卒業論文審査 - PDF Free Download

OS の推定に基づく悪意のある通信の検出法早稲田大学基幹理工学部情報理工学科後藤滋樹研究室 4 年 1W090268-4 志村悟 (Satoru SHIMURA) 2013/2/5 卒業論文審査会 1

目次研究の背景目的提案手法実証実験実験結果まとめと今後の課題 2013/2/5 卒業論文審査会 2

研究の背景悪意のある通信の増加 [2] 通信データより OS を推定する技術に TCP fingerprinting が存在する TCP fingerprinting を行うための既存 OS のシグネチャが存在するカーネルマルウェアは既存 OS のシグネチャとは異なる通信を行う [1] 実際に稼働しているネットワークには既存 OSのシグネチャとは異なる通信が確認された [1] 木佐森幸太, 下田晃弘, 森達哉, 後藤滋樹, TCPフィンガープリントによる悪意のある通信の分析, 情報処理学会論文誌, vol. 52, no. 6, pp. 2009-2018, June 2011. 2013/2/5 卒業論文審査会 3

研究の目的既存研究の成果を活用してカーネルマルウェアに感染した可能性のあるホストを検出する手法を提案する TCP Fingerprinting と IP BlackList* 1 の情報を集約シグネチャの作成 * 1 IP BlackList : 悪意のある活動を行っているホストの IP アドレスをリスト化して公開しているもの詳しくは後で述べる作成したシグネチャを実際に稼働しているネットワークの通信データに適用し本研究の有効性を実証する 2013/2/5 卒業論文審査会 4

提案手法 1. CCCDATAset2010 及び 2011* 2 の攻撃通信データに対して既存 OS のシグネチャで p0f* 3 を適用 2. UNKNOWN と判定されたシグネチャを抽出集約 ( 以下作成したシグネチャを MWS シグネチャと呼ぶ ) [1] 3. 実ネットワークの通信に対して既存 OS のシグネチャと MWS シグネチャで p0f を適用 4. UNKNOWN と判定されたシグネチャを抽出しシグネチャごとに送信元 IP アドレスをまとめる * 2 サイバークリーンセンターで収集したデータを基に作成されたマルウェア研究用のデータセットハニーポットの通信をtcpdump でパケットキャプチャしたlibpcap 形式のファイル * 3 Passive fingerprinting を行うツール 2013/2/5 卒業論文審査会 5

提案手法 5. まとめた IP アドレスに対して IP BlackList* 1 の照合を行いシグネチャごとの IP BlackList ヒット率を求める 6. IP BlackList のヒット率が 90% 以上 80% 以上 70% 以上 60% 以上 50% 以上の 5 種類のシグネチャのグループにまとめる * 1 IP BlackList : 悪意のある活動を行っているホストの IP アドレスをリスト化して公開しているもの詳しくは後で述べる 2013/2/5 卒業論文審査会 6

提案手法 #### sig = *:128:0:*:0,3:mss,nop,ws,nop,nop,ts,nop,nop,sok:df,id+,uptr+,ts1-:0 #### 10.0.147.224 192.168.99.174 #### sig = *:128:0:*:0,5:mss,nop,ws,nop,nop,ts,nop,nop,sok:df,id+,ts1-:0 #### 172.16.233.122 172.16.130.151 192.168.137.6 192.168. 141.181 e.g. この 2 つの IP アドレスが IP BlackList に掲載されていればこのシグネチャの IP BlackList ヒット率を 100% とする #### sig = *:128:0:*:0,5:mss,nop,ws,nop,nop,ts,nop,nop,sok:df,id+,uptr+,ts1-:0 #### 10.0.141.181 172.16.144.216 192.168.148.143 #### sig = *:128:0:*:10052,0:mss,nop,nop,ts,nop,nop,sok:df,id+,ts1-:0 #### 172.16.208.147 2013/2/5 卒業論文審査会 7

提案手法以下作成したシグネチャをそれぞれ proposal_90 proposal_80 proposal_70 proposal_60 proposal_50 と呼ぶ 2013/2/5 卒業論文審査会 8

用いた Black List の説明 SBL(Spamhaus Block List) スパムメールの送信に関与していると判断された IP アドレスのリスト XBL(Exploits Block List) ワームやウイルス, トロイの木馬などに感染したと思われるホストの IP アドレスのリスト PBL(Policy Block List) メールサーバに対して, 認証済みでない SMTP メールを送信しているエンドユーザの IP アドレスのリスト 2012 年 4 月時点のものを使用参考 :http://www.spamhaus.org/ 2013/2/5 卒業論文審査会 9

実証実験本研究の提案手法の有効性を確かめるために実際に稼働しているネットワークの通信データに対して既存 OS のシグネチャ MWS シグネチャ提案手法のシグネチャで p0f を適用シグネチャごとの分類送信先ポート番号の集計 IP Black List の参照を行った 2013/2/5 卒業論文審査会 10

実験に用いるデータ早稲田大学のゲートウェイにて観測された学外から学内に向かって送信された TCP SYN パケットシグネチャ作成用 2012/08/20/14:30 ~ 2012/08/25/14:30 61,380,197 パケット実証実験用 2012/10/08/20:00 ~ 2012/10/14/20:00 105,347,240 パケット 2013/2/5 卒業論文審査会 11

実験結果 : シグネチャごとの分類 ( パケット数 ) 各シグネチャの SYN パケット数の割合既存 OS MWS シグネチャ UNKNOWN 提案手法合計 PROPOSAL_90 4.9% 0.1% PROPOSAL_80 3.1% 2.0% PROPOSAL_70 64.5% 30.5% 2.4% 2.7% 100% PROPOSAL_60 1.8% 3.3% PROPOSAL_50 1.3% 3.8% 2013/2/5 卒業論文審査会 12

実験結果 : シグネチャごとの分類 ( 送信元 IP アドレス数 ) 各シグネチャの送信元 IP アドレス数の割合既存 OS MWS シグネチャ UNKNOWN 提案手法合計 PROPOSAL_90 5.9% 0.3% PROPOSAL_80 3.2% 3.1% PROPOSAL_70 93.5% 1.1% 1.9% 4.4% 100% PROPOSAL_60 0.7% 5.6% PROPOSAL_50 0.2% 6.0% 2013/2/5 卒業論文審査会 13

実験結果 : 送信先ポート番号の集計 PROPOSAL_80と判定されたパケットの送信先ポート番号の出現回数の上位 10 位送信先ポート番号出現回数全体に占める割合 (%) 445 821,026 38.8% 22 644,370 30.4% 80 217,257 10.2% 5631 147,105 6.9% 5900 125,989 5.9% 5901 41,665 2.0% 3389 28,422 1.8% 443 37,097 1.8% 8080 10,256 0.5% 25 6,969 0.3% 2013/2/5 卒業論文審査会 14

実験結果 :IP Black List 参照 Black List にヒットした IP アドレス数 IP BlackList 参照結果 Black List にヒットしなかった IP アドレス数シグネチャに一致した全 IP アドレス数 PROPOSAL_90 7,649 1,816 9,465 PROPOSAL_80 72,033 14,014 86,047 PROPOSAL_70 97,459 24,933 122,392 PROPOSAL_60 116,859 37,875 154,734 PROPOSAL_50 123,100 43,655 166,755 2013/2/5 卒業論文審査会 15

実験結果 : 送信先ポート番号の集計 PROPOSAL _80の内 BlackListにヒットしなかったパケットの送信先ポート番号の出現回数の上位 10 位送信先ポート番号出現回数全体に占める割合 (%) 445 9,274 63.4% 80 3,383 23.1% 443 233 1.6% 25 228 1.6% 8080 202 1.4% 23455 92 0.6% 3389 80 0.5% 8090 42 0.3% 6881 34 0.2% 22 33 0.2% 2013/2/5 卒業論文審査会 16

まとめと今後の課題まとめ TCP Fingerprinting を用いて既存 OS とは異なるシグネチャを抽出 IP BlacKList の情報を取り入れ情報を集約新たなシグネチャの作成攻撃の可能性がある通信を検出することができた今後の課題シグネチャの更新パケットの中身や通信フローに踏み込んだ詳細な分析 2013/2/5 卒業論文審査会 17

ご清聴ありがとうございました 2013/2/5 卒業論文審査会 18

補足資料 2013/2/5 卒業論文審査会 19

カーネルマルウェア特権モードで動作するマルウェア侵入した形跡を消して感染したことを隠ぺいすることが可能パーソナルファイアウォールに妨げられることなく通信できる 2013/2/5 卒業論文審査会 20

TCP fingerprinting Active fingerprinting 対象ホストへの通信を行い得られた通信データからOSを推定 OS 推定に利用できるデータ量が多い ICMPパケットがブロックされると利用不可 nmapが有名 Passive fingerprinting 対象ホストへの通信は行わず受信した通信データからOSを推定 OS 推定に利用できるデータ量が少ない新たにトラフィックを発生させる必要がない p0fが有名 2013/2/5 卒業論文審査会 21

p0f(passive fingerprinting) シグネチャに用いられるパラメータ IP のバージョン初期 TTL(Time to Live) IP オプションの長さ mss(maximum segment size) wsize(window size) window scaling factor TCP オプションの順番 IP ヘッダと TCP ヘッダで観測された特徴ペイロードサイズ 2013/2/5 卒業論文審査会 22

p0f のシグネチャにおける TCP オプションリスト eol +n オプションの終わり ( その後に n バイトのパディング ) nop mss ws sok sack ts nop オプション最大セグメントサイズオプションウィンドウスケールオプション選択確認応答オプション選択確認応答オプション ( 通常の TCP のオプションとしては現れるべきでない ) タイムスタンプオプション?n 未知のオプション (n はオプションを表す番号 ) 2013/2/5 卒業論文審査会 23

p0f のシグネチャにおける IP TCP ヘッダの特徴リスト (1) df don t fragment ビットが 1 id+ don t fragment ビットが 1 で ID が 0 でない id- don t fragment ビットが 0 で ID が 0 ecn ECN(Explicit Congestion Notification) をサポート 0+ 0 でなければならないフィールドが 0 でない flow IPv6 のフロー ID 2013/2/5 卒業論文審査会 24

p0f のシグネチャにおける IP TCP ヘッダの特徴リスト (2) seq- シーケンス番号が0 ack+ 確認応答番号が0でないが ACKフラグが0 ack- 確認応答番号が0で ACKフラグが1 uptr+ 緊急ポインタが0でないが URGフラグが0 urgf+ pushf+ URG フラグが使用されている PUSH フラグが使用されている 2013/2/5 卒業論文審査会 25

p0f のシグネチャにおける IP TCP ヘッダの特徴リスト (3) ts1- タイムスタンプが 0 と指定 ts2+ 初期 SYN で 0 でないピアのタイムスタンプ opt+ オプションセグメントの中に 0 でないデータが続く exws 極端なウィンドウスケーリングファクタ (>14) bad 異常な TCP オプション 2013/2/5 卒業論文審査会 26

シグネチャの例 raw_sig = 4:114+14:0:1440:65535,0:mss,nop,nop,sok:df,id+:0 IP のバージョンが 4 TTL の観測値が 114 ホップ数の推定値が 14 IP オプションの長さが 0 最大セグメントサイズが 1440 バイトウィンドウサイズが 65535 バイト window scaling factor が 0 以下の順に TCP オプションが指定されている最大セグメントサイズオプション NOP オプション NOP オプション選択確認応答オプション以下の特徴が IP ヘッダと TCP ヘッダで観測された don t fragment ビットが 1 don t fragment ビットが 1 で ID が 0 でないペイロードサイズが 0 バイト 2013/2/5 卒業論文審査会 27

CCCDATAset サイバークリーンセンターで収集したデータを基に作成されたマルウェア研究用のデータセットマルウェア対策研究人材育成ワークショッ (MWS) のために作成されたものマルウェア検体攻撃通信データ攻撃元データの三つから構成 2013/2/5 卒業論文審査会 28

CCCDATAset マルウェア検体ハニーポットで収集したマルウェア検体のハッシュ値 (MD5 SHA1) をテキスト形式で記載したファイル攻撃通信データハニーポットの通信を tcpdump でパケットキャプチャした libpcap 形式のファイル攻撃元データハニーポットで記録したマルウェア取得時のログ 2013/2/5 卒業論文審査会 29

提案手法既存 OS MWS MWS パケット着目!! 実ネットワークでキャプチャした通信 TCP Fingerprinting UNKNOWN パケットシグネチャの抽出集約シグネチャの作成既存 OS のパケット 2013/2/5 卒業論文審査会 30

シグネチャの集約各パラメータの集約方法パラメータ集約方法 IPのバージョンワイルドカード初期 TTL(Time to Live) 32, 64, 128, 255に切り上げる IPオプションの長さそのまま mss(maximum segment size) ワイルドカード wsize(window size) そのまま window scaling factor そのまま TCPオプションの順番そのまま IPヘッダとTCPヘッダで観測された特徴そのままペイロードサイズそのまま 2013/2/5 卒業論文審査会 31

本研究の新規性既存研究 [1] を実ネットワークの通信に適用それでもなおかつ UNKNOWN と判定されたパケットが本研究の分析対象既存技術 (IDS 等 ) との連帯しての運用を想定 2013/2/5 卒業論文審査会 32

シグネチャ作成用データシグネチャ作成に使用したデータ実ネットワークおいて 2012/08/20/14:30~08/25/14:30 の間早稲田大学の学内に向けて送信された SYN フラグの立っているパケットパケットサイズ :96 バイトデータサイズ : 約 5G バイト SYN パケット総数 :61,380,197 パケット ( このうち 4,338,244 パケットが UNKNOWN なパケット ) 2013/2/5 卒業論文審査会 33

シグネチャの割合 ( パケット数 ) シグネチャ作成用データのシグネチャの割合 ( パケット数 ) 2013/2/5 卒業論文審査会 34

シグネチャの割合 ( 送信元 IP アドレス数 ) シグネチャ作成用データのシグネチャの割合 ( 送信元 IP アドレス数 ) 2013/2/5 卒業論文審査会 35

作成したシグネチャの個数シグネチャの個数 MWS PROPOSAL_90 PROPOSAL_80 PROPOSAL_70 PROPOSAL_60 148 個 831 個 923 個 993 個 1,102 個 PROPOSAL_50 1,228 個 2013/2/5 卒業論文審査会 36

実験結果 : シグネチャごとのパケット数既存 OS 各シグネチャの SYN パケット数 MWS シグネチャ UNKNOWN 提案手法合計 PROPOSAL_90 5,200,374 156,797 PROPOSAL_80 3,238,989 2,118,182 PROPOSAL_70 67,896,985 32,093,084 2,539,158 2,818,013 105,347,240 PROPOSAL_60 1,868,616 3,488,555 PROPOSAL_50 1,377,055 3,980,116 2013/2/5 卒業論文審査会 37

実験結果 : シグネチャごとの送信元 IP アドレス数各シグネチャの送信元 IP アドレス数既存 OS MWS シグネチャ UNKNOWN 提案手法合計 PROPOSAL_90 164,036 9,465 PROPOSAL_80 89,307 86,047 PROPOSAL_70 2,587,668 29,206 52,091 122,392 2,766,961 PROPOSAL_60 19,148 154,734 PROPOSAL_50 6,670 166,755 2013/2/5 卒業論文審査会 38

実験結果 : 送信先ポート番号の集計 PROPOSAL _90と判定されたパケットの送信先ポート番号の出現回数の上位 10 位送信先ポート番号出現回数全体に占める割合 (%) 80 94,458 60.242 445 55,232 35.225 3389 1,655 1.055 23455 482 0.307 8080 462 0.294 443 313 0.199 30733 272 0.173 64355 245 0.156 22292 237 0.151 25 219 0.139 2013/2/5 卒業論文審査会 39

実験結果 : 送信先ポート番号の集計 PROPOSAL _70と判定されたパケットの送信先ポート番号の出現回数の上位 10 位送信先ポート番号出現回数全体に占める割合 (%) 445 1,120,594 39.765 22 644,376 22.866 80 327,819 11.632 5631 147,105 5.220 135 131,093 4.651 5900 126,000 4.471 8080 116,600 4.137 3389 44,132 1.566 443 43,421 1.540 5901 41,665 1.478 2013/2/5 卒業論文審査会 40

実験結果 : 送信先ポート番号の集計 PROPOSAL _60と判定されたパケットの送信先ポート番号の出現回数の上位 10 位送信先ポート番号出現回数全体に占める割合 (%) 445 1,426,191 40.882 22 644,376 18.471 80 410,465 11.766 8080 190,918 5.472 5631 147,105 4.216 135 131,136 3.759 5900 126,068 3.613 1433 94,332 2.704 9090 72,617 2.081 3389 52,481 1.504 2013/2/5 卒業論文審査会 41

実験結果 : 送信先ポート番号の集計 PROPOSAL _50と判定されたパケットの送信先ポート番号の出現回数の上位 10 位ポート番号出現回数全体に占める割合 (%) 445 1,439,135 36.158 80 750,857 18.865 22 644,376 16.189 8080 192,518 4.836 5631 147,105 3.695 135 131,136 3.269 5900 126,069 3.167 1433 94,336 2.370 443 85,306 2.143 9090 72,619 1.824 2013/2/5 卒業論文審査会 42

実験結果 : 送信先ポート番号の集計 PROPOSAL _90の内 BlackListにヒットしなかったパケットの送信先ポート番号の出現回数の上位 10 位送信先ポート番号出現回数全体に占める割合 (%) 80 1,173 58.3% 445 476 23.7% 443 43 2.1% 8080 22 1.1% 23455 17 0.8% 25 15 0.7% 36479 9 0.4% 3389 9 0.4% 6881 7 0.3% 55336 7 0.3% 2013/2/5 卒業論文審査会 43

実験結果 : 送信先ポート番号の集計 PROPOSAL _70の内 BlackListにヒットしなかったパケットの送信先ポート番号の出現回数の上位 10 位送信先ポート番号出現回数全体に占める割合 (%) 445 13,325 50.9% 80 7,098 27.1% 8080 884 3.4% 443 738 2.8% 25 480 1.8% 6881 300 1.1% 23455 242 0.9% 3389 229 0.9% 64843 200 0.8% 62989 75 0.3% 2013/2/5 卒業論文審査会 44

実験結果 : 送信先ポート番号の集計 PROPOSAL _60の内 BlackListにヒットしなかったパケットの送信先ポート番号の出現回数の上位 10 位送信先ポート番号出現回数全体に占める割合 (%) 445 17,070 42.9% 80 13,827 34.7% 8080 974 2.4% 443 797 2.0% 210 652 1.6% 25 635 1.6% 3389 515 1.3% 6881 508 1.3% 23455 265 0.7% 64843 213 0.5% 2013/2/5 卒業論文審査会 45

実験結果 : 送信先ポート番号の集計 PROPOSAL _50の内 BlackListにヒットしなかったパケットの送信先ポート番号の出現回数の上位 10 位送信先ポート番号出現回数全体に占める割合 (%) 80 17,763 38.4% 445 17,679 38.2% 8080 1,025 2.2% 443 938 1.9% 210 897 1.7% 25 780 1.3% 3389 601 1.2% 6881 554 1.2% 23455 298 0.6% 62989 287 0.6% 2013/2/5 卒業論文審査会 46

ポート番号の説明 (1) 445 番ファイル共有サービス脆弱性が知られている Welchia ワームはポート 445 番を攻撃することが知られている 5631 番 pcanywhere リモートデスクトップおよびリモートアクセスソフトウェア脆弱性の存在が知られている 5900 番 VNC (Virtual Network Computer) アプリケーションで使用される特定のアプリケーションで脆弱性が発見されている 2013/2/5 卒業論文審査会 47

ポート番号の説明 (2) 3389 番 Windows リモートデスクトップこのポートの脆弱性を突いた攻撃が報告されている 135 番リモートのマシンで命令を実行する RPC 通信に用いられる W32/Blaster ワームは感染拡大のためポート 135 番に不正なパケットを送信することが知られている 1433 番 Microsoft SQL Server がクライアントと通信する際に利用されるポートである SQL Slammer ワームはポート 1433 番に攻撃パケットを送信し感染を拡大する 2013/2/5 卒業論文審査会 48

ポート番号の説明 (3) 80 番 HTTP(Hypertext Transfer Protocol ) ポート 80 番では Web サーバが動作しているためサーバを探索する偵察行為あるいは脆弱性を狙った攻撃が多く観測される 22 番 SSH(Secure Shell ) ポート 22 番は SSH サーバが動作しているためサーバを探索する偵察行為あるいは脆弱性を狙った攻撃が多く観測される 2013/2/5 卒業論文審査会 49

ポート番号の説明 (4) ポート 443 番 HTTPS (Hypertext Transfer Protocol over Secure Socket Layer ) ポート 25 番 SMTP(Simple Mail Transfer Protocol ) ポート 6881 番 BitTorrent ポート 210 番 ANSI Z39.50 ポート 9090 番 Openfire 2013/2/5 卒業論文審査会 50

ポート番号の説明 (5) 8080 番 HTTP(Hypertext Transfer Protocol )alternate Webプロキシやキャッシュサーバで用いられる 8090 番 HTTP(Hypertext Transfer Protocol )alternate ポート8080の代わりに用いられる 2013/2/5 卒業論文審査会 51

参考文献 [1] 木佐森幸太, 下田晃弘, 森達哉, 後藤滋樹, TCP フィンガープリントによる悪意のある通信の分析, 情報処理学会論文誌, vol. 52, no. 6, pp. 2009-2018, June 2011. [2] McAfee Labs, "McAfee 脅威レポート :2012 年第 2 四半期 ", McAfee, http://www.mcafee.com/japan/media/mcafeeb2b/international/ja pan/pdf/threatreport/threatreport12q2.pdf, September 2012. [3] 畑田充弘, 中津留勇, 秋山満昭, マルウェア対策のための研究用データセット ~MWS 2011 Datasets ~, 情報処理学会シンポジウムシリーズ, Vol. 2011, CSS2011 (MWS2011), pp. 1-5,October 2011 2013/2/5 卒業論文審査会 52

参考文献 [4] p0f v3, http://lcamtuf.coredump.cx/p0f3/ [5] The Spamhaus Project, http://www.spamhaus.org/ [6] JPCERT/CC, http://www.jpcert.or.jp/ [7] SANS Institute: Internet Storm Center, http://isc.incidents.org/ 2013/2/5 卒業論文審査会 53