資料 9-2 ボットネット実態調査 平成 20 年 6 月 8 日 NTT 情報流通プラットフォーム研究所 Copyright 2008 NTT, corp. All Rights Reserved.
調査手法 2 種類のハニーポットと 2 種類の動的解析システムで ボットネットの実態を 攻撃検知 検体収集 検体解析 の面から調査 能動的攻撃 受動的攻撃 サーバ型ハニーポットクライアント型ハニーポットトによる能動的攻撃実態調査による受動的攻撃実態調査攻撃検知 検体収集収集検体 閉環境型動的解析ツール 検体解析 開環境型動的解析ツール Copyright 2008 NTT, corp. All Rights Reserved. 2
能動的攻撃と受動的攻撃 能動的攻撃 利用者が特に操作を行わずとも 攻撃者が能動的に仕掛けてくる操作により実現される攻撃 受動的攻撃 利用者側が行う何らかの操作を契機とし 攻撃者が受動的に行う攻撃 能動的攻撃 受動的攻撃 Attacker 攻撃 Attacker 攻撃 2 Victim Victim Copyright 2008 NTT, corp. All Rights Reserved. 3
能動的攻撃調査結果 能動的攻撃 受動的攻撃 サーバ型ハニーポットによる能動的攻撃実態調査 クライアント型ハニーポットによる受動的攻撃実態調査 攻撃検知 検体収集 収集検体 閉環境型動的解析ツール 検体解析 開環境型動的解析ツール Copyright 2008 NTT, corp. All Rights Reserved. 4
攻撃検知数推移 ISP 毎に攻撃検知数にばらつき 少ないところでは一日平均 92 回 多いところでは476 回の攻撃検知攻撃対象脆弱性はMS03-026が約 8 割を占める MS03-026 026は攻撃コードの完成度が高く バージョン (XP/2000) や言語 (JP/EN) に依存しない攻撃コードが流通している 3000 2500 2000 OCN A BIGLOBE B 500 nifty C IIJD Total 000 500 0 20070702 2007073 20070724 20070804 2007085 20070826 20070906 2007097 20070928 2007009 2007020 200703 2007 200722 2007203 200724 2007225 2008005 200806 2008027 20080207 2008028 5.3% 0.0% 9.9% 設置期間 総検体数 攻撃対象脆弱性の割合 25% 2.5% 39% 3.9% 総検体種類数 78.4% MS03-026 MS03-049 MS04-007 MS04-0 MS05-039 MS06-040 2007.7.2~2008.2.20 (234 日間 ) 60,93 検体 6,476 種類 種類は SHA のハッシュ値により分類 Copyright 2008 NTT, corp. All Rights Reserved. 5
特徴的な Shellcode Anti-Virus ソフトを停止させる Shellcode を検知 Anti-Virusを導入しているが未パッチ というユーザが感染してしまう 一般に Shellcode( メモリ上のデータ ) は Anti-Virus ソフトのスキャン対象外 Anti-Virus を導入していても OS パッチを徹底すべき 2008027 7:02:3 [API] CreateProcessW: C: WINDOWS system32 net.exe:net stop "Norton AntiVirus Auto Protect Service" 2008027 7:02:3 [API] CreateProcessW:C: WINDOWS system32 net.exe:net stop Mcshield 2008027 7:02:3 [API] CreateProcessW: C: WINDOWS system32 net.exe:net stop "Panda Antivirus" 2008027 7:02:3 3 [API] CreateFileW: c:.vbs 2008027 7:02:3 [API] CreateProcessW:C: WINDOWS system32 cscript.exe:cscript p //Nologo /B c:.vbs Copyright 2008 NTT, corp. All Rights Reserved. 6
閉環境での動的解析 ワーム (PORT39,445), とボット (IRC,, HTTP) の活動が見られる IRCでの接続先ポート番号分布の上位に一般的なサービスで利用するポートがきている TCP8080 HTTP Alternate ポート番号のみでのフィルタリングは困難 TCP590 AOL Instant Messenger TCP863 MSN Messenger PORT_39 240 8080 IRC 740 0324 HTTP 256 590 PORT_445 26 863 PORT_25 934 65520 SMTP 933 6667 34 PORT_4444 4 2293 03 PORT_35 2 9928 98 IRC? 7763 95 PORT_300 3938 82 280 486 562 540 538 0 500 000 500 2000 2500 3000 0 00 200 300 400 500 600 検体数検体数 TCP プロトコル IRC での利用ポートトップ 0 Copyright 2008 NTT, corp. All Rights Reserved. 7
前年度からのマルウェアの傾向変化 取得検体数増加 監視対象となる IP アドレスが増加したことが影響 検体種類数増加 ポリモーフィックワーム の流行が原因 HTTP 利用検体比率増加 ボットの使うプロトコルが IRC から HTTP へ移行している : 他 PC へ感染時に 自分自身を改変するもの. 改変後はハッシュ値が異なるため ハッシュ値ベースのハッシュ値ベースのマルウェアの分類では別種類に分類される 80,000 2,000 60,93,740 60,000,800 70.5 % 40,000,600 20,000,400,226,200 00,000 総検体数総検体種類数,000 80,000 800 60,000 5,792 573 600 22.2% 40,000 400 6,476 20,000 27 967 200 0 0 2006 年度 2007 年度 2006 年度 2007 年度 80 % 70 60 IRC 利用検体数 50 HTTP 利用検体数 40 30 HTTP 利用検体比率 ( 対 IRC) 20 0 0 Copyright 2008 NTT, corp. All Rights Reserved. 8
開環境での動的解析 開 閉環境での解析における取得接続先数の比較 ( 同一 50 種類の検体での解析結果を比較 ) 20 00 80 60 40 20 0 MatrixDaemons 閉環境 BotnetWatcher 開環境 HTTP 6 98 IRC 69 6 SMTP 7 5 UNKNOWN IRC 閉環境の方が多い ボットにハードコーディングされたバックアップ用 C&Cサーバのアドレスを抽出したため HTTP 開環境の方が多い 攻撃者からの命令に起因した HTTPの接続先 ( 追加バイナリ取得等 ) を収集したため Copyright 2008 NTT, corp. All Rights Reserved. 9
ボットの活動シーケンス 開環境型動的解析により ボット感染後の挙動追跡が可能 活動シーケンスにはボット特有のものが確認される IRC による命令受信 HTTP による追加バイナリダウンロード 活動シーケンスに基づく対策が有効と思われる. 2min IRC 3 IRC 2 HTTP あるボットの感染後の挙動 Copyright 2008 NTT, corp. All Rights Reserved. 0
考察 依然能動的攻撃が猛威を振るっている Anti-Virus を止める特徴的な Shellcode が出現 Anti-Virus 有り パッチ適用無し では不十分 Shellcodeを実行させないためにも パッチの適用を推進する必要がある ボットは一般的なアプリケーションのポート番号を利用して通信を行う ポート番号のみでのフィルタリングは困難 ペイロードまで見てフィルタリングする必要がある ポリモーフィックワーム が蔓延 優先的に対処すべきマルウェアを見逃さないためにも マルウェアの分類が必要と考えられる開環境型動的解析により実インターネットでのボットの活動を把握 感染した場合に接続するアドレス (C&Cサーバ 追加バイナリダウンロードサイト ) を収集 感染時に見られる接続先に基づく対策に利用可能 ボットの活動シーケンスを収集 ボット特有の活動シーケンスに着目したフィルタリング等の対策が有効 : 他 PC へ感染時に 自分自身を改変するもの. 改変後はハッシュ値が異なるため ハッシュ値ベースの値ベマルウェアの分類では別種類に分類される Copyright 2008 NTT, corp. All Rights Reserved.
受動的攻撃調査結果 能動的攻撃 受動的攻撃 サーバ型ハニーポットによる能動的攻撃実態調査 クライアント型ハニーポットによる受動的攻撃実態調査 攻撃検知 検体収集 収集検体 閉環境型動的解析ツール 検体解析 開環境型動的解析ツール Copyright 2008 NTT, corp. All Rights Reserved. 2
悪性 URL リスト巡回結果 ある悪性 URLリストをクライアント型ハニーポットで巡回 悪性リストに含まれるURL 数 3,234URL 検知数 一回目 (2008..22~27):3,408URL(0.9%) 二回目 (2008.2.5~6):3,324URL(0.6%) 攻撃に利用される脆弱性に偏り 4000 3500 3000 2500 2000 500 000 500 0 335 396 94 46 39 4 0 0 脆弱性の種類 MS 06 04(MDAC ) MS 06 04(MDAC ) MS 07 07(ani) MS 07 07(ani) 07(ani) MS 06 00(WMF ) MS 06 00(WMF ) MS 06 057(WVF MS 06 057(WVF Icom) Icom) MS 06 055(VML) MS MS 07 004(VML) 004(VML) MS 07 004(VML) CVE 2006 598(WinZ ip) CVE 2006 598(WinZ ip) CVE 2007 005(QuickTime) CVE 2007 005(QuickTime) 3500 3000 2500 2000 500 000 500 0 328 487 20 42 25 7 3 0 脆弱性の種類 MS 06 04(MDAC ) MS 06 04(MDAC ) MS 07 07(ani) MS07 07(ani) 0 MS 06 00(WMF ) MS 06 00(WMF ) MS 06 055(VML) MS 06 055(VML) MS 06 057(WVF MS 06 057(WVF Icom) Icom) CVE 2006 598(WinZ ip) CVE 2006 598(WinZ ip) MS 07 004(VML) MS 07 004(VML) CVE 2007 005(QuickTime) CVE 2007 005(QuickTime) 巡回 回目 巡回 2 回目 Copyright 2008 NTT, corp. All Rights Reserved. 3
攻撃対象脆弱性の偏りの原因 MPack では複数の脆弱性を連続的に攻撃 MS06-04(MDACの脆弱性 ) に対する攻撃は連続攻撃で一番最初に使われている いずれかの攻撃成功すると その後の攻撃は行われない HeapSpray shellcode 2.MS06 057 攻撃コード 3.WinZip 攻撃コード 4.QuickTime 攻撃コード MS06-04 MS06-057.MS06 04 攻撃コード WinZip MPack における攻撃コード QuickTime Copyright 2008 NTT, corp. All Rights Reserved. 4
攻撃サイト群の iframe 構造 iframe によって構成される攻撃サイト群の構造を調査 攻撃サイトは複数のWebサイトから構成されることが多かった 検知したURLのうち 93.3% にはiframeが含まれていた iframe とはページの中に 別のページをフレームとして埋め込むことができる仕組み 中継サイト今回の検知したURL でのiframe 利用状況 iframeが含まれるurl 2,466 URL アクセス (93.3%) 3%) 攻撃コード iframeが含まれないurl 76 URL 攻撃配布サイト (6.7%) iframe 中継サイト Copyright 2008 NTT, corp. All Rights Reserved. 5
悪性 URL リストから得られた攻撃サイト群の iframe 構造 検知 URL のうち約 88% が何らかの URL に集約 集約点に対するアクセス制御で大半の攻撃を無効化できる 例 ) ここへの接続を遮断することで,899URL( 検知 URL の 7.9%) の脅威を無効化 調査時に攻撃コンテンツが存在していた 2,642URL が対象 Attack contents B Close-up Attack contents A Attack contents C Attack contents D Copyright 2008 NTT, corp. All Rights Reserved. 6
閉環境での動的解析 HTTP による通信を利用するものが主 能動的攻撃で見られたIRCやTCP39, 445への通信は見られない TCP プロトコルの分布 PORT_39 240 TCP( 回目巡回 ) IRC HTTP 256 740 HTTP PORT_445 26 PORT_25 934 PORT80 SMTP 933 PORT_4444 PORT_35 4 2 PORT2703 IRC? PORT_300 PORT346 0 500 000 500 2000 2500 3000 能動的攻撃での検体 0 0 20 30 40 50 60 70 受動的攻撃の検体 Copyright 2008 NTT, corp. All Rights Reserved. 7
開環境での動的解析 閉 開環境での取得接続先数の比較 ( 同一のマルウェア 42 種類での解析結果を比較 ) 開環境により 追加バイナリ取得先のホスト名を取得 90 80 70 60 50 40 追加バイナリのダウンロードな 30 どによる接続先を取得 20 0 0 閉環境 開環境 HTTP 52 84 UNKNOWN(TCP25) 0 UNKNOWN(TCP80,25 以外 ) 3 0 接続確認のためにランダムに生成されたホストへのアクセスは除いたた Copyright 2008 NTT, corp. All Rights Reserved. 8
追加バイナリ取得状況 受動的攻撃での検体の方が 追加バイナリ数が多い 受動的攻撃ではダウンローダと判定されるものが最も多い 観測の中で ダウンローダの多段構成が確認された 解析検体数 解析期間 取得追加バイナリ数 能動的攻撃の検体 50 種類 4 日間 3 種類 受動的攻撃の検体 42 種類 6 日間 50 種類 Trojan.Downloader 9 Trojan.Spy 3 Trojan.Padodor Trojan.Crypt Trojan.Fakealert Trojan.Proxy Dialer Trojan.Agent Trojan.Hupigon UNKNOWN 3 0 5 0 5 20 25 30 35 Anti-Virus ソフト による受動的攻撃検体の追加バイナリ検査結果 ClamAV を利用 Copyright 2008 NTT, corp. All Rights Reserved. 9
考察 攻撃サイト群のiframe 構造を可視化 検知 URLの約 88% は何らかのURLに集約 集約点のURLに対するフィルタリング等を実施することで効率よく対策が可能 検知 URLの約 93% はiframeによる転送を利用 ブラウザでiframeを無効にすることは可能だが 利便性を考慮すると実現性は困難. 加えて 攻撃者がiframe 以外の手法で 利用者を攻撃コード配布サイトへ誘導することは容易. 受動的攻撃で取得した検体について 開環境での解析が特に効果的 閉環境での解析より多くの接続先を収集 次検体がダウンローダであることが多いため 開環境型解析による本体収集が本当の脅威を知る上で必須 Copyright 2008 NTT, corp. All Rights Reserved. 20
まとめ 攻撃検知 検体収集検体収集 能動的攻撃 依然継続中 新たなShellcodeの存在もあり パッチ適用をより一層推進する必要がある 受動的攻撃 脅威増大 攻撃サイト群のiframe 構造における集約点に対するアクセス制御は効果が大きい 各々の攻撃手法に対応したハニーポットで調査 対策を進めていく必要がある 検体解析 ポリモーフィックワームに惑わされず効率的な解析を狙いとして マルウェアの分類技術 ( 自動化 可視化など ) は必要不可欠 解析技術者間での情報共有や感染者への注意喚起の迅速性 正確性を狙いとして マルウェアのネーミングを統一することも必要. 次情報をすばやく情報を得るためには閉環境での解析が有効 追加バイナリ ダウンローダによる真の脅威把握 ボット感染時の接続先に基づく対策実施をより効果的にするには 開環境での解析が必要 開環境型動的解析は 実インターネットにおけるボットの挙動 活動中のボットネットの挙動を把握できるため 対策に向けての効果が大きい マルウェア侵入経路の多様化 機能の高度化 継続して 通信事業者 セキュリティベンダ等で連携して対策を進めていく必要がある Copyright 2008 NTT, corp. All Rights Reserved. 2