侵入挙動の反復性によるボット検知方式

Similar documents
1012  ボットネットおよびボットコードセットの耐性解析

感染条件感染経路タイプウイルス概要 前のバージョン Adobe Reader and Acrobat より前のバージョン Adobe Reader and Acrobat before より前のバージョン Adobe Flash Player before

感染条件感染経路タイプウイルス概要 Authplay.dll (aka AuthPlayLib.bundle) を利用する Adobe Reader 9.x ~ より前のバージョンと 10.x から 上記動作環境に一致した環境下で当該 PDF タイプウイルスを実行することで

テスト

マルウェアレポート 2017年10月度版

延命セキュリティ製品 製品名お客様の想定対象 OS McAfee Embedded Control 特定の業務で利用する物理 PC 仮想 PC や Server 2003 Server 2003 ホワイトリスト型 Trend Micro Safe Lock 特定の業務で利用するスタンドアロン PC

日本内科学会雑誌第97巻第7号

日本内科学会雑誌第98巻第4号

Microsoft PowerPoint - 入門編:IPSとIDS、FW、AVの違い(v1.1).ppt

KSforWindowsServerのご紹介

Windows 上における危険な処理の承認機構の提案 早川顕太 鈴木秀和 旭健作 名城大学理工学部 渡邊晃 はじめにマルウェアは多様化が進み, 不正インストールやスパムメールの送信, 情報漏えいといった様々な活動を行う. これらの活動はバックグラウンドで行われるためユーザが気づくことができないという

PowerPoint プレゼンテーション

PowerPoint プレゼンテーション

PowerPoint プレゼンテーション

プレゼンテーション

6-2- 応ネットワークセキュリティに関する知識 1 独立行政法人情報処理推進機構

1. はじめに (1) 本書の位置づけ 本書ではベジフルネット Ver4 の導入に関連した次の事項について記載する ベジフルネット Ver4 で改善された機能について 新機能の操作に関する概要説明 ベジフルネット Ver4 プログラムのインストールについて Ver4 のインストール手順についての説明

ログを活用したActive Directoryに対する攻撃の検知と対策

Ł\”ƒ-2005

第90回日本感染症学会学術講演会抄録(I)

PowerPoint プレゼンテーション

1. Android.Bmaster 一般向け情報 1.1 Android.Bmaster の流行情報 Android.Bmaster はアンドロイドの管理アプリケーションに悪性なコードを追加した形で配布されている 見た目は正常なアプリケーションのように動作する アプリケーションは中国語で表記されて

日本内科学会雑誌第102巻第4号

未知コンピュータウイルスを駆除するUSBフラッシュメモリの開発

脆弱性を狙った脅威の分析と対策について Vol 年 7 月 21 日独立行政法人情報処理推進機構セキュリティセンター (IPA/ISEC) 独立行政法人情報処理推進機構 ( 略称 IPA 理事長 : 西垣浩司 ) は 2008 年度におけ る脆弱性を狙った脅威の一例を分析し 対策をまと

マルウェアレポート 2018年4月度版

<4D F736F F F696E74202D E9197BF C A F B A834C C A5F C52E B8CDD8AB B83685D>

スライド 1

スライド 1

マルウェアレポート 2018年1月度版


マルウェアレポート 2017年12月度版

[Unifinity]運用マニュアル

アウトライン 1. 研究開発概要 2. 研究開発成果概要 3. 実証実験 4. まとめ 1

割込み型迎撃方式 (Intercept) ディフェンスプラットフォームのご紹介 この資料は説明員からの説明が必要な資料です 第 17 版 C2014 Humming Heads Inc. All Rights Reserved.

プログラム

放射線専門医認定試験(2009・20回)/HOHS‐05(基礎二次)

O1-1 O1-2 O1-3 O1-4 O1-5 O1-6

マルウェアレポート 2018年2月度版

スライド 1

Trend Micro Cloud App Security ご紹介資料

技術レポート 1)QuiX 端末認証と HP IceWall SSO の連携 2)QuiX 端末認証と XenApp の連携 3)QuiX 端末認証 RADIUS オプションと APRESIA の連携 Ver 1.1 Copyright (C) 2012 Base Technology, Inc.

マルウェアレポート 2018年3月度版

感染の経緯とメカニズム Softbank World Copyright 2013 Symantec Corporation. All rights reserved. 2

Windows 10の注意点

< C D E838D8ED090BB C90BF8EE88F872E786C73>

Microsoft Word - Emsisoft-Anti-Malware-PressRelease docx

CubePDF ユーザーズマニュアル

CloudEdgeあんしんプラス月次レポート解説書(1_0版) _docx

プログラム

金融工学ガイダンス

Corp ENT 3C PPT Template Title

1013  動的解析によるBOTコマンドの自動抽出

セキュリティソフトウェアをご使用の前に

KDDI Smart Mobile Safety Manager ( 基本プラン /4G LTE ケータイプラン ) オプション機能説明 2018 年 2 月 27 日現在 KDDI 株式会社 ver Copyright 2018 KDDI Corporation. All Rights

今月の呼びかけ 添付資料 ファイル名に細工を施されたウイルスに注意! ~ 見た目でパソコン利用者をだます手口 ~ 2011 年 9 月 IPA に RLTrap というウイルスの大量の検出報告 ( 約 5 万件 ) が寄せられました このウイルスには パソコン利用者がファイルの見た目 ( 主に拡張子

スライド 1

(Microsoft PowerPoint - \221\346\216O\225\224.ppt)

Drive-by-Download攻撃における通信の 定性的特徴とその遷移を捉えた検知方式

ガイドブック A4.indd

Cisco Unified Communications Manager サーバ アドレスとユーザ名の自動的な入力

TRAVENTY CG V 動作検証報告書

McAfee Application Control ご紹介

Microsoft Word - BJ-Trans_JW_SXFInstallguide.doc

PowerPoint プレゼンテーション

今週の進捗

Trend Micro Safe Lock 2.0 Patch1 管理コンソールのシステム要件 OS Windows XP (SP2/SP3) [Professional] Windows 7 (SP なし /SP1) [Professional / Enterprise / Ultimate] W


マルウェア対策のための研究用データセット ~ MWS Datasets 2013 ~.pptx

OSI(Open Systems Interconnection)参照モデル

スライド 1

<試験日時の設定>

Microsoft Word - UniversalShield_Hitachi.doc

manual Ver 1.1.5

システム要件 Trend Micro Safe Lock Trend Micro Safe Lock 2.0 エージェントのシステム要件 OS Client OS Server OS Windows 2000 (SP4) [Professional] (32bit) Windows XP (SP1/

Microsoft Word - プリンター登録_Windows XP Professional.doc

ET2011 SPセッション C7 08

CLUSTERPRO MC StorageSaver for BootDisk 2.1 (for Windows) インストールガイド 2016(Mar) NEC Corporation はじめに 製品導入の事前準備 本製品のインストール 本製品の初期設定 本製品のアンインストール

SigmaSystemCenter 仮想マシンサーバ(ESX)のIPアドレス変更手順(SSC3.0~3.5u1)

ESET NOD32アンチウイルス V4.2 リリースノート

ESMPRO/ServerManager Ver. 6 変更履歴

Logstorage for VISUACT 標的型サイバー攻撃 対策レポートテンプレート

Agenda 1. 今回のバージョンアップについて a. バージョンアップ概要 b. バージョンアップ目的 c. 新バージョンのシステム要件に関する注意事項 d. 現行バージョンのサポート期間 2. 対応プラットフォームの追加 3. 新機能の追加および機能強化 2

大月勇人, 若林大晃, 瀧本栄二, 齋藤彰一, 毛利公一 立命館大学 名古屋工業大学

目次 1 Kaspersky Security for Windows Server 概要製品の特長導入の効果 2 製品機能紹介 2

<4D F736F F F696E74202D E9197BF C A837B C EC091D492B28DB8284E E B8CDD8AB B83685D>

Microsoft PowerPoint - Android+TPMによるセキュアブート_KDDI研_後日配布用

CLUSTERPRO MC StorageSaver for BootDisk 1.2 (for Windows) インストールガイド 2014(Mar) NEC Corporation はじめに 製品導入の事前準備 本製品のインストール 本製品の初期設定 本製品のアンインストール

OSI(Open Systems Interconnection)参照モデル

1

目次はじめに 必要システム環境 インストール手順 インストール前の注意点 インストールの準備 (.NET Framework3.5 SP1 のインストール ) ライセンスの登録 初期設定情報の入力... 8

目次 はじめに システム環境 インストール手順 インストール前の注意点 インストールの準備 ライセンスの登録 インストール先の選択 インストールの開始 インストール

MSDE 2000/SQL Server 2000へのService Pack 3aのインストール手順書

SSL サムプリントの検証 SSL サムプリントの検証はリモートユーザーがホストの信頼性を検証するために使用します この検証はリモートとホスト間の接続の安全性を確立して MITM 攻撃から保護するために実行する必要があります デフォルトで リモートユーザーが TCP/IP を使用してホストに接続しよ

2. 留意事項セキュリティ対策を行う場合 次のことに留意してください 不正侵入対策の設定を行う場合 お使いのソフトウェアによっては今までのように正常に動作しなくなる可能性があります 正常に動作しない場合は 必要に応じて例外処理の追加を行ってください ここで行うセキュリティ対策は 通信内容の安全性を高

スライド 1

1

Microsoft Word - sp224_2d.doc

<4D F736F F D2081A F815B A838A815B83588CB48E862E646F63>

システム要件 Trend Micro Safe Lock 2.0 SP1 Trend Micro Safe Lock 2.0 SP1 エージェントのシステム要件 OS Client OS Server OS Windows 2000 (SP4) [Professional] (32bit) Wind

Transcription:

侵入挙動の反復性による ボット検知方式 静岡大学酒井崇裕 KDDI 研究所竹森敬祐 NICT 安藤類央静岡大学西垣正勝 1 1

ボットの検知技術 パターンマッチング法 ボットのバイトパターンを定義し マッチングすることで検出する ビヘイビアブロッキング法 ボットの振る舞いを定義し その振る舞いを行っているかを監視することで検出する 2 2

パターンマッチング法 一般的なアンチウイルスソフトの主流 既知のボット検知にあたり 簡素かつ確実 しかし ボットの傾向 様々な亜種が生成 暗号化 難読化技術による自己改変 そのため パターンファイルにない未知のボットに対応できない 3 3

ビヘイビアブロッキング法 ビヘイビアから ボットらしさ を定義することで ビ 未知のボットに対しても有効 しかし ボットの挙動隠蔽 不正者は長期間にわたって ボットが感染したパソコンを悪用する ファイル破棄やシャットダウン 大規模感染活動など 表立った行動をしない 通信プロトコルや通信量の制御による 正規通信へのなりすまし そのため ボットの本質を捉えたビヘイビアの発見が必要 4 4

ボットの挙動の分析 システムフォルダへの潜伏 一般ユーザはシステムフォルダの構成 プロセスを把握していない 多数のEXE,DLLが存在しているため ボットの追加に気づきにくい ボット A 自己複製 ( ポリモーフィックを含む ) < 侵入先フォルダ > ボット A 攻撃 侵入挙動 攻撃挙動 潜伏のための環境を整える 外部の指令サーバから受信し 侵入先フォルダへの実行ファイルのた指令などに従った攻撃 生成 ( 自己複製など ) スパム送信 OS 上のファイル レジストリの DDoS 攻撃 書き換え 外部へのボット拡散活動 5 5

ボットの挙動の分析 ~ 攻撃挙動 ~ < 侵入先フォルダ > 自己複製 ( ポリモーフィック 攻撃 攻撃挙動を含む ) ボットA ボットの目的によって ボットA 攻撃方法が異なる 攻撃タイミングの制御 攻撃挙動 正規通信への偽造 外部の指令サーバから受信し のため観測が困難 た指令などに従った攻撃 スパム送信 DDoS 攻撃 外部へのボット拡散活動 6 6

ボットの挙動の分析 ~ 侵入挙動 ~ 侵入挙動に注目する (1) ファイル生成 < 潜伏先フォルダ > (2) 自動実行登録自己複製攻撃 ( ポリモーフィックを含む ) 侵入挙動ボットA ボットA 潜伏 / 常駐するためには システムフォルダ等への侵入 / 侵入挙動自動実行登録は重要 侵入は初めて実行された際に行われるため 観測ポイントが一定 潜伏のための環境を整える 侵入先フォルダへの実行ファイルの生成 ( 自己複製など ) OS 上のファイル レジストリの書き換え 7 7

ボットの挙動の特徴 実行 侵入 攻撃の両機能を持ったファイル < 侵入先フォルダ > ボットA A.exe 侵入 ボットA A.exe 侵入 [ + 攻撃 ] 実行 [ 侵入 + 攻撃 ] 攻撃 実行環境の違いによる挙動変化 実行場所 実行ファイル名 8 8

実行環境に影響するボットの挙動 本来の挙動 < 侵入先フォルダ > ボットA A.exe 侵入 ボットA A.exe 侵入 [ + 攻撃 ] [ 侵入 + 攻撃 ] 攻撃 ボットA A.exe 侵入 [ + 攻撃 ] 侵入 実行環境を戻して実行すると再び侵入挙動が行われる 9 9

実行環境に影響しないボットの挙動 本来の挙動 攻撃 < 侵入先フォルダ > ボット B B.exe 侵入ボット B B.exe 侵入攻撃侵入攻撃 [ 侵入 + 攻撃 ] [ 侵入 + 攻撃 ] 攻撃 侵入 実行環境を操作せずとも ( 常に ) 侵入挙動が繰り返される 10 10

ボットの侵入挙動の反復性 侵入 / 攻撃機能を使い分けるボット 実行環境を戻して実行すると再び侵入挙動が行われる 高機能ボット 侵入挙動の反復性 常に侵入 / 攻撃機能を両方使うボット 実行環境を操作せずとも ( 常に ) 侵入挙動が繰り返される 低機能ボット 11 11

実行環境による正規プログラムの挙動 本来の挙動 インストーラC C.exe [ インストール ] インストール < インストール先フォルダ > アプリ実行 アプリD D.exe [ アプリ実行 ] アプリ D アプリ実行 そもそもインストール機能 を持っていないため インストール挙動 ( 侵入挙動 ) の反復性は無い C.exe [ アプリ実行 ] アプリ実行 12 12

侵入挙動の反復性を利用したボット検知方式 低機能ボット高機能ボット (1) 侵入直後に実行したときの侵入挙動の反復性 Or (2) 実行環境戻して実行したときの侵入挙動の反復性 あり なし ボット 正規プログラム 13 13

実行環境による低機能ボットの挙動 本来の挙動 攻撃 < 侵入先フォルダ > ボット B B.exe 侵入ボット B B.exe 侵入攻撃侵入攻撃 [ 侵入 + 攻撃 ] [ 侵入 + 攻撃 ] 攻撃 侵入 ボット B B.exe 侵入攻撃 [ 侵入 + 攻撃 ] 攻撃 侵入 実行環境を操作しても 再び侵入挙動が行われる 14 14

侵入挙動の反復性を利用したボット検知方式 低機能ボット高機能ボット (1) 侵入直後に実行したときの侵入挙動の反復性実行環境戻して実行したときの Or 侵入挙動の反復性 (2) 実行環境戻して実行したときの侵入挙動の反復性 あり なし ボット 正規プログラム 15 15

提案方式 検査開始 実行ファイル α α.exe ボット検査 侵入 (1) ファイル生成 (2) 自動実行登録 < 生成先フォルダ> 実行ファイル β β.exe 実行ファイル γ α.exe 侵入 (1) ファイル生成 (2) 自動実行登録 ボット検知 16 16

提案方式の実現方法 システムコールを監視 実行ファイルの生成 ファイルアクセスの監視 自動実行登録 自動実行の関係のあるレジストリ書込みの監視など OS のシステムコール (API) をフックすることによりリアルタイムで監視可能 17 17

検証実験の概要 ProcMon と Autoruns を用いた有効性の評価 ファイルアクセスを 自動実行されるプログラムを 監視可能なモニタツール 監視可能なモニタツール (1) ファイル生成 の観測 (2) 自動実行登録 の観測 侵入挙動 の観測 18 18

検証実験 有効性の評価 検知実験 : ボットを用いる 誤検知実験 : 正規プログラムを用いる 実験環境 仮想マシン (VMWare Workstation6) ゲスト OS:WindowsXP Professional SP2 隔離されたローカルマシン 19 19

検知実験 研究用データセット CCC DATAset 2009のボット検体 10 体に対して 提案方式に基づいて 監視ツールを用いた検証実験を行い 提案方式の有効性をしめす 20 20

検知実験結果 ボット検体 場所 高機能 タイプ 名前 低機能 判定 検体 A - - ( 検知 ) 検体 B - ( 検知 ) 検体 C - - ( 検知 ) 検体 D - - ( 検知 ) 検体 E - ( 検知 ) 検体 F - ( 検知 ) 検体 G - - ( 検知 ) 検体 H - - ( 一部検知 ) 検体 I ( 検知漏れ ) 検体 J ( 検知漏れ ) 21 21

検知実験結果 ~ 一部検知 ~ 侵入挙動として 自動実行登録 のみが反復されるタイプの検体 ボットB B.exe 侵入攻撃 [ 侵入 + 攻撃 ] 攻撃 侵入 自動実行登録のみ 侵入挙動の定義を見直すことによって検知できる可能性がある 22 22

検知実験結果 ボット検体 場所 高機能 タイプ 名前 低機能 判定 検体 A - - ( 検知 ) 検体 B - ( 検知 ) 検体 C - - ( 検知 ) 検体 D - - ( 検知 ) 検体 E - ( 検知 ) 検体 F - ( 検知 ) 検体 G - - ( 検知 ) 検体 H - - ( 一部検知 ) 検体 I ( 検知漏れ ) 検体 J ( 検知漏れ ) 23 23

検知実験結果 ~ 検知なし~ 生成された実行ファイルが攻撃機能のみを備えるタイプの検体 < 侵入先フォルダ > ボット A A.exe [ 侵入 ] 侵入 侵入 ボットA A.exe [ 攻撃 ] ボットA A.exe [ 攻撃 ] 攻撃 24 24

誤検知実験 一般的に使用されるアプリケーションに対して 本提案方式で誤検知されないかどうかを実験した 25 25

誤検知実験結果 正規プログラム 判定 MS WORD2003 ( 誤検知なし ) InternetExplorer ( 誤検知なし ) Adobe Reader ( 誤検知なし ) Skype ( 一部誤検知 ) Rainlendar ( スケジュール管理ツール ) ExtendQuickBar ( キーバインドツール ) ( 一部誤検知 ) ( 一部誤検知 ) 26 26

誤検知実験結果 ~ 誤検知なし~ MS WORD2003 等のインストーラは そもそも自動実行登録を行わない 検査開始条件 (1) ファイル生成 (2) 自動実行登録 検査自体が開始されること無いため 誤検知も無い 27 27

誤検知実験結果 正規プログラム 判定 MS WORD2003 ( 誤検知なし ) InternetExplorer ( 誤検知なし ) Adobe Reader ( 誤検知なし ) Skype ( 一部誤検知 ) Rainlendar ( スケジュール管理ツール ) ExtendQuickBar ( キーバインドツール ) ( 一部誤検知 ) ( 一部誤検知 ) 28 28

誤検知実験結果 ~ 一部誤検知 ~ Skype 等は ユーザが任意に自動実行を設定できる機能を持っている アプリケーション オプション (O) オプション 自動実行 自動実行の登録 自動実行の 解除 29 29

一部誤検知について ボット [ 侵入 + 攻撃 ] 攻撃 侵入 攻撃 自動実行 登録 アプリ [ アプリ実行 ] アプリ実行自動実行登録 実行の度に無条件に行う ユーザの任意のタイミングでの設定時に行う 条件を整理することによって ボットは検知 / 正規プログラムは誤検知なしに改良できる 30 30

考察 ボットにおいて 本方式では検知出来ない検体があった ボットとして潜伏 常駐して機能するためには 何かしらの方法で PC 内に侵入する必要はある 31 31

考察 ~ 侵入挙動の定義 ~ 検体 I: システム系プロセスへの寄生? 検体 J:DLL を利用した寄生? (1) ファイル生成 (2) 自動実行登録 今回定義した 侵入挙動 では検知出来ない ファイル生成 自動実行登録 以外の侵入挙動を定義することによる 検知方式の発見 32 32

まとめ 侵入挙動の反復性を用いて ボットの検知方式を提案した 検知実験 誤検知実験を行い その有効性や問題点における対策を示すことが出来た 今後は 侵入挙動の定義をより明確にすることで 検知精度を高めていきたい 33 33

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック