Darknet 2014 独 政 法 情 報 通 信 研 究 機 構 (NICT) 笠 間 貴 弘 神 薗 雅 紀
Darknet 2014 Darknet 2014 ダークネット( 未 使 IPアドレス) 宛 てのトラフィックデータ 観 測 対 象 はある/20の 連 続 したダークネット 2011 年 4 1 2014 年 3 31 の3 年 間 分 +α NONSTOPを 利 して 提 供 (pcap+db( 予 定 )) ライブネット ダークネット 2
Darknet 2014 データの 注 意 点 ダークネットからは 応 答 を 返 していないため インターネット からダークネットへの 向 の 通 信 データしか 含 まれていない センサ 設 置 場 所 を 秘 匿 する 的 で 宛 先 IPアドレスの 第 1およ び 第 2オクテットは 適 当 な 値 に 置 換 している ライブネット ダークネット 3
Darknet 2013 利 実 績 インターネット 観 測 システムへの 観 測 点 検 出 攻 撃 を 考 慮 した 動 的 観 測 法 の 検 討 通 信 源 ホストの 分 類 を 利 したダークネット 通 信 解 析 ライブネットにおける 不 正 通 信 の 早 期 検 知 法 ダークネットモニタリングによるDNSトラフィック 分 析 NONSTOPデータを いたマルウェアの 時 系 列 分 析 ダークネットトラフィックデータの 解 析 によるサブネットの 脆 弱 性 判 定 に 関 する 研 究 4
Q:ダークネットで える 攻 撃 は 減 少 している? いいえ むしろ 増 加 しています! 5
ダークネット 観 測 統 計 年 年 間 総 観 測 パケット 数 観 測 IPアドレス 数 1 IPアドレス 当 たりの 年 間 総 観 測 パケット 数 2005 約 3.1 億 約 1.6 万 約 1.9 万 2006 約 8.1 億 約 10 万 約 1.7 万 2007 約 19.9 億 約 10 万 約 2.0 万 2008 約 22.9 億 約 12 万 約 2.5 万 2009 約 35.7 億 約 12 万 約 6.4 万 2010 約 56.5 億 約 12 万 約 7.5 万 2011 約 45.4 億 約 12 万 約 6.0 万 2012 約 77.9 億 約 19 万 約 6.6 万 2013 約 128.8 億 約 21 万 約 9.3 万 100,000 90,000 80,000 70,000 60,000 50,000 40,000 30,000 20,000 10,000 0 2005 2006 2007 2008 2009 2010 2011 2012 2013 1 IPアドレスあたりの 年 間 総 観 測 パケット 数 6
ダークネットで 何 が えているのか? マルウェアによるスキャン ワーム 型 マルウェアの 探 索 活 動 マルウェア 感 染 の 局 的 傾 向 感 染 爆 発 の 前 兆 DDoS 攻 撃 の 跳 ね 返 り 送 信 元 IPアドレス 偽 装 されたSYN Flood 被 攻 撃 サーバからの 応 答 (SYN-ACK) DDoS 攻 撃 の 早 期 検 知 (1パケット から) 設 定 ミス 組 織 内 ダークネット Darknet リフレクション 攻 撃 の 準 備 活 動 DNS Open Resolver 探 索 NTP 探 索 etc. 新 7
DNS amp 攻 撃 の 概 要 キャッシュDNSサーバ (Open Resolver) 権 威 DNSサーバ DNS 要 求 パケット (アドレスを 詐 称 ) 攻 撃 者 DNS 要 求 (2 度 ) DNS 応 答 (キャッシュ) DNS 問 い 合 わせ DNS 応 答 被 害 者 DNS 応 答 パケット 増 幅 例 要 求 :26 byte(ripe.net, IN, ANY) 応 答 :821 byte(dnssec 署 名 等 含 む) 増 幅 率 : 約 32 倍 8
DNS amp 攻 撃 とダークネット Open Resolverを 攻 撃 に 利 するためには Open Resolverを 探 す 必 要 があります Open Resolver 探 索 のスキャンが 来 る! ( 宛 先 53/UDP) 9
パケット 数 ( 宛 先 53/UDP) - 2013 年 1 10 (/16センサ) - 8000000 7000000 6000000 5000000 4000000 3000000 Spamhaus 前 後 に パケット 数 増 加 2000000 1000000 0 10
ユニークホスト 数 ( 宛 先 123/UDP) - 2013 年 10 2014 年 03-11
ダークネット 関 連 研 究 A. Dainotti, K. Benson, A. King, K. Claffy, M, Kallitsis, E. Glatz, and X. Dimitropoulos, Estimating internet address space usage through passive measurements, ACM SIGCOMM 2014 IPアドレス 空 間 の 利 推 定 法 A. Dainotti, R. Amman, E. Aben, K. Claffy, Extracting Benefit from Harm: Using Malware Pollution to Analyze the Impact of Political and Geophysical Events on the Internet, ACM SIGCOMM 2012 震 災 等 によるネットワーク 障 害 を 検 知 Awarded as one of top three papers in ACM SIGCOMM Computer Communication Review in 2012 Christian Rossow, Amplification Hell: Revisiting Network Protocols for DDoS Abuse, NDSS 2014 DRDoS (Distributed Reflective Denial of Service)に 利 されるプロトコルの 洗 い 出 し と 実 際 の 攻 撃 の 観 測 牧 佑, 吉 岡 克 成, 松 本 勉, 中 純, 島 村 隼 平, 井 上 介, DNSアンプ 攻 撃 の 早 期 対 策 を 的 としたDBSハニーポットとダークネットの 突 合 分 析, SCIS2014(SCIS 論 賞 受 賞 ) DNSハニーポットとダークネットデータの 突 合 分 析 12
MWS2014 意 交 換 会 (2014-05-19) NONSTOP Open Network Security Test-Out Platform MWS Editionについて 独 政 法 情 報 通 信 研 究 機 構 サイバー 攻 撃 対 策 総 合 研 究 センター サイバー 防 御 戦 術 研 究 室 招 へい 専 員 久 達 也
Introduction 背 景 は, 多 数 の 開 発 者, 分 析 者, 研 究 協 者 により, 開 発 運 営 されており, 開 発 者, 分 析 者, 研 究 協 者 らユー ザの 研 究 開 発 をさらに 促 進 するために, 外 部 から 安 全 にイン シデント 分 析 が えるシステムへのニーズが まっている. NICT( 井 )に かないと のサイバーセキュリティ 情 報 を 活 した 研 究 開 発 が 出 来 ない. 外 部 からのアクセスを 適 切 に 制 御 しながら ユーザの 利 便 性 も 考 慮 した 遠 隔 インシデント 分 析 環 境 が 欲 しい! 14
Introduction NONSTOPって? nicter open network security test-out platform 内 で 保 有 する サイバーセキュリティ 情 報 (リソース)を 外 部 から 扱 うことが 出 来 るようにした Virtual Private Server(VPS) サービス VPSサービス リソース 15
Resources リソースって? ダークネットトラフィックデータ(PCAPファイル) リアルタイムダークネットトラフィックデータ マルウエア 検 体 マルウエア 検 体 のミクロ 解 析 結 果 ミクロ マクロ 相 関 分 析 結 果 SPAMメール... 16
Resources NONSTOP(MWS Edition)では, ダークネットトラフィックデータ(PCAPファイル) リアルタイムダークネットトラフィックデータ マルウエア 検 体 マルウエア 検 体 のミクロ 解 析 結 果 ミクロ マクロ 相 関 分 析 結 果 SPAMメール... 17
Functions リモートログイン(OpenSSH 改 造 ) ICカードによる 認 証 ターミナルログイン 禁 転 送 速 度 制 限 (<10Mbps) ポートフォワード 制 限 80(HTTP),3389(RDP) 18
Functions NONSTOPポータル(web) ユーザ 管 理,VM 管 理 NONSTOP Wiki オンラインマニュアル FAQなど ファイル 転 送 WebDAV 経 由 のファイル 転 送 (Read/Write) ファイルフィルタリング (Hash 較, 種 別, 圧 縮 暗 号,サイズなど) ファイル 出 監 視, 複 製 19
Functions 分 析 VM OS CentOS5.x, 6.x NIC NIC A:VM 間 通 信 のマスク NIC B:ダークネットパケット 受 信 NIC( 着 信 IPは 匿 名 化 ) 20
Operation ファイルの 出 (WebDAV) データ 保 管 サーバ VM 電 源 ON/OFF, リブート, 状 況 確 認 (HTTP) サービス ポータル Web Server リソース VM 操 作 (RDP) VM (Win/Linux) 解 析 環 境 PCAP File Server NONSTOP FTP 21
File Transfer VMから 解 析 結 果 の 取 得,ユーザ 側 からのデータ 転 送 import export OK/copy Hash 値 比 較 フィルタ データ 保 管 サーバ (Filtering) ファイルタイプ チェックフィルタ 100MBまで NG/ delete 暗 号 化 圧 縮 ファイル チェックフィルタ copy import Linux /Windows VM 解 析 環 境 export Security log Export トレースDB OK and NG/copy 22
Access Count(2013/06 2014/05) 23