルウェア ) を自動回収

5 開発ハニーポットシステムネットワーク通信制御モジュール

6 その他開発ハニーポットシステム迷惑メールハニーポット迷惑メール本文中のリンクを選択的に巡回毎分 80 件のメールを処理可能 30 分平均で毎分 10 件の迷惑メールを受信し合計 1,968,593 個の URL を抽出し 20,153 件のマルウェアファイル ( 疑われるものも含む ) を収集 Linux ハニーポット Linux OS を標的としたネットワーク攻撃を捕捉 IPv6 ハニーポット stateless アドレスへのスキャンや攻撃を検知分析し別サブネットのハニーポットが攻撃されるよう制御

7 攻撃データ特徴抽出による未知攻撃同定ハニーポット観測データより IDS やアンチウィルス攻撃コード検知システムの情報を抽出する過去の攻撃データ学習データとし調査対象の攻撃データをテストデータに分類する. 学習データを用いて One-Class SVM のモデル生成未知判定の正解率の向上と false positive の増加

未知ネットワーク攻撃捕捉例平成 21 年度韓国および米国に対する DDoS 攻撃 (7 月 4 日 ~7 月 10) Oracle に対する攻撃 (7 月 8 日 ) Windows Vista に対するゼロデイ攻撃 (10 月 10 日 ) Windows XP に対するゼロデイ攻撃 (11 月 10 日 ) 平成 22 年度 SIP

8 未知ネットワーク攻撃捕捉例平成 21 年度韓国および米国に対する DDoS 攻撃 (7 月 4 日 ~7 月 10) Oracle に対する攻撃 (7 月 8 日 ) Windows Vista に対するゼロデイ攻撃 (10 月 10 日 ) Windows XP に対するゼロデイ攻撃 (11 月 10 日 ) 平成 22 年度 SIP サーバ攻撃 (7 月 9 日 ) 平成 23 年度 Windows ポート {135,445,1433}/tcp 攻撃 (9 月 9 日 ) JBoss の脆弱性攻撃 (10 月 19 日 ) 韓国から 23/tcp ログインを試みる攻撃 (12 月 5 日 ~) Windows 脆弱性 PoC(3 月 16 日公表 ) ベースの攻撃 (3 月 17 日 )

9 マルウェアバイナリコード解析の研究マルウェアバイナリコードの自動分析動的エミュレーション ( 暗号化難読化 ) と静的コード解析 ( マルチパス解析 ) を連動静的単一代入 (SSA) 形式による間接ジャンプ命令の飛び先アドレス計算プログラム全体 ( サブルーチン等含む ) 解析ハードウェア仮想化を利用した高精度な解析 API 関数呼び出しを含む振舞いの網羅解析

10 機械命令を代入文の列へ変換機械命令 ADD EAX, EBX JZ 0x4000 代入文への変換 result 32 EAX+ EBX, CF EAX > 0xFFFFFFFF - EBX, SF result 32 [31], ZF result 32 ==0x0 32, EAX result 32 Branch(ZF 1, 0x4000, cur + ilen) 制御フラグ更新 CALL EBX RET dest EBX ESP ESP 4 M St 32 (M,ESP, next) Call(dest) dest Ld 32 (M, ESP) ESP ESP+4 Ret(dest) メモリ読み出し ( 配列要素 ) メモリ書き込み ( 配列の更新 )

11 静的単一代入 (SSA) 形式へ変換 x 5 x x-3 x<3? 変数は一度だけ定義される x 1 5 x 2 x 1-3 x 2 <3? y x 2 w y y x-3 y 1 x 2 2 w 1 y 1 y 2 x 2-3 w x-y z x+y 値が合流するところに Φ 関数を挿入 y 3 Φ(y 1,y 2 ) w 2 x 2 -y 3 z 1 x 2 +y 3 w 2 = 2-Φ(4,-1)=Φ(-2,3) z 1 = 2+Φ(4,-1)=Φ(6,1) w 2 +z 1 = Φ(-2,3)+Φ(6,1)=Φ(-2+6,3+1)=Φ(4,4)=4

12 間接ジャンプ命令の飛び先を記号計算変数の use-def 鎖を辿って定数値へ帰着要求駆動型定数伝播メモリは巨大な配列として扱う ( メモリ変数 ) Ld(St(M,A,D),A) = A Ld(St(M,A,D),A ) = Ld(M,addr ) if A A Φ 関数の代数則 ( 分配則など ) を利用全プログラム解析サブプロシジャのような文脈依存コードの解析 CALL/RET 命令は信用できない Φ 関数で表現された飛び先アドレス動的解析との連携

13 展開型静的解析 entry 1. 静的解析を開始 a. 直接ジャンプを追ってCFGを構築 ( 再帰探索 ) b. 間接ジャンプの行き先を記号評価を用いて解決 c. 行き先が定数アドレスに定まった場合グラフを拡張 d. 未解決の間接ジャンプがなくなるまで繰り返す 2. 動的解析を開始 a. 1. で作成されたCFGから逸脱するか書き換えられたページに到達するまで実行 3. 静的解析を再開 4. プログラム終了まで繰り返し静的に解決できなかった間接ジャンプ CFGからの逸脱または書き換えコード間接ジャンプ命令動的解析の実行コンテキスト動的解析との連携を実現を用いて静的解析を再開動的解析では実行されない基本ブロックも解析

14 難読化解析の例 : Rustok.B 機械命令 SSA : MOV SS:[ESP], 0x004015A : PUSH 0x B E: RETN B: RETN A9: INC ESP AA: INC ESP AB: INC ESP : M_106 St(M_105,ESP_208,0x004015A9) ESP_210 = ESP_ : ESP_209 ESP_208-4 M_107 St(M_106, ESP_209,0x40123B) E: dest_58 Ld(M_107,ESP_209) ESP_210 ESP_ _ Ret(dest_58) dest_58 = 0x40123B B: dest_59 Ld(M_107,ESP_210) ESP_211 ESP_ _ Ret(dest_59) dest_59 = 0x4015A9

15 Xen ハイパーバイザー上での実装 domu (Win32) 動的解析 ( 仮想実行 ) OS dom0 (Linux) 制御部静的解析部 CUI 記号評価仮想 CPU 仮想メモリ DLL/API 関数データベースイベント制御 CFG (SSA) 基本ブロック ( 代入文 ) HVM(Xen) 解析マシンハードウェア 15

ボットネットワームのドロッパー解析例 (Win32/Rustock) CreateSerivceA 未実行ブロックルートキットが無い動的解析のトレース OpenSCManagerA('', '', 983103)

RegCreateKeyA(2147483650L, 'system CurrentControlSet Services lzx3 2,134580) lstrcata('?

RegSetValueExA(16, 'ErrorControl', 0, 4, 4200764, 4) RegSetValueExA(16, 'Start', 0, 4, 4200768, 4)

16 ボットネットワームのドロッパー解析例 (Win32/Rustock) CreateSerivceA 未実行ブロックルートキットが無い動的解析のトレース OpenSCManagerA('', '', ) CreateServiceA(0, 'pe386', 'Win23 lzx files loader', 16, 1, 1, 0, ','Base', 0, '', '', ' ) RegCreateKeyA( L, 'system CurrentControlSet Services lzx3 2,134580) lstrcata('?? ', ' ) RegSetValueExA(16, 'ImagePath', 0, 1, , 4) RegSetValueExA(16, 'DisplayName', 0, 1, , 21) RegSetValueExA(16, 'ErrorControl', 0, 4, , 4) RegSetValueExA(16, 'Start', 0, 4, , 4) RegSetValueExA(16, 'Type', 0, 4, , 4) RtlInitUnicodeString(134328,u' registry machine system CurrentControlSet Servic es lzx32 ) ZwLoadDriver(134328,) ExitThread(0,) RegCreateKeyA

17 現状と今後の課題基幹ネットワークでのハニーポット自動運用によりネットワーク攻撃の捕捉性能が向上ハードウェア仮想化エミュレーションと静的バイナリーコード解析の連携によりマルウェアコード解析の性能が向上実際に蔓延した高度なボットネットワームやルートキット ( ドロッパー ) を自動的に解析可能これら技術の連携の有効性を確認亜種の同定接続ホストや分岐情報等の二次攻撃情報の提供などバイナリーコード解析の処理効率改善が必要 ( 数十分から数十時間 ) インクリメンタル再計算並列処理記号計算ツール

静的解析と動的解析を組み合わせたバイナリーコードの制御フロー解析 IIJ- II 技術研究所泉田大宗

静的解析と動的解析を組み合わせたバイナリーコードの制御フロー解析 IIJ- II 技術研究所泉田大宗静的解析と動的解析を組み合わせたバイナリーコードの制御フロー解析 IIJ- II 技術研究所泉田大宗背景現在もなお多数の正体不明なバイナリプログラムがネット上を飛び交っている正体不明ソースコードがない誰がどのように作ったかもわからない ( 使用したコンパイラなど ) 暗号化難読化など対策としてはアンチマルウェアソフト ( シグネチャマッチ ) セキュリティ教育振舞を調べるには