マルウェア対策のための研究用データセット ~ MWS Datasets 2013 ~.pptx

Similar documents
スライド 1

スライド 1

スライド 1

InfoTrace Mark II for Cyber

スライド 1

マルウェア対策のための研究用データセット MWS Datasets 2019 荒木粧子, 笠間貴弘, 押場博光, 千葉大紀, 畑田充弘, 寺田真敏 (MWS 2019 実行 / 企画委員 ) 1

卒業論文審査

図 2 MWS Datasets 2015 の概要 図 1 マルウェア対策研究サイクルこのように進化を続け複雑化の一途をたどるサイバー攻撃に対峙していくため, 我々はマルウェア対策研究コミュニティである MWS を組織した.MWS は図 1 に示す通り 研究用データセットの提供, 分析ならびに対策技

オペレーティング システムでの traceroute コマンドの使用

MWSデータセット2016

IP IP DHCP..

修士論文進捗報告

侵入挙動の反復性によるボット検知方式

Symantec AntiVirus の設定

目次 実習 1 ネットワーク接続状況の確認... 2 実習 2 不審プロセスの確認... 5

untitled

サンドボックス解析結果に基づく URL ブラックリスト生成についての一検討 畑田充弘 田中恭之 稲積孝紀 先端 IP アーキテクチャセンタセキュリティ TU NTT コミュニケーションズ株式会社 Copyright NTT Communications Corporation. All right

可視化技術が切り開く 未来のネットワークセキュリティ つながる 新産業創出セミナー 加速するネットワーク社会の 攻め と 守り (2014/09/12) 独 政法 情報通信研究機構 (NICT) ネットワークセキュリティ研究所サイバーセキュリティ研究室笠間貴弘 NICTER Network Inci

帯域を測ってみよう (適応型QoS/QoS連携/帯域検出機能)

Soliton Dataset 2018 目的 エンタープライズ向けセキュリティログ取得製品を利用し様々なマルウェア動作ログを提供することで マルウェア対策の研究 開発の促進に寄与することを目指します 特長 Windows 上でのマルウェア動作ログ 横展開や MBR 書き換え系マルウェアも可能な範囲

任意の間隔での FTP 画像送信イベントの設定方法 はじめに 本ドキュメントでは AXIS ネットワークカメラ / ビデオエンコーダにおいて任意の間隔で画像を FTP サー バーへ送信するイベントの設定手順を説明します 設定手順手順 1:AXIS ネットワークカメラ / ビデオエンコーダの設定ページ

untitled

マルウェア通信活動抑制のためのネットワーク制御

集中講義 インターネットテクノロジー 第5回

障害およびログの表示

大月勇人, 若林大晃, 瀧本栄二, 齋藤彰一, 毛利公一 立命館大学 名古屋工業大学

Zone Poisoning

Upload path ファイル送信先ディレクトリのパスを指定します ホームディレクトリに画像を送信する場合は空白のまま サブディレクトリに画像を送信する場合はディレクトリ名を指定します さらに下位のディレクトリを指定する場合は \ マークを利用します 例 ) ホームディレクトリ以下の camera

untitled

R70_Software_Manual_JP1.3

p_network-management_old-access_ras_faq_radius2.xlsx

スケジュールによるメール送信イベントの設定方法 ( ファームウエア v6.5x 以降 ) はじめに 本ドキュメントでは Axis ネットワークカメラのファームウエア v6.5x 以降で 指定された曜日と時間帯に 画像を添付したメールを送信するための設定方法を説明します 設定手順 手順 1:Axis

Kullback-Leibler 情報量を用いた亜種マルウェアの同定 電気通信大学 中村燎太 松宮遼 高橋一志 大山恵弘 1

Microsoft PowerPoint ppt [互換モード]

ASA の脅威検出機能および設定

¥¤¥ó¥¿¡¼¥Í¥Ã¥È·×¬¤È¥Ç¡¼¥¿²òÀÏ Âè1²ó

Cisco Umbrella Branch Cisco Umbrella Branch Cisco ISR Umbrella Branch

Microsoft PowerPoint - 入門編:IPSとIDS、FW、AVの違い(v1.1).ppt

2. Save をクリックします 3. System Options - Network - TCP/IP - Advanced を開き Primary DNS server と Secondary DNS Server に AXIS ネットワークカメラ / ビデオエンコーダが参照できる DNS サ

IIJ Technical WEEK SEILシリーズ開発動向:IPv6対応の現状と未来

Soliton Dataset 2018

第1回 ネットワークとは

第 4 章ファイル共有 NFS の構成 NFS(Network File System) は ネットワーク上でファイル共有を提供する仕組みです 主に Linux-Linux 間や Linux-UNIX 間で使用されます NFS サーバーが公開 ( エクスポート ) したディレクトリを N

total-all-nt.dvi

E S E T F i l e S e c u r i t y LAN DISK H シリーズパッケージ ( 機能追加 ) ご注意 事前に本パッケージの追加をおこなってください パッケージの追加方法は 画面で見るマニュアル をご覧ください 本パッケージの追加は HDL-H シリーズファームウェアバー

SRX IDP Full IDP Stateful Inspection 8 Detection mechanisms including Stateful Signatures and Protocol Anomalies Reassemble, normalize, eliminate ambi

パケットモニター (Wireshark) の使い方 第 1 版 1.Wireshark とは ネットワーク上 (LAN ケーブルに流れている ) のパケットを取得して その中の情報を画面に表示するソフトウェア (LAN アナライザーまたはパケットモニター ) の 1 つに Wiresh

LabFabChemicals2014_Apr_ pdf

untitled

DTD Reference Guide

STARTプログラム.indd

CloudEdgeあんしんプラス月次レポート解説書(1_0版) _docx

情報通信の基礎

Transcription:

1

2

3

4

5

6

MWS Datasets 2013 MWS Datasets 2013 感染 PC 群 PRACTICE Dataset 2013 サーバ型ハニーポット CCC Dataset 2013 NICTER Darknet Dataset 2013 Darknet scan ボット ワーム クライアント型ハニーポット SandBox D3M 2013 FFRI Dataset 2013 7

MWS Datasets 2013 MWS Datasets 2013 感染 PC 群 PRACTICE Dataset 2013 サーバ型ハニーポット CCC Dataset 2013 NICTER Darknet Dataset 2013 Darknet scan ボット ワーム クライアント型ハニーポット SandBox D3M 2013 FFRI Dataset 2013 8

MWS Datasets 2013 MWS Datasets 2013 感染 PC 群 PRACTICE Dataset 2013 サーバ型ハニーポット CCC Dataset 2013 NICTER Darknet Dataset 2013 Darknet scan ボット ワーム クライアント型ハニーポット SandBox D3M 2013 FFRI Dataset 2013 9

MWS Datasets 2013 MWS Datasets 2013 感染 PC 群 PRACTICE Dataset 2013 サーバ型ハニーポット CCC Dataset 2013 NICTER Darknet Dataset 2013 Darknet scan ボット ワーム クライアント型ハニーポット SandBox D3M 2013 FFRI Dataset 2013 10

MWS Datasets 2013 MWS Datasets 2013 感染 PC 群 PRACTICE Dataset 2013 サーバ型ハニーポット CCC Dataset 2013 NICTER Darknet Dataset 2013 Darknet scan ボット ワーム クライアント型ハニーポット SandBox D3M 2013 FFRI Dataset 2013 11

MWS Datasets 2013 MWS Datasets 2013 感染 PC 群 PRACTICE Dataset 2013 サーバ型ハニーポット CCC Dataset 2013 NICTER Darknet Dataset 2013 Darknet scan ボット ワーム クライアント型ハニーポット SandBox D3M 2013 FFRI Dataset 2013 12

13

Darknet 14

15

April 5, 2011 Sony Computer Entertainment Europe @London April 3, 2011 Sony Online Entertainment @San Diego April 5, 2011 Sony Computer Entertainment @Texas 16

35000 nicterで増加傾向を観測 SecurityUpdate MicrosoE,F Secure 注意喚起 2000 30000 25000 JPCERT/CC 注意喚起 1800 1600 1400 20000 1200 1000 15000 800 10000 600 5000 400 200 0 17 0

800 増加の観測 30 700 25 600 500 20 400 15 300 10 200 100 5 0 0 18

2012年度 トピック 23/TCP idora ルータにIRCボットが感染 23 210/TCP Hikvision Digital Technology Co.,Ltd BitTorrentのポイゾニング パケットの増加 ー 2012年7月から日本国内から急増(詐称 ) 0/TCPへのパケット 53/UDP 毎週金曜日に増加するホスト 1点集中UDPパケット ー 400万パケット/day(10320 10321/UDP) JPからのバックスキャッタ 19

20

21

22

23

攻撃傾向が偏っていた 取得時期 攻撃の変化傾向がわかる ( かも ) D3M2012 D3M2013 24

25

26

27

項目 ( 大見出し ) 内容 info 解析の開始 終了時刻 id 等 (id は 1 から順に採番 ) yara yara(oss のマルウェア検知 分類エンジン ) の標準ルールとの照合結果 - hsps://code.google.com/p/yara- project/ signatures ユーザー定義シグニチャとの照合結果 ( 今回は使用無 ) virustotal VirusTotal の検査履歴との照合結果 ( 検体の MD5 値に基づく ) sta\c 検体のファイル情報 ( インポート API セクション構造等 ) dropped 検体が実行時に生成したファイル behavior 検体実行時の API ログ (PID TID API 名 引数 返り値等 ) processtree 検体実行時のプロセスツリー ( 親子関係 ) summary 検体が実行時にアクセスしたファイル レジストリ等の概要情報 target 解析対象検体のファイル情報 ( ハッシュ値等 ) debug strings network 検体解析時の Cuckoo Sandbox のデバッグログ 検体中に含まれる文字列情報 検体が実行時に行った通信の概要情報 28

29

30

31

データセット名検体 Hash(SHA-1) 挙動解析 IP AV 検知結果解析時間ファイルサイズ practice_1.pcap 5b9f78af4e5609c17fdff4d97e060d1a264b72d3 10.220.0.36 practice_2.pcap 5944b5a106a75a7d0c4b7fe2f4099efb7ba79eae 10.220.0.37 practice_3.pcap 2fec8e24ac3c911955c37ddab6904b2e7db74309 10.220.0.38 practice_4.pcap 12dba89f2c869ff6f12f8005dfb004628e2c983d 10.220.0.39 practice_5.pcap 093584d4f63d45fb46beb390ba9c10b73b394a88 10.220.0.40 Kaspersky 未検出 start: 2013-05-18 02:35:06 10MB McAfee PWS-Zbot.gen.alu end: 2013-05-25 11:59:53 Symantec 未検出 TrendMicro 未検出 Kaspersky Backdoor.Win32.VanBot.cx start: 2013-05-18 02:35:19 2.6MB McAfee Generic BackDoor end: 2013-05-25 11:35:21 Symantec W32.Spybot.Worm TrendMicro WORM_MYTOB.IR Kaspersky Trojan-Ransom.Win32.PornoAsset.abtn start: 2013-05-18 02:35:36 494MB McAfee ZeroAccess.hj end: 2013-05-20 02:00:01 Symantec Trojan.Zeroaccess!g19 TrendMicro TROJ_GEN.RCCC7IT Kaspersky Backdoor.Win32.ZAccess.ylb start: 2013-05-18 02:35:55 231MB McAfee ZeroAccess.hg end: 2013-05-20 02:00:00 Symantec Trojan.Gen TrendMicro TROJ_GEN.USBJ05ACN Kaspersky Trojan-Spy.Win32.SpyEyes.wb start: 2013-05-18 02:36:16 4.3MB McAfee Artemis!1E7C50EACE3D end: 2013-05-25 11:59:58 Symantec Trojan.Gen TrendMicro TSPY_SPYEYE.SME 32

$ capinfos practice_1.pcap File name: practice_1.pcap File type: Wireshark/tcpdump/... - libpcap File encapsulation: Ethernet Packet size limit: file hdr: 4096 bytes Number of packets: 54403 File size: 10977185 bytes Data size: 10106713 bytes Capture duration: 638687 seconds Start time: Sat May 18 02:35:06 2013 End time: Sat May 25 11:59:52 2013 Data byte rate: 15.82 bytes/sec Data bit rate: 126.59 bits/sec Average packet size: 185.77 bytes Average packet rate: 0.09 packets/sec SHA1: dafceef264eb9c504ff26b2e81ae779dfb454ba4 RIPEMD160: 64ad22ab0f2c2da7fbdbfe2de04deb32735a36a1 MD5: 9a590792443587379323b57094cd078b Strict time order: True $ tshark -r practice_1.pcap -q -z conv,ip head -12 ================================================================================ IPv4 Conversations Filter:<No Filter> <- -> Total Rel. Start Duration Frames Bytes Frames Bytes Frames Bytes 10.220.0.100 <-> 10.220.0.36 3340 333668 3344 426240 6684 759908 0.000539000 637201.6798 194.94.127.98 <-> 10.220.0.36 613 123042 602 63335 1215 186377 191.701388000 638470.3955 94.137.177.75 <-> 10.220.0.36 705 106025 495 67150 1200 173175 57003.557062000 307555.2854 46.48.235.250 <-> 10.220.0.36 697 85140 480 46530 1177 131670 69.778915000 637854.7095 46.8.115.89 <-> 10.220.0.36 668 73294 403 42589 1071 115883 273766.309451000 363971.2925 188.242.252.23 <-> 10.220.0.36 583 66354 478 46500 1061 112854 273833.027220000 364027.9457 211.75.189.231 <-> 10.220.0.36 527 83914 502 54559 1029 138473 113839.445968000 193919.9510 33

$ capinfos practice_3.pcap File name: practice_3.pcap File type: Wireshark/tcpdump/... - libpcap File encapsulation: Ethernet Packet size limit: file hdr: 4096 bytes Number of packets: 1160063 File size: 517963595 bytes Data size: 499402563 bytes Capture duration: 170664 seconds Start time: Sat May 18 02:35:36 2013 End time: Mon May 20 02:00:00 2013 Data byte rate: 2926.23 bytes/sec Data bit rate: 23409.82 bits/sec Average packet size: 430.50 bytes Average packet rate: 6.80 packets/sec SHA1: 86efa5943323aec7c874ad413efe9d2ddbfca7a2 RIPEMD160: d923294e579107d975eadd766ad82fcf1fd01618 MD5: 8f41893919cdb2c8f94668d4919fba8c Strict time order: True $ tshark -r practice_3.pcap -q -z conv,ip head -12 ================================================================================ IPv4 Conversations Filter:<No Filter> <- -> Total Rel. Start Duration Frames Bytes Frames Bytes Frames Bytes 219.80.142.21 <-> 10.220.0.38 3452 218172 20 9958 3472 228130 3399.178702000 167228.7679 120.201.89.250 <-> 10.220.0.38 1135 70554 1154 417898 2289 488452 761.741767000 169177.2880 158.254.253.254 <-> 10.220.0.38 1869 113420 0 0 1869 113420 289.677549000 170294.6172 134.254.253.254 <-> 10.220.0.38 1824 110630 0 0 1824 110630 285.677644000 170295.6173 166.254.253.254 <-> 10.220.0.38 1822 109320 0 0 1822 109320 291.677416000 170291.6174 113.254.253.254 <-> 10.220.0.38 1820 109200 0 0 1820 109200 293.677414000 170291.6173 206.254.253.254 <-> 10.220.0.38 1806 108360 0 0 1806 108360 280.677486000 170295.6175 34

35

36

37

38

2026 © docsplayer.net プライバシー | 利用規約 | フィードバック