Microsoft PowerPoint _y.takata.pptx

早稲田大学基幹理工学部情報理工学科後藤滋樹研究室学士 4 年 1W070319-6 髙田雄太 y.takata@goto.info.waseda.ac.jp

研究の背景 (Web 感染型マルウェア) Drive-by-Download 攻撃 Webブラウザの脆弱性を利用して制御を奪い,マルウェアを強制的にダウンロードインストールさせる攻撃 X, QLインジェクション等で転送スクリプトが埋め込まれる入口サイト自動転送踏み台サイト攻撃サイト scriptタグやiframeタグなどの外部参照は多段化難読化されているケースも e.g. 難読化されたJavacript Webアクセス攻撃マルウェアの強制 DL 自動インストール 2 脆弱なブラウザ卒業論文審査会マルウェア配布サイト 2011/5/18

研究の背景 (Web 感染型マルウェアの動向 ) マルウェアの急増傾向 2010 年出現のマルウェアが2000 万存在する全コンピュータウイルスの3 分の1は2010 年の10カ月間に作られたソーシャルネットワークサービス (N) でのウイルス感染 N (Facebook, Twitter, My pace) で猛威を振るう Nでのウイルス感染の危険度はメールより10 倍も高い流行トピックや有名人の名前,クリスマス等季節のイベントに合わせ, 利用者を誘うようなメッセージとともに悪意のあるURLを貼り付けるマルウェア拡散手段としてハッカーの間でますますす人気が高まっている 3 卒業論文審査会 2011/5/18

研究の背景 (Web 感染型マルウェアの動向 ) umblar*の活動は終わっていない (JPCERT/CC) umblar.xは日本からのアクセスを制限 umblar.8080は10 月 26 日頃から活動停止しかし, 改ざんされた状態で残っているWebサイトも存在している最近の感染例青森県産業技術センターのWebサイトが改ざんされた (2010/11/19) Webサイトが同一ページに表示する別サイトのコンテンツ ( 広告コンテンツ等 ) が改ざんされていた (2010/12/06) マルウェアの新種亜種が増える一方 *Drive-by-Download Download 攻撃によりダウンロードされ, 猛威を振るったWeb 感染型マルウェアの一種リダイレクトという感染させるアプローチは変わっておらず, 今後も続くと考えられる 4 卒業論文審査会 2011/5/18

研究の目的 ( 目標規定文 ) 通信データを入力とし,Drive-by-Download 攻撃によって発生したリダイレクトを解析することで, 入口になっているURL 踏み台になっているURL 攻撃マルウェア配布 URL を特定する入口サイトこれらのURLブラックリスト*を作成することで, マルウェアダウンロードを防ぐことに貢献する踏台サイト攻撃 DL インストール攻撃サイト配布サイトマルウェアをダウンロードする悪性リダイレクトの検出に有効な特徴を明らかにする *ブラックリストの使用例 5 卒業論文審査会 twitter t.coでのリンクサービス ( 短縮 URL) oogle Chromeではブラックリストで悪性サイトを遮断 2011/5/18

提案手法 (セッション) セッション単位で考える DN 名前解決 3way-handshake TTP 通信 FIN/RTによる切断そのセッション中のTTP 応答を解析 TTP 応答の中身からリダイレクトを特定ユーザ (ブラウザ) 名前解決 DN 3way-handshakeによるセッションの確立通信相手 (ost) サーバーから受信したデータを解析! TTP 通信 FIN/RTによるセッションの切断 6 一般的なTTP 通信

リダイレクト解析 7 URL推定 Referer推定推定 ost推定セッション内の出現 URLを見るセッション内のReferer フィールドを見る出現した通信相手を見る卒業論文審査会 2011/5/18

提案手法 (URL/リファラ推定 ) 出現 URLによる推定 ET 要求 TTPヘッダ ET /foo/index.php/i TTP/1.11 Request Method: ET TTP 応答で取得したデータ内 Request URI: /foo/index.php のURLを抜き出す Request Version: TTP/1.1 以降にそのURLに対する Accept: */* ET 要求が発生していないか探し出す Referer: http://hoge.com/index.html TTPステータスコードが300 番台の場合, Accept-Language: en-us LocationフィールドのURLを利用する Connection: Keep-Alive ost: hoge2.com リファラによる推定 ET 要求のTTPヘッダーフィールド Referer* に過去に参照したURLが存在していないか探し出す通常のページ遷移であればReferer がセットされる Javacriptを用いると操作可能 8 *Referer 別のページに移動した時に参照元サイトのURLが入る TTP 応答 TTPヘッダ TTP/1.1 200 OK Date: Mon, 08 Mar 2010 10:43:21 MT erver: Apache/2.2.3 (CentO) Accept-Ranges: bytes Content-Length: 27919 Connection: Keep-Alive Content-Type: text/html TTPデータ analyze earch ET 要求から生成可能なリクエストリソースのURL コンテンツURL http://hoge2.com/foo/index.php earch TTPデータから得た情報 Javacript ['eval, unescape', 'escape'] URL URL 推定 ['http://hoge2.com/test.index, 'http://hoge3.com/attack.php'] OT [ hoge2.com', hoge3.com'] コンテンツのURL リファラ推定 http://hoge2.com/foo/index.php

提案手法 (ost 推定 ) 出現した通信相手を基にリダイレクトを関連付けさせる D DN F 3way (YN) ET TTP FIN RT サーバー1 (IP:x.x.x.x, test.com) サーバー2 (IP:y.y.y.y, hoge.co.jp) 1 21 58 51678 67 121 148 D D D 入口 URLクリックしたことによって発生したセッション入口セッションから発生したセッション (リファラ/URL より推定 ) 入口セッションから発生していないセッション (リファラ/URL 推定でわからなかった) リファラ/URL 推定でわからなかったものについて, YNから始まるセッションであればリダイレクトグループにしてしまう ( 近いセッションに限る) F F F F F F F 同じリダイレクトグループにしない 9 始セッション発生時間終

使用するデータセット D3M2010 MW2010*1で配布されたD3M2010データを利用する D3M2010 NTT 情報流通プラットフォーム研究所の高対話型 Webクライアントハニーポット*2で収集した攻撃通信データ公開ブラックリスト*3に登録されているURLを巡回し, Drive-by-Download 攻撃を検知した通信をキャプチャしたデータ (すなわち2 回目のアクセスとなる) 途中あるいは最終的に実行ファイルをダウンロードした場合は,それらのリダイレクトを悪性と判定するデータ収集は2010 年 3 月 8 日,3 月 9 日,3 月 11 日の3 日分 *1 マルウェア対策研究人材育成ワークショップ2010: http://www.iwsec.org/mws/2010/ *2 ハニーポット: 調査研究用にわざと侵入しやすいよう設定されたサーバーネットワークのこと 10 *3 MDL: http://malwaredomainlist.com

実行結果 ( 一部抜粋 ) 54 - http://hogehoge.com/webalizer/050709wareza/crack=17=keygen=serial.html 79 - http://hogehoge.com/webalizer/050709wareza/images/5.jpg 83 - http://hogehoge.com/webalizer/050709wareza/images/6.jpg 91 - http://hogehoge.com/webalizer/050709wareza/images/8.jpg 122 - http://hogehoge.com/webalizer/050709wareza/images/1.jpg 132 - http://hogehoge.com/webalizer/050709wareza/images/2.jpg 160 - http://hogehoge.com/webalizer/050709wareza/images/7.jpg 165 - http://hogehoge.com/webalizer/050709wareza/images/3.jpg 踏台 176 - http://foofoo.in:3129/js 210 - http://barbar.in:3126/download/index.php 248 - http://barbar.in:3126/download/jabber.php 759:'exe','octet-stream' - http://barbar.in:3126/download/banner.php?spl=mdac 配布入口サイトにアクセス後, 複数画像を読み込むドメインが変わりJavacriptファイルにアクセス再度ドメインが変わり, 複数のページへ自動リダイレクト, 最終的にexeファイルがダウンロードされる 11 卒業論文審査会入口 2011/5/18

悪性リダイレクトの数入口サイトへのET 要求に対する応答が返ってきたサイト数は523 264の悪性リダイレクトを検出残り約半数の悪性と判断されなかったリダイレクトは, サーバー側が解析対策を施したと考えられる実行ファイルが削除されていた URLやドメインが無効になっていた ET 要求を拒否したアクセス回数によって挙動が変化する 12

マルウェア配布 URL 抽出方法の割合 URL 推定 TTP 応答内のURLに対するET 要求を探索 Referer 推定 ET 要求ヘッダー内 RefererフィールドのURLを探索 ost 推定上記 2つの推定の後, 出現したost (ドメイン, IPアドレスのペア) において発生した通信を探索難読化を施すことでURLを隠し, Refererが残らないリダイレクト e.g. 難読化されたJavacript alert( ello, World!! );を難読化した結果表. マルウェア配布 URLを抽出した推定方法の割合 3 月 8 日 3 月 9 日 3 月 11 日 URL 総数 202 205 158 URL 推定 13 (6.4%) 13 (6.3%) 6 (3.8%) Referer 推定 12 (5.9%) 10 (4.9%) 10 (6.3%) ost 推定 177 (87.6%) 182 (88.8%) 142 (89.9%) 13 マルウェア配布 URL アクセスするとマルウェアをダウンロードするURL

悪性リダイレクトの特徴抽出比較的短時間に攻撃 DLが行われる 10 秒以内が7 割前後難読化が施されたJavacriptの使用 100% 使用されている ( 時々pdf, jarも用いられる) ノーリファラーによるリダイレクト配布サイトへはほとんどがノーリファラーによるリダイレクト Webサーバーの種類 nginx 系のサーバーを使用している場合 ( 約 30%) がある Varyフィールド何によってコンテンツを変更したか Accept-Encoding, User-Agentがセットされることが多い未知の悪性リダイレクトを検知する上で有効な指標になると考えられる ET 変数 sqlやmdacといった特定の変数名や環境変数が用いられるその他 IPを用いたURL 偽装ファイルエフェメラルポートサーバーの種類 14

結論と今後の課題結論 Drive-by-Download 攻撃通信のみが存在する通信データからリダイレクトの様子を解析した悪性リダイレクトの特徴を発見した解析が困難なリダイレクトを発見することが期待できる今後の課題得られた特徴によるリダイレクト検出の精度評価研究用データだけでなく, 実ネットワークで収集した攻撃通信データへの適用高田雄太 ( 早大 ), 森達哉 (NTT), 後藤滋樹 ( 早大 ), "Web 感染型マルウェアのリダイレクト解析 ", 情報処理学会, 第 73 回全国大会 [2Y-7], 2011 年 3 月. 15

Microsoft PowerPoint - 0203_y.takata.pptx