早 稲 田 大 学 基 幹 理 工 学 部 情 報 理 工 学 科 後 藤 滋 樹 研 究 室 学 士 4 年 1W070319-6 髙 田 雄 太 y.takata@goto.info.waseda.ac.jp
研 究 の 背 景 (Web 感 染 型 マルウェア) Drive-by-Download 攻 撃 Webブラウザの 脆 弱 性 を 利 用 して 制 御 を 奪 い,マルウェアを 強 制 的 にダウンロード インストールさせる 攻 撃 X, QLインジェクション 等 で 転 送 スクリプトが 埋 め 込 まれる 入 口 サイト 自 動 転 送 踏 み 台 サイト 攻 撃 サイト scriptタグやiframeタグなどの 外 部 参 照 は 多 段 化 難 読 化 されているケースも e.g. 難 読 化 されたJavacript Webアクセス 攻 撃 マルウェアの 強 制 DL 自 動 インストール 2 脆 弱 なブラウザ 卒 業 論 文 審 査 会 マルウェア 配 布 サイト 2011/5/18
研 究 の 背 景 (Web 感 染 型 マルウェアの 動 向 ) マルウェアの 急 増 傾 向 2010 年 出 現 のマルウェアが2000 万 存 在 する 全 コンピュータウイルス の3 分 の1は2010 年 の10カ 月 間 に 作 られた ソーシャルネットワークサービス (N) でのウイルス 感 染 N (Facebook, Twitter, My pace) で 猛 威 を 振 るう Nでのウイルス 感 染 の 危 険 度 はメールより10 倍 も 高 い 流 行 トピックや 有 名 人 の 名 前,クリスマス 等 季 節 のイベントに 合 わせ, 利 用 者 を 誘 うようなメッセージとともに 悪 意 のあるURLを 貼 り 付 ける マルウェア 拡 散 手 段 としてハッカーの 間 でますます す 人 気 が 高 まっている 3 卒 業 論 文 審 査 会 2011/5/18
研 究 の 背 景 (Web 感 染 型 マルウェアの 動 向 ) umblar*の 活 動 は 終 わっていない (JPCERT/CC) umblar.xは 日 本 からのアクセスを 制 限 umblar.8080は10 月 26 日 頃 から 活 動 停 止 しかし, 改 ざんされた 状 態 で 残 っているWebサイトも 存 在 している 最 近 の 感 染 例 青 森 県 産 業 技 術 センターのWebサイトが 改 ざんされた (2010/11/19) Webサイトが 同 一 ページに 表 示 する 別 サイトのコンテンツ ( 広 告 コンテンツ 等 ) が 改 ざんされていた (2010/12/06) マルウェアの 新 種 亜 種 が 増 える 一 方 *Drive-by-Download Download 攻 撃 によりダウンロードされ, 猛 威 を 振 るったWeb 感 染 型 マルウェアの 一 種 リダイレクトという 感 染 させるアプローチは 変 わっておらず, 今 後 も 続 くと 考 えられる 4 卒 業 論 文 審 査 会 2011/5/18
研 究 の 目 的 ( 目 標 規 定 文 ) 通 信 データを 入 力 とし,Drive-by-Download 攻 撃 によって 発 生 したリダイレクトを 解 析 することで, 入 口 になっているURL 踏 み 台 になっているURL 攻 撃 マルウェア 配 布 URL を 特 定 する 入 口 サイト これらのURLブラックリスト*を 作 成 することで, マルウェアダウンロードを 防 ぐことに 貢 献 する 踏 台 サイト 攻 撃 DL インストール 攻 撃 サイト 配 布 サイト マルウェアをダウンロードする 悪 性 リダイレクトの 検 出 に 有 効 な 特 徴 を 明 らかにする *ブラックリストの 使 用 例 5 卒 業 論 文 審 査 会 twitter t.coでのリンクサービス ( 短 縮 URL) oogle Chromeではブラックリストで 悪 性 サイトを 遮 断 2011/5/18
提 案 手 法 (セッション) セッション 単 位 で 考 える DN 名 前 解 決 3way-handshake TTP 通 信 FIN/RTによる 切 断 そのセッション 中 のTTP 応 答 を 解 析 TTP 応 答 の 中 身 からリダイレクトを 特 定 ユーザ (ブラウザ) 名 前 解 決 DN 3way-handshakeによる セッションの 確 立 通 信 相 手 (ost) サーバーから 受 信 した データを 解 析! TTP 通 信 FIN/RTによる セッションの 切 断 6 一 般 的 なTTP 通 信
リダイレクト解析 7 URL推定 Referer推定 推定 ost推定 セッション 内の出現 URLを見る セッション内 のReferer フィールドを 見る 出現した 通信相手 を見る 卒業論文審査会 2011/5/18
提 案 手 法 (URL/リファラ 推 定 ) 出 現 URLによる 推 定 ET 要 求 TTPヘッダ ET /foo/index.php/i TTP/1.11 Request Method: ET TTP 応 答 で 取 得 したデータ 内 Request URI: /foo/index.php のURLを 抜 き 出 す Request Version: TTP/1.1 以 降 にそのURLに 対 する Accept: */* ET 要 求 が 発 生 していないか 探 し 出 す Referer: http://hoge.com/index.html TTPステータスコードが300 番 台 の 場 合, Accept-Language: en-us LocationフィールドのURLを 利 用 する Connection: Keep-Alive ost: hoge2.com リファラによる 推 定 ET 要 求 のTTPヘッダーフィールド Referer* に 過 去 に 参 照 したURLが 存 在 していないか 探 し 出 す 通 常 のページ 遷 移 であればReferer がセットされる Javacriptを 用 いると 操 作 可 能 8 *Referer 別 のページに 移 動 した 時 に 参 照 元 サイトのURLが 入 る TTP 応 答 TTPヘッダ TTP/1.1 200 OK Date: Mon, 08 Mar 2010 10:43:21 MT erver: Apache/2.2.3 (CentO) Accept-Ranges: bytes Content-Length: 27919 Connection: Keep-Alive Content-Type: text/html TTPデータ analyze earch ET 要 求 から 生 成 可 能 な リクエストリソースのURL コンテンツURL http://hoge2.com/foo/index.php earch TTPデータから 得 た 情 報 Javacript ['eval, unescape', 'escape'] URL URL 推 定 ['http://hoge2.com/test.index, 'http://hoge3.com/attack.php'] OT [ hoge2.com', hoge3.com'] コンテンツのURL リファラ 推 定 http://hoge2.com/foo/index.php
提 案 手 法 (ost 推 定 ) 出 現 した 通 信 相 手 を 基 にリダイレクトを 関 連 付 けさせる D DN F 3way (YN) ET TTP FIN RT サーバー1 (IP:x.x.x.x, test.com) サーバー2 (IP:y.y.y.y, hoge.co.jp) 1 21 58 51678 67 121 148 D D D 入 口 URLクリックしたこと によって 発 生 したセッショ ン 入 口 セッションから 発 生 し たセッション (リファラ/URL より 推 定 ) 入 口 セッションから 発 生 し ていないセッション (リファ ラ/URL 推 定 でわからな かった) リファラ/URL 推 定 でわか らなかったものについて, YNから 始 まるセッション であればリダイレクトグ ループにしてしまう ( 近 い セッションに 限 る) F F F F F F F 同 じリダイレクトグループ にしない 9 始 セッション 発 生 時 間 終
使 用 するデータセット D3M2010 MW2010*1で 配 布 されたD3M2010データを 利 用 する D3M2010 NTT 情 報 流 通 プラットフォーム 研 究 所 の 高 対 話 型 Webクラ イアントハニーポット*2で 収 集 した 攻 撃 通 信 データ 公 開 ブラックリスト*3に 登 録 されているURLを 巡 回 し, Drive-by-Download 攻 撃 を 検 知 した 通 信 をキャプチャした データ (すなわち2 回 目 のアクセスとなる) 途 中 あるいは 最 終 的 に 実 行 ファイルをダウンロードした 場 合 は,それらのリダイレクトを 悪 性 と 判 定 する データ 収 集 は2010 年 3 月 8 日,3 月 9 日,3 月 11 日 の3 日 分 *1 マルウェア 対 策 研 究 人 材 育 成 ワークショップ2010: http://www.iwsec.org/mws/2010/ *2 ハニーポット: 調 査 研 究 用 にわざと 侵 入 しやすいよう 設 定 されたサーバー ネットワークのこと 10 *3 MDL: http://malwaredomainlist.com
実 行 結 果 ( 一 部 抜 粋 ) 54 - http://hogehoge.com/webalizer/050709wareza/crack=17=keygen=serial.html 79 - http://hogehoge.com/webalizer/050709wareza/images/5.jpg 83 - http://hogehoge.com/webalizer/050709wareza/images/6.jpg 91 - http://hogehoge.com/webalizer/050709wareza/images/8.jpg 122 - http://hogehoge.com/webalizer/050709wareza/images/1.jpg 132 - http://hogehoge.com/webalizer/050709wareza/images/2.jpg 160 - http://hogehoge.com/webalizer/050709wareza/images/7.jpg 165 - http://hogehoge.com/webalizer/050709wareza/images/3.jpg 踏 台 176 - http://foofoo.in:3129/js 210 - http://barbar.in:3126/download/index.php 248 - http://barbar.in:3126/download/jabber.php 759:'exe','octet-stream' - http://barbar.in:3126/download/banner.php?spl=mdac 配 布 入 口 サイトにアクセス 後, 複 数 画 像 を 読 み 込 む ドメインが 変 わりJavacriptファイルにアクセス 再 度 ドメインが 変 わり, 複 数 のページへ 自 動 リダイレクト, 最 終 的 にexeファイルがダウンロードされる 11 卒 業 論 文 審 査 会 入 口 2011/5/18
悪 性 リダイレクトの 数 入 口 サイトへのET 要 求 に 対 する 応 答 が 返 ってきた サイト 数 は523 264の 悪 性 リダイレクトを 検 出 残 り 約 半 数 の 悪 性 と 判 断 されなかったリダイレクトは, サーバー 側 が 解 析 対 策 を 施 したと 考 えられる 実 行 ファイルが 削 除 されていた URLやドメインが 無 効 になっていた ET 要 求 を 拒 否 した アクセス 回 数 によって 挙 動 が 変 化 する 12
マルウェア 配 布 URL 抽 出 方 法 の 割 合 URL 推 定 TTP 応 答 内 のURLに 対 するET 要 求 を 探 索 Referer 推 定 ET 要 求 ヘッダー 内 RefererフィールドのURLを 探 索 ost 推 定 上 記 2つの 推 定 の 後, 出 現 したost (ドメイン, IPアドレスのペア) において 発 生 した 通 信 を 探 索 難 読 化 を 施 すことでURLを 隠 し, Refererが 残 らないリダイレクト e.g. 難 読 化 されたJavacript alert( ello, World!! );を 難 読 化 した 結 果 表. マルウェア 配 布 URLを 抽 出 した 推 定 方 法 の 割 合 3 月 8 日 3 月 9 日 3 月 11 日 URL 総 数 202 205 158 URL 推 定 13 (6.4%) 13 (6.3%) 6 (3.8%) Referer 推 定 12 (5.9%) 10 (4.9%) 10 (6.3%) ost 推 定 177 (87.6%) 182 (88.8%) 142 (89.9%) 13 マルウェア 配 布 URL アクセスするとマルウェアをダウンロードするURL
悪 性 リダイレクトの 特 徴 抽 出 比 較 的 短 時 間 に 攻 撃 DLが 行 われる 10 秒 以 内 が7 割 前 後 難 読 化 が 施 されたJavacriptの 使 用 100% 使 用 されている ( 時 々pdf, jarも 用 いられる) ノーリファラーによるリダイレクト 配 布 サイトへはほとんどがノーリファラーによるリダイレクト Webサーバーの 種 類 nginx 系 のサーバーを 使 用 している 場 合 ( 約 30%) がある Varyフィールド 何 によってコンテンツを 変 更 したか Accept-Encoding, User-Agentがセットされることが 多 い 未 知 の 悪 性 リダイレクトを 検 知 する 上 で 有 効 な 指 標 になると 考 えられる ET 変 数 sqlやmdacといった 特 定 の 変 数 名 や 環 境 変 数 が 用 いられる その 他 IPを 用 いたURL 偽 装 ファイル エフェメラルポート サーバーの 種 類 14
結 論 と 今 後 の 課 題 結 論 Drive-by-Download 攻 撃 通 信 のみが 存 在 する 通 信 データ からリダイレクトの 様 子 を 解 析 した 悪 性 リダイレクトの 特 徴 を 発 見 した 解 析 が 困 難 なリダイレクトを 発 見 することが 期 待 できる 今 後 の 課 題 得 られた 特 徴 によるリダイレクト 検 出 の 精 度 評 価 研 究 用 データだけでなく, 実 ネットワークで 収 集 した 攻 撃 通 信 データへの 適 用 高 田 雄 太 ( 早 大 ), 森 達 哉 (NTT), 後 藤 滋 樹 ( 早 大 ), "Web 感 染 型 マルウェアのリダイレクト 解 析 ", 情 報 処 理 学 会, 第 73 回 全 国 大 会 [2Y-7], 2011 年 3 月. 15