MWS Cup 2013 事 前 課 題 1 Drive-by Download 攻 撃 解 析 解 答 例 1. 出 題 の 意 図 MWS[1]で 研 究 用 データセット[2]として 提 供 している D3M (Drive-by Download Data by Marionette)[3]には ドライブバイダウンロード 攻 撃 を 行 う 悪 性 通 信 や その 際 に 感 染 する マルウェアおよびマルウェアが 行 う 通 信 に 関 するデータセットが 含 まれている 本 事 前 課 題 では 実 際 に Web 空 間 から 上 記 マルウェア 感 染 に 関 連 する 悪 性 な Web サイトを 発 見 さ せるものであり よって 単 に 攻 撃 検 知 精 度 だけでなく どのように Web 空 間 から 効 率 的 に 発 見 するかを 問 うものであり 総 合 的 な 解 決 策 が 求 められる データセットの 分 析 や 本 事 前 課 題 を 通 じて 攻 撃 手 法 の 正 確 な 理 解 と 効 果 的 かつ 実 用 的 な 対 策 の 研 究 が 促 進 され ることを 期 待 する 2. 出 題 内 容 Drive-by download 攻 撃 を 行 う 悪 性 な Web サイトについて 設 問 に 答 えよ [ 設 問 1] 近 年 正 規 サイトが 改 ざんされることにより drive-by download 攻 撃 を 行 う 悪 性 サイトの 踏 み 台 となる 事 例 が 継 続 的 に 発 生 している このような 改 ざんされたサイトを Web 空 間 から 効 率 的 に 発 見 するためにはどのようなクローリング 方 法 観 測 方 法 を 行 うの が 良 いか 500 字 以 内 で 述 べよ [ 設 問 2] Web 空 間 の 中 から 改 ざんされて drive-by download 攻 撃 の 踏 み 台 にされた Web サイトを 発 見 し 検 知 の 根 拠 および 攻 撃 に 関 連 する URL 情 報 を 答 えよ 可 能 であれば 設 問 1 で 述 べた 方 法 を 用 いること なお 発 見 できなかった 場 合 であっても 具 体 的 な 手 法 や 試 行 錯 誤 の 過 程 を 説 明 することで 加 点 対 象 となる 3. 解 答 例 MWS Cup2013 参 加 チームから 提 出 された 事 前 課 題 レポートより 解 答 内 容 を 抜 粋 要 約 する 内 は 参 加 チームを 名 を 表 す 1
[ 設 問 1] Alkaneters サイトに 挿 入 される 攻 撃 コードに 含 まれる 特 徴 的 な 文 字 列 を 検 索 エンジンで 検 索 すること で Drive-by Download 攻 撃 の 入 口 サイトを 発 見 する 発 見 した 入 口 サイトを 仮 想 マシン 上 の Windows で 閲 覧 することで 動 的 解 析 を 行 う 人 海 戦 術 チーム クローリング 手 法 は (ア) 被 害 を 受 けやすいサイト( 著 名 サイト 特 定 の CMS)を 収 集 (イ) 改 ざんされたサイトの 情 報 (コメントや 関 数 名 など 特 徴 的 な 文 字 列 )を 検 索 エンジン 等 で リスト 化 して 収 集 するという 方 法 が 挙 げられる 踏 み 台 判 定 手 法 は (I)クローリングで 蓄 積 したコンテンツを 解 析 する 手 法 と(II) 通 信 内 容 を 解 析 する 手 法 が 挙 げられる コンテンツ 解 析 は HTML を 各 パーツに 分 解 して 検 索 可 能 なデータベース 化 を 行 い ブラックリスト 等 と 照 合 する 通 信 解 析 は シグネチャを 定 義 しパターンマッチングする SecCap の 愉 快 な 仲 間 たち クローリング 方 法 として サーバの 脆 弱 性 を 考 慮 し 取 得 した 情 報 の 中 に 存 在 する URL を 辿 っていくことで 悪 性 サイトの 発 見 を 行 う サーバの 脆 弱 性 を 知 ることで 改 ざんの 可 能 性 を 数 値 化 でき 数 値 が 高 いほど 改 ざんされている 可 能 性 が 高 いとする 数 値 化 には OS や Web サーバのバージョン 脆 弱 性 診 断 ツールなどを 用 いた 結 果 を 利 用 する WeightAnkle teamby Res9 1 攻 撃 者 がよく 利 用 するリダイレクト 手 法 である HTML 内 の<script>または<iframe> タ グの 埋 め 込 みを 検 索 エンジンにより 検 出 し 改 ざんサイトの 候 補 とする 2ISP におけるバ ックボーンでのセキュリティ 対 策 でマスユーザからアクセスされる 悪 性 URL への HTTP Referer ヘッダの URL を 改 ざんサイトの 候 補 とする 上 記 12の 対 象 URL へクローリン グし リダイレクトの 観 測 とリダイレクト 先 URL の URL ブラックリストとの 突 き 合 わせ を 持 って 改 ざんサイトと 判 定 する Team Enu (1) ブラックリストの 活 用 :ブラックリストに 掲 載 されている 既 知 の 悪 性 サイト URL や URL に 含 まれるドメインやパス 名 ファイル 名 を 検 索 することで 悪 性 サイトにリンクし ている 怪 しいサイトを 発 見 することができる (2) 脆 弱 性 情 報 の 活 用 :Apache CMS 等 と いったサービスの 脆 弱 性 を 含 んだ 古 いバージョンを 用 いているサイトは 改 ざんされている 可 能 性 が 高 いと 考 えた (3) 攻 撃 コード 情 報 の 活 用 :Exploit kit や PoC といった 具 体 的 な 攻 撃 コード 内 の 特 徴 的 な 文 字 列 を 検 索 する 方 法 である 2
セキュリティ 讃 歌 検 索 エンジンを 使 用 したクローリングを 行 う. 検 索 エンジンに 指 定 する 検 索 ワードは, 改 ざんされたサイトに 挿 入 される 可 能 性 の 高 い 不 正 なスクリプトの 特 徴 を 検 索 ワードとする. 不 正 スクリプトの 特 徴 は,D3M 2013 や Exploit Kit を 使 用 した 際 に 付 与 される 文 字 列 か ら 取 得 する. GOTO Love and 初 代 森 研 検 索 エンジンを 利 用 して 収 集 した 脆 弱 性 のありそうなサイトへのクローリングが 効 果 的 で ある Google Dorks のような 脆 弱 性 に 関 連 するクエリを 用 いて 検 索 する 収 集 した 脆 弱 性 のありそうなサイト すなわち 攻 撃 を 受 ける 可 能 性 が 高 いサイトの URL に 対 してクローリ ングを 行 う KIT-CUT カラーコード 攻 撃 などに 見 られる 特 定 の 文 字 列 を 一 定 間 隔 で Google 等 の 検 索 サイトで 検 索 を 行 い 結 果 を 収 集 する TDUISL in 親 方 リダイレクト 先 の URL をブラックリストと 照 合 し 一 致 したらリダイレクト 元 が 改 ざんさ れたサイトとする 頑 張 ります クローリングを 行 う 際 の 起 点 となる URL は リンク 先 に 別 ドメインの URL を 含 んでおり かつ それが 特 定 のトップレベルドメイン(com, info, vn, cm 等 )を 含 んでいる 場 合 優 先 的 にアクセスを 行 うこととする NU14 (1) CMS (Wordpress, MobileType, Apache Struts 等 ) サイト: 手 軽 さから 様 々な 場 面 で 利 用 される 一 方 で 管 理 者 のセキュリティ 知 識 が 伴 わない 場 面 が 多 く 脆 弱 性 の 放 置 によっ て 攻 撃 者 に 改 竄 されうる (2)レンタル VPS サーバや 個 人 向 け ISP の IP アドレス 帯 : 安 価 にそして 手 軽 に 設 置 できることから セキュリティが 脆 弱 な Web サーバが 運 用 されている のではないかと 考 えた (3) SNS サイトの URL:SNS では 本 人 認 証 の 曖 昧 のままユーザ 同 士 が 結 びつく 傾 向 があり 悪 意 のあるユーザも 入 り 込 みやすい これらの URL を 順 に 収 集 し 観 測 する 3
Olab 2013 クローリング 等 において 対 象 のページに JavaScript があれば SpiderMonkey 等 の JavaScript エンジンで 実 行 させる 動 的 解 析 ツールがヒープ 汚 染 を 検 知 したら 実 行 中 の JavaScript を 含 んでいるページは Drive-by Download を 行 うページである 可 能 性 が 高 いも のとする [ 設 問 2] 発 見 できたチームの 回 答 のみ 掲 載 する なお 解 答 で 記 述 されているドメイン 名 の 一 部 は 伏 字 にする 人 海 戦 術 チーム (1) 踏 み 台 として 改 ざんされたサイトの 特 徴 的 な 文 字 列 として HTML コメントで 81a338 という 文 字 列 が 埋 め 込 まれるという 情 報 を 入 手 (2) 検 索 エンジンにて(1)の 文 字 列 を 含 むサイトをリストアップ (3) http://www.aaaaaa.com/peye042.html というサイトを 発 見 (4) JavaScript を 抽 出 して 解 析 したところ iframe タグで http://bbbbbb.com/exit.php にアクセスすることが 判 明 した (5) また (3)の URL をブラックリスト 提 供 サイトで 照 合 したところ Sucuri.net で 既 知 の JavaScript マルウェアであると 判 定 される (6) 動 的 解 析 環 境 で (3)の URL にアクセスしたところ 最 終 的 に 広 告 サイトに 遷 移 した これは 解 析 環 境 が 攻 撃 条 件 に 該 当 せず 攻 撃 行 為 は 行 われず 結 果 的 にマルウェアの ダウンロードが 行 われてなかったと 判 断 した http://www.aaaaaa.com/peye042.html http://bbbbbb.com/exit.php 攻 撃 を 行 う URL http://cccccc.com/plastic.html リダイレクト http://dddddd.ru/ 広 告 サイト( 攻 撃 条 件 に 該 当 せず マルウェ アのダウンロードは 行 われてない) WeightAnkle teamby Res9 以 下 で 解 答 した 攻 撃 を 行 う URL は URL ブラックリストと 突 合 させた 結 果 検 知 され た 既 知 の 攻 撃 を 行 う URL です URL パターンが BlackHole v2.0 exploit kit の URL パタ ーンと 類 似 しており ダイナミック DNS サービスにより IP アドレスが 日 々 変 化 してい るサーバです こちらの 攻 撃 を 行 い URL へのリダイレクトが 複 数 の Web サイトより 同 日 一 斉 に 検 知 されておりまして 以 下 の 踏 み 台 URL はその 一 部 です おそらく 攻 撃 ツールを 用 いた Web 改 ざんにより 攻 撃 サイトへリダイレクトされたと 推 測 で 4
き 第 三 者 機 関 の URL レピュテーションを 考 慮 しても 攻 撃 サイトの 検 知 結 果 は 正 しいと 考 えられ その 関 連 性 が 見 られない 攻 撃 サイトへリダイレクトを 行 っている 以 下 の 踏 み 台 URL も 正 しいと 考 えます hxxp://www.eeeeee.com/ hxxp://delivery.ffffff.com/ 攻 撃 を 行 う URL 7f01baa99716452bda5bba0572c58be9/afr-zone.php Team enu まず 入 口 の URL にアクセスすると 攻 撃 を 行 う URL へ 転 送 される 攻 撃 を 行 う URL にアクセスすると 難 読 化 された JavaScript がダウンロードされ JavaScript を 分 析 す ると.jar ファイルをダウンロードさせようとする 記 述 が 見 つかった 一 方 で wireshark のログには IIIIII.ru というドメインに 対 する 名 前 解 決 を 行 おうとす る 挙 動 が 見 られたが レコードが 削 除 されたためかドメインの 名 前 解 決 ができなかったの で アクセスすることができずマルウェアをダウンロードするには 至 らなかった また 入 口 の URL は virustotal や Symantec Endpoint Protection のシグネチャにも 検 知 されたため 悪 性 であると 判 断 できる http://old.gggggg.bg/wp-enter.php 入 口 ( 踏 み 台 )の URL http://hhhhhh.com/closest/i9jfuhioejskveohnuojfir.php 攻 撃 を 行 う URL http://iiiiii.ru/ マルウェアをダウンロード する URL? GOTO Love and 初 代 森 研 難 読 化 された javascript が body タグの 閉 じる 直 前 に 挿 入 されており この javascript によ り 別 の javascript が 読 み 込 まれるようになっている おそらく 読 み 込 まれるはずだっ た javascript が 実 際 に 攻 撃 を 行 う javascript を 含 んだ URL であるか もしくは 次 の 攻 撃 の 踏 み 台 にされるはずの URL であったと 考 えられる http://jjjjjj.net/archive/index.php/t-3759.html http://kkkkkk.ru:8080/google.com/technorati.com/iciba.com.php 攻 撃 を 行 う URL KIT-CUT 昨 今 急 増 しているカラーコード 攻 撃 に 用 いられる 値 を 利 用 する 今 回 は#d68107#を 検 索 した ページ 下 部 に 挿 入 されている 不 自 然 な 数 値 列 の 列 挙 がある スクリプト 内 に fromcharcode が 存 在 し eval で 実 行 されていることから ドライブ バイ ダウンロー 5
ド 攻 撃 の 特 徴 と 一 致 する http://llllll.info/ http://mmmmmm.de/typo3/yn7mxkpz.php 中 継 を 行 う URL(ただし 404) http://www.nnnnnn.net/ http://www.oooooo.com/m2bbxnlq.php 中 継 を 行 う URL(ただし 302) 4. D3M (Drive-by Download Data by Marionette) D3M はドライブバイダウンロード 攻 撃 に 関 するデータセットであり NTT セキュアプラッ トフォーム 研 究 所 が 開 発 した Web クライアントハニーポット(Marionette)[4][5]によっ て 収 集 されている D3M には 攻 撃 通 信 データ マルウェア 検 体 およびマルウェア 検 体 を 動 的 解 析 した 際 の 通 信 データが 含 まれている なお D3M は 2010 年 から 2013 年 の 4 年 間 にわたって 提 供 されてきたため ドライブバイダウンロード 攻 撃 の 時 系 列 的 な 変 化 を 分 析 する 事 も 可 能 である 攻 撃 通 信 データには 各 種 悪 性 サイトに 対 する 通 信 が 含 まれており マルウェア 検 体 は web 経 由 における 特 徴 的 な 検 体 が 含 まれている また マルウェア 検 体 は 取 得 してから 24 時 間 以 内 にマルウェア 動 的 解 析 器 である BotnetWatcher[6]により 解 析 されているため 実 際 に C&C サーバとの 通 信 や 二 次 検 体 のダウンロードなどの 通 信 が 含 まれる 5. 総 評 本 事 前 課 題 は 攻 撃 検 知 だけでなく 巡 回 対 象 の 選 定 と Web 巡 回 など 複 数 の 技 術 的 課 題 を 総 合 的 に 解 決 するための 思 考 力 と 実 際 のシステム 構 築 が 求 められる 課 題 であった 半 数 以 上 のチームが 発 見 までいたらなかったが しかしながら 独 自 の Web クローラシステムを 作 成 したチームや 検 知 の 効 率 化 などで 創 意 工 夫 がみられたチームがあった 脆 弱 性 を 内 包 し ている 事 が 多 い Web サイトを 中 心 とした 探 索 や 攻 撃 に 利 用 される 特 徴 的 な 文 字 列 が 検 索 エンジンで 検 索 可 能 であることを 利 用 する 探 索 により 効 率 的 に 踏 み 台 となる 改 ざんサイ トを 発 見 するアイデアが 多 くみられた 実 際 に Web 空 間 に 存 在 する 改 ざんサイトを 発 見 し 提 案 手 法 の 実 現 可 能 性 と 有 効 性 を 示 していたチームがあったことから 具 体 的 な 対 策 に 資 する 技 術 である 可 能 性 がある この 事 前 課 題 を 通 じた 取 り 組 みが 研 究 として 深 化 し MWS 等 での 発 表 へ 延 いてはマルウェア 対 策 技 術 の 進 展 に 繋 がる 事 を 期 待 する 6
参 考 文 献 [1] マルウェア 対 策 研 究 人 材 育 成 ワークショップ(MWS: anti-malware engineering WorkShop), http://www.iwsec.org/mws/2013/ [2] 神 薗, 他,マルウェア 対 策 のための 研 究 用 データセット ~ MWS Datasets 2013 ~, http://www.iwsec.org/mws/2013/manuscript/1a1-1.pdf, MWS2013 [3] 秋 山, MWS2013 意 見 交 換 会 D3M (Drive-by Download Data by Marionette) 2013 http://www.iwsec.org/mws/2013/files/d3m_dataset_2013.pdf [4] M. Akiyama, et al., Design and Implementation of High Interaction Client Honeypot for Drive-by-download Attacks, IEICE Transactions on Communication, Vol.E93-B,No.05,pp.1131-1139,May. 2010. [5] M. Akiyama, et al., Scalable and Performance-Efficient Client Honeypot on High Interaction System, IEEE/IPSJ SAINT2012 [6] K. Aoki, et al., Controlling Malware HTTP Communications in Dynamic Analysis System using Search Engine, IEEE CSS2011 7