ト情報を漏えいする機能を保有している [2]. このため, 感染端末上に Web サイト管理者用の FTP アカウント情報が記憶されている場合 は, その情報が攻撃者に漏えいしてしまい, 新たな Web サイト改ざんを引き起こす [3]. このように,Web サイト改ざんと FTP アカウント情報漏

Similar documents
Drive-by Download 攻撃に おけるRIG Exploit Kitの 解析回避手法の調査

悪性Webサイト探索のための効率的な巡回順序の決定法

<4D F736F F F696E74202D E9197BF C A837B C EC091D492B28DB8284E E B8CDD8AB B83685D>

2 web high interaction web low interaction Capture- HPC[11] HoneyClient[5] HoneyC[12] SpyBye[7] HoneyC SpyBye snort exploit 3 Drive-by-download Web (

タイトルを1~2行で入力 (長文の場合はフォントサイズを縮小)

ACTIVEプロジェクトの取り組み

McAfee Application Control ご紹介

プレゼンテーション

Template Word Document

テスト

MWS 2014 意見交換会 D3M (Drive-by Download Data by Marionette) 2014

Drive-by-Download攻撃における通信の 定性的特徴とその遷移を捉えた検知方式

延命セキュリティ製品 製品名お客様の想定対象 OS McAfee Embedded Control 特定の業務で利用する物理 PC 仮想 PC や Server 2003 Server 2003 ホワイトリスト型 Trend Micro Safe Lock 特定の業務で利用するスタンドアロン PC

ログを活用したActive Directoryに対する攻撃の検知と対策

PowerPoint プレゼンテーション

6-2- 応ネットワークセキュリティに関する知識 1 独立行政法人情報処理推進機構

安全な Web サイトの作り方 7 版 と Android アプリの脆弱性対策 独立行政法人情報処理推進機構 (IPA) 技術本部セキュリティセンター Copyright 2015 独立行政法人情報処理推進機構

スライド 1

不正送金対策 フィッシング対策ソフト PhishWall( フィッシュウォール ) プレミアム のご案内 広島県信用組合では インターネットバンキングを安心してご利用いただくため 不正送金 フィッシング対策ソフト PhishWall( フィッシュウォール ) プレミアム を導入しました 無料でご利用

Logstorage for VISUACT 標的型サイバー攻撃 対策レポートテンプレート

1012  ボットネットおよびボットコードセットの耐性解析

MWSCup2017c1-dist

情報共有の流れと目的 情報共有の基本的な流れ 参加組織 攻撃を検知 IPA へ情報提供 目的 IPA 分析 加工 ( 匿名化など ) 情報共有 結果の共有 1 類似攻撃の早期検知と被害の回避 2 攻撃に対する防御の実施 3 今後想定される攻撃への対策検討 標的型攻撃メールを当面の主対象として運用中

SQLインジェクション・ワームに関する現状と推奨する対策案

ログ分析によるサイバー攻撃検知システムの構築

<4D F736F F F696E74202D D352E8ED093E08AC28BAB835A834C A BAD89BB82CC8CE492F188C42E707074>

Microsoft Word - gred_report_vol25_110830_final.docx

Microsoft PowerPoint - MWS意見交換会-D3M2013.pptx

PowerPoint Presentation

CloudEdgeあんしんプラス月次レポート解説書(1_0版) _docx

なぜIDSIPSは必要なのか?(v1.1).ppt

allows attackers to steal the username-password pair saved in the password manager if the login page or other pages in the same domain are vulnerable

2.3 1 RIG Exploit Kit (4) 4 Exploit Kit 2.2 RIG Exploit Kit RIG Exploit Kit 1 5 (1) Web Web (2) RIG Exploit Kit URL (3) URL iframe RIG Exploit Kit (4)

2.2 Reflected XSS 攻撃攻撃者の用意した悪意のあるリンクとターゲットサーバが同じホストである場合の Reflected XSS 攻撃を, 本稿では Reflected XSS 攻撃と呼ぶ. 例えば, サーバ A の target.php に Reflected XSS 脆弱性があった

Trend Micro Cloud App Security ご紹介資料

アルファメールプラチナのについてご案内します この度は アルファメールプラチナをお申し込みいただきまして 誠にありがとうございます 本冊子は アルファメールプラチナをご利用いただく方 ( 一般利用者 ) 向けの内容で構成されております お客様のご利用環境によってはご紹介した画面や操作とは異なる場合が

図 2: パスワードリスト攻撃の概要 インターネットサービスの安全な利用は 利用者が適切にパスワードを管理することを前提に成り立っており 利用者はパスワードを使い回さず 適切に管理する責任があります 以下はパスワードリスト攻撃を受けたことを 2013 年 4 月以降に発表した企業のうち 試行件数 と

Drive-by Download RIG Exploit Kit

Japan Computer Emergency Response Team Coordination Center インシデントレスポンス概論 JPCERT コーディネーションセンター山賀正人 2003/11/ JPCERT/CC

Active Directory のログ調査の重要性 2018 年 4 月 26 日 東京大学大学院情報学環 セキュア情報化社会研究寄付講座

インシデントハンドリング業務報告書

侵入挙動の反復性によるボット検知方式

脆弱性を狙った脅威の分析と対策について Vol 年 7 月 21 日独立行政法人情報処理推進機構セキュリティセンター (IPA/ISEC) 独立行政法人情報処理推進機構 ( 略称 IPA 理事長 : 西垣浩司 ) は 2008 年度におけ る脆弱性を狙った脅威の一例を分析し 対策をまと

WebEx を使用したリモート調査とは お客様のデスクトップ画面を共有し 障害調査を共同で実施するサービスです リモート調査は 精度の高い調査により 障害の早期解決を図るために実施します 対象の機器にアクセスできる中継端末をご用意頂く必要があります インターネット接続が可能な中継端末を経由して調査を

WebRTC P2P Web Proxy P2P Web Proxy WebRTC WebRTC Web, HTTP, WebRTC, P2P i

Microsoft IISのWebDAV認証回避の脆弱性に関する検証レポート

29 jjencode JavaScript

技術レポート 1)QuiX 端末認証と HP IceWall SSO の連携 2)QuiX 端末認証と XenApp の連携 3)QuiX 端末認証 RADIUS オプションと APRESIA の連携 Ver 1.1 Copyright (C) 2012 Base Technology, Inc.

サービス内容 サービス内容 アルファメールダイレクトのサービス内容 機能 対応環境についてご案内します 基本サービス 管理者機能 アルファメールダイレクトをご利用になる前に まず管理者の方がメールアドレスの登録や 必要な設定を行います すべての設定は ホームページ上の専用フォームから行います < 主

不正送金 フィッシング対策ソフト PhishWall( フィッシュウォール ) プレミアム について 中ノ郷信用組合では インターネットバンキングのセキュリティを高めるため 不正送金 フィッシング対策ソフト PhishWall( フィッシュウォール ) プレミアム をご提供しております ( ご利用は

製品概要

Sample 5

9 WEB監視

付録 2 システムログ一覧 () 攻撃経路 1. ファイアウォール (FW) ネットワーク型 IPS/IDS Web サーバ AP サーバ DB サーバ プロキシサーバ エラーログ SSL ログ AP ログ ホストログ 非 日時 ファイアウォールホスト名 ファイアウォールルール名及び番号 インバウン

マイナンバー対策マニュアル(技術的安全管理措置)

2 [2] Flow Visualizer 1 DbD 2. DbD [4] Web (PV) Web Web Web 3 ( 1) ( 1 ) Web ( 2 ) Web Web ( 3 ) Web DbD DbD () DbD DbD DbD 2.1 DbD DbD URL URL Google

JPCERT/CCインシデント報告対応レポート[2015年4月1日 ~ 2015年6月30日]

R80.10_FireWall_Config_Guide_Rev1

マルウェアレポート 2018年1月度版

スライドタイトル/TakaoPGothic

SHODANを悪用した攻撃に備えて-制御システム編-

7,, i

QualysGuard(R) Release Notes

マルウェアレポート 2017年9月度版

PowerPoint Presentation

Microsoft PowerPoint ラック 村上様.ppt

DNS: Domain Name

WannaCry とは WannaCry はランサムウェアの一種 WannaCry は ランサムウェアと呼ばれる身代金要求型のマルウェアです WannaCryptor WanaCrypt Wcry といった呼ばれ方もします 一般的にランサムウェアに感染すると 以下のようなデータを使用できないように暗

スライド 1

今週の進捗

情報セキュリティ 10 大脅威 大脅威とは? 2006 年より IPA が毎年発行している資料 10 大脅威選考会 の投票により 情報システムを取巻く脅威を順位付けして解説 Copyright 2017 独立行政法人情報処理推進機構 2

SOC Report

JPCERT/CC インターネット定点観測レポート[2014年7月1日~9月30日]

PowerPoint Presentation

1011  時系列分析による連鎖感染の可視化と検体種別の推測

MC3000一般ユーザ利用手順書

Cisco1812-J販促ツール 競合比較資料 (作成イメージ)

基本プラン向け ( インターネット接続管理 バックアップ メッセージ通知 ウイルス対策 Web フィルター ) 2

PowerPoint プレゼンテーション

ガイドブック A4.indd

Microsoft Word last.doc

2. 生田仮想デスクトップ PC の接続方法 生田仮想デスクトップ PC に接続する方法は 次の 2 通りです 1. HTML アクセス Internet Explorer や Safari などのブラウザを用います PC に特別なソフトウェアをインストールす る必要が無いので 管理者権限をもってい

PowerPoint プレゼンテーション

JPCERT/CCインシデント報告対応レポート[2013年7月1日 ~ 2013年9月30日]

中継サーバを用いたセキュアな遠隔支援システム

べきでない悪意のあるSQL 文が攻撃者から入力された場合 データベースで実行される前にSQL 文として処理されないよう無効化する必要がありますが ( 図 1 1) 無効化されずにデータベースで実行された場合 データベースの操作が可能となります ( 図 1 2) 本脆弱性を悪用するとデータベース接続ユ

Web Gateway資料(EWS比較付)

Microsoft Word - gred_security_report_vol17.final

Microsoft Word - sp224_2d.doc

Mobile Access IPSec VPN設定ガイド

Technical Report 年 8 月 31 日 株式会社セキュアソフト 注意喚起 : バンキングトロージャンに感染させるマルウェア付きメール拡散について 1. 概要最近インターネットバンキングなど金融機関関連情報の窃取を目的としたマルウェア付きメールが 日本国内で多数配

SAMBA Stunnel(Windows) 編 1. インストール 1 セキュア SAMBA の URL にアクセスし ログインを行います xxx 部分は会社様によって異なります xxxxx 2 Windows 版ダウンロード ボ

マルウェアレポート 2018年3月度版

5. オープンソースWAF「ModSecurity」導入事例 ~ IPA はこう考えた ~

<4D F736F F F696E74202D2091E63389F15F8FEE95F1835A834C A CC B5A8F FD E835A835890A78CE C CC835A834C A A2E >

感染条件感染経路タイプウイルス概要 前のバージョン Adobe Reader and Acrobat より前のバージョン Adobe Reader and Acrobat before より前のバージョン Adobe Flash Player before

Computer Security Symposium October 2013 Android OS kub

報道関係者各位 2016 年 5 月 10 日 テクマトリックス株式会社 ネットワークセキュリティ事業部 次世代型メールセキュリティソリューション Proofpoint の取り扱いを開始 最新のサンドボックステクノロジーで標的型攻撃メールを可視化 テクマトリックス株式会社 ( 本社 : 東京都港区

第 号 2013 年 6 月 4 日独立行政法人情報処理推進機構 今月の呼びかけ ウェブサイトが改ざんされないように対策を! ~ サーバーやパソコンのみならず システム全体での対策が必要です ~ IPA セキュリティセンターではコンピュータウイルスや不正アクセスに関する届出を受け

MWSCup2013事前課題1解答例

Transcription:

Computer Security Symposium 2012 30 October 1 November 2012 攻撃空間の探索範囲を拡大する FTP ハニーポットの設計 八木毅秋山満昭青木一史針生剛男 NTT セキュアプラットフォーム研究所 180-8585 東京都武蔵野市緑町 3-9-11 yagi.takeshi@lab.ntt.co.jp あらまし正規 Web サイトを悪用してユーザ端末をマルウェアに感染させる攻撃が脅威となっている. この攻撃では, 正規 Web サイトが改ざんされ, 当該サイトにアクセスしたユーザ 端末が, マルウェアに感染させるために攻撃者が用意した悪性 Web サイトに誘導される. さ らに, マルウェアに感染したユーザ端末から FTP アカウント情報が攻撃者により不正に入手さ れ, 当該ユーザの Web サイトコンテンツが攻撃者に改ざんされる. この際の通信やコンテンツを分析すれば, 新たな悪性 Web サイト情報等を発見して対策を講じることができる. そこ で本稿では, おとりの FTP アカウントにより, 監視下にある Web サイトの改ざんを誘発して改 ざんの特徴を分析する,FTP ハニーポットを設計, 実装し, 観測した情報を分析した結果を報 告する. Design of an FTP Honeypot for Expanding the Search Scope in Attack Space Takeshi Yagi Mitsuaki Akiyama Kazufumi Aoki Takeo Hariu NTT Secure Platform Laboratories 3-9-11 Midori-cho, Murashino-shi, Tokyo 180-8585, JAPAN yagi.takeshi@lab.ntt.co.jp Abstract Recently, with the widespread of the web, malware has been spreading via malicious websites. In many cases, the malicious websites are constructed by falsifying legitimate websites. A user, who accesses the falsified website, is redirected to an attacker s website and is forced to download malware. Additionally, the attacker steals the user s FTP account information stored on the computer infected by the malware. Furthermore, the attacker tries to falsify the user s website as a legitimate website administrator using the stolen FTP account information. To detect and prevent such an attack, it is necessary to reveal its characteristics, especially the method to falsify user websites. In this research, we proposed an FTP honeypot which analyzes the characteristics by triggering off falsification to our monitored website using decoy FTP account information. 1 はじめに 近年, 企業や個人の Web サイトにおいてコンテンツが改ざんされるインシデントが多発 している [1]. この改ざんにより, 正規の Web サイトのコンテンツの一部に自動転送コード が挿入される. 改ざんされた Web サイトを閲 覧したユーザのアクセスは, ユーザの意図とは無関係に, 攻撃者が用意した悪性 Web サイ トへ転送される. 悪性 Web サイトには,Web ブラウザやプラグインのぜい弱性を標的とす る攻撃コードが設置されており, ユーザは閲覧するだけでマルウェアに感染する. この際 感染するマルウェアの一部は,FTP アカウン - 820 -

ト情報を漏えいする機能を保有している [2]. このため, 感染端末上に Web サイト管理者用の FTP アカウント情報が記憶されている場合 は, その情報が攻撃者に漏えいしてしまい, 新たな Web サイト改ざんを引き起こす [3]. このように,Web サイト改ざんと FTP アカウント情報漏えいを引き起こす一連の攻撃では, Web サイト改ざんとマルウェア感染が繰り返されることで, 被害が拡大する仕組みとなっている. 図 1 Web 経由のマルウェア感染 2 マルウェア感染手法 近年,Windows OS の基本機能としてパー ソナルファイアウォールが適用されたことや, NAT 環境下でのインターネット利用の普及 により, 外部ネットワークから直接 Windows OS のぜい弱性を攻撃するネットワーク経由 の感染が減少してきた. 一方で,Web ブラウザやプラグインのぜい弱性が継続的に多数発 見されており, 攻撃者としては,Web 経由の方がユーザをマルウェアに感染させることが できる状況になっている. このため, マルウェアの感染経路の主流は Web 経由への転換しつつある. Web 経由のマルウェア感染活動の典型例を図 1 に示す. ぜい弱な Web ブラウザやプラ グインを使用しているユーザは, 攻撃者が用意した改ざんコンテンツを閲覧した際に, 攻 撃コードやマルウェアが配置された悪性 Web サイトに誘導され, マルウェアに感染す る. マルウェアに感染した端末に Web サイト管理用の FTP アカウント情報が記憶されてい る場合,FTP アカウント情報は攻撃者に漏えいする. 攻撃者は,Web サイト管理者として ユーザの FTP サーバにログインしてコンテンツを改ざんする.Web サイトでは FTP サーバ上に配置されたコンテンツが表示されるため, それ以降, この FTP サーバとシンクしている Web サイトは, 別の閲覧ユーザを悪性 Web サイトへ誘導するために使用される. ユーザ 攻撃者 アクセスフィルタ 悪性 URL のインポート クライアント型ハニーポット インターネット 3 従来の対策手法 セキュリティアプライアンス 改ざん Web サイト 悪性 Web サイト 図 2 従来の対策手法 ユーザ Web サイト ユーザ FTP サーバ この攻撃を防御するために, 従来では,Web サイトの改ざんを検知して制御するサーバ側の対策手法と, ユーザから改ざん Web サイト や悪性 Web サイトへのアクセスをフィルタするユーザ側の対策手法が検討されている. 前者に関しては,SQL インジェクション [4] など異常な HTTP リクエストメッセージを用いたコンテンツ改ざんを検知する intrusion detection system や intrusion prevention system および web application firewall[5] などの, セキ ュリティアプライアンスでの対処が検討されている. 一方, 後者に関しては, 悪性 Web サイトへの誘導やマルウェア感染を検知する仕組みを 搭載したクライアント型ハニーポット [6] で Web サイトを巡回する手法が検討されている. この手法では, クライアント型ハニーポ ットで不特定多数の Web サイトへアクセス - 821 -

することで, 改ざん Web サイトや悪性 Web サイトの URL を特定する. なお, アクセスした Web サイトのコンテンツを分析するこ とで, マルウェア検体の収集に加え, ユーザのマルウェア感染の原因となる改ざんコンテ ンツも特定できる. 特定された URL はブラックリスト化され, アクセスフィルタを実施 する際にフィルタ対象とされる, 4 従来の対策手法における課題 Web 経由のマルウェア感染活動は,Web サイトの改ざんと, ユーザのマルウェア感染の両者が起点となっている. このため, サーバ 側での対策とユーザ側での対策の両者を考慮した検討が必要となる. セキュリティアプライアンスは, 異常なアクセスを検知する. このため, 不正入手した FTP アカウント情報を悪用して Web サイト管理者として正規な手順でコンテンツを変更 する攻撃者は検知できない. 一方, クライアント型ハニーポットは, Web サイトの改ざ ん結果および改ざん Web サイトへのアクセス後の発生事象は確認できるが,Web サイトで発生したコンテンツ改ざんの経緯を把握で きない. このようなセキュリティアプライアンスとクライアント型ハニーポットの課題を 考慮すると, サーバ側での対策とユーザ側での対策の両者を実現するためには, 以下の課 題があると考えられる. サーバ側での対策という視点では, 従来の 対策手法では, 図 3 に示すように, クライアント型ハニーポットで既に改ざんされた Web サイトを検知できるが,FTP アカウント情報を悪用したコンテンツ改ざんは防御でき ない. なお,Web サイトが改ざんされる際, 正規 Web サイトの.htaccess が不正に制御されて Web サイトを閲覧したユーザを悪性 Web サイトに誘導するなど, クライアント型ハニーポットでの観測のみでは観測できない不正 制御が含まれる場合がある [7]. 改ざん時に使 図 3 従来手法の課題 用される攻撃者の IP アドレスや, 改ざん時に アップロードされるコンテンツなどを観測できれば, 観測結果をセキュリティアプライア ンスでの攻撃検知に反映することで,Web サイトの改ざんを防止できる. ユーザ側での対策という視点では, 従来の対策手法では,Web サイトが改ざんされてか らクライアント型ハニーポットが改ざんを検知するまでの期間, マルウェア感染活動は検知できない. なお, 既存の全 URL を短期間 で検査するクライアント型ハニーポットを用意することは物理リソース面から非現実的で ある. このため, 本課題は, 効率的に検査対象の URL を決定するという課題と同義であ る. 効率的な検査方法としては, 既知の改ざん Web サイトや悪性 Web サイトの URL の近 傍を検査する手法 [8] が検討されている. 未知の改ざん Web サイトや悪性 Web サイトを特 定できれば, 既存の手法を用いて効率的に検査対象の URL を決定できる. 5 FTP ハニーポットの設計 本稿では, クライアント型ハニーポットで収集したマルウェア検体を, おとりの FTP ア カウント情報を記憶させた開環境型マルウェア動的解析機能 [9] で動作させるとともに, お とりの FTP サーバで攻撃者からのアクセスを収集する FTP ハニーポットを提案する.FTP ハニーポットへのアクセス元から攻撃者の IP アドレスを特定するとともに,FTP ハニー - 822 -

ポットにアップロードされる情報から, 改ざ ん時に発生する事象を観測する. さらに,FTP ハニーポットにアップロードされたコンテン ツをクライアント型ハニーポットで検査することで, 未知の改ざん Web サイトや悪性 Web サイトの特定を試行する. 5.1 構成 FTP ハニーポットは, クライアント型ハニーポットと, インターネットに接続した環境でマルウェアを動的解析する開環境型マルウ ェア動的解析機能と, おとり FTP サーバと, おとり Web サーバおよび, 各機能を管理する マネージャで構成される. FTP ハニーポットにおけるクライアント型 ハニーポットとして,Marionette[10] を適用する.Marionette は, 図 4 に示すように, ぜい 弱性個所の監視等による正確な攻撃検知や, ダウンロードしたプログラムの動的隔離によ り, 安全性を確保しつつ実ブラウザを利用した検査を実施する, 高対話型のクライアント 型ハニーポットである. さらに, マルチプロセス化や複数 OS 上での分散配置等を実現しており, 多数 URL を短時間で検査できる. Marionette を用いることで, マルウェア検体の収集に加え, マルウェア感染を引き起こす 改ざん Web サイトや悪性 Web サイトを特定する. また, 開環境型マルウェア動的解析機能としては,Botnet Watcher[11] を適用する.Botnet Watcher は, マルウェア検体を感染させた内部端末に対して, ゲートキーバーが内部端末 から正規 Web サイト等へのアクセスに対して疑似応答を返信しつつ, 攻撃者との通信をインターネットへ転送する機能を保有してい る. これにより, マルウェア検体が送受信する通信の特徴や感染端末の挙動を安全に解析 する. 各内部端末には複数の FTP クライアントソフトウェアをインストールしておくとと もに, 各マルウェア検体の解析毎にランダムに生成した FTP アカウント情報を設定し, マ 検査対象 URL リスト Web アクセス リンク先を検査対象に追加 攻撃検知 Web コンテンツ収集 ハイパーリンク URL 収集 図 4 Marionette のワークフロー 内部端末 ゲスト OS コントローラコントローラ VMM ホスト OS コントローラ Peek daemon ゲートキーパー 図 5 Botnet Watcher 概要 攻撃検知時の宛先 URL 収集 マルウェア収集 攻撃に使用されたぜい弱性情報収集 インターネット ルウェア検体がおとり FTP アカウント情報を外部へ送信する動作を管理下で実行する. 具 体的には, マルウェア検体を動作させた際に, FTP クライアントソフトウェアと FTP アカウ ント情報に関するレジストリアクセスとファイルアクセスを監視し,FTP アカウント情報の漏えいを確認する. おとり FTP サーバでは, 予め記憶していたおとり FTP アカウント情報を用いてログイン したユーザに対して, ユーザディレクトリを割り当てるとともに,FTP アクセスや HTTP アクセスのログをセッション毎に記録する. この際,FTP アクセスに関しては, セッショ ン毎に改ざん差分を記録する. また, おとり FTP サーバと, インターネットに接続した Web サーバとをシンクさせ, おとり Web サイトを構築する. ただし, 一般ユーザがおとり Web サイトを閲覧してマルウェアに感染 する事態を回避するために, おとり Web サイトにアクセス可能なユーザを制限する. マネージャは, おとり FTP アカウント毎のログを管理する. 具体的には, おとり FTP ア カウント毎に, 漏えいさせる際に使用したマルウェア検体の情報と, おとり FTP サーバへ - 823 -

の FTP アクセスと HTTP アクセスのログをセ ッション毎に記録する. 5.2 攻撃収集方法 FTP ハニーポットでは, 図 6 に示すように, 改ざん時に攻撃者が使用する IP アドレスや, 攻撃者が改ざん Web サイトを制御する際の挙動および, 改ざんコンテンツに記述された 他の改ざん Web サイトや悪性 Web サイトの情報を収集する. Marionette は, 過去に改ざんが観測された インターネットサービスプロバイダが提供する Web サイトや, 公開されている悪性 Web サイトリスト Malware Domain List (MDL) [12] から, マルウェア検体を収集する. マネージ ャは,Marionette が収集したマルウェア検体を Botnet Watcher の内部端末へ投入する. こ の際, マネージャは, おとり FTP アカウント情報を内部端末に設定するとともに, おとり FTP アカウント情報とマルウェア検体情報を関連付けて管理する.Botnet Watcher は, マ ルウェア検体を動作させ, おとり FTP アカウント情報の漏えいを発生させる. マネージャは, 定期的におとり FTP サーバやおとり Web サーバからログを収集し,FTP アカウント情報毎に分割して管理する. さらに, コンテン ツが改ざんされた可能性があるおとり Web サイトに関しては,Marionette で検査し, 結 果をおとり FTP アカウント情報と関連付けて管理する. おとり FTP サーバやおとり Web サーバのログから, 攻撃者が改ざん時に使用する IP ア ドレスや攻撃者の振る舞い情報が収集できる. さらに,Marionette による改ざん Web サイト検査により, 改ざんコンテンツに記述された 他の改ざん Web サイトや悪性 Web サイトの情報を収集できる. 6 FTP ハニーポットの評価サーバ側の対策手法の課題に関しては, FTP ハニーポットにより, 改ざん時に発生す 図 6 攻撃収集方法 るサーバ上での事象を観測できれば, 観測結 果から Web サイトの改ざんを検知するための情報を抽出できる可能性がある. 特に攻撃 者の IP アドレスに関しては, フィルタリング等に活用できる. 一方, ユーザ側の対策手法の課題に関しては,FTP ハニーポットにより, 未知の改ざん Web サイトや悪性 Web サイトを特定できれば, 既存の手法を用いて効率的 に検査対象の URL を決定できる. そこで本稿では,FTP ハニーポットを実装 し, 攻撃者が改ざんに使用する IP アドレス数を調査した. さらに,FTP ハニーポットで収 集した改ざんコンテンツを Marionette で検査した際に抽出した URL と, 公開ブラックリ スト MDL に掲載されていた URL の発見時間を比較評価した. なお, 本評価では 2012 年 4 月 1 日から 2012 年 8 月 22 日までの期間で収 集した情報を用いている. 6.1 攻撃者が使用した IP アドレスの評価結果 おとり FTP アカウント情報を漏えいさせる ために Marionette で収集したマルウェア検体数と, 攻撃者が使用した IP アドレス数および, 改ざんアクセス数の時系列累積グラフを図 7 に示す. 本評価では, 継続的に一定数のマルウェア検体を収集し, 各検体を用いて FTP アカウン ト情報の漏えいを試行できた. その結果, 従 - 824 -

累積件数 1000 900 800 700 600 500 400 300 200 100 新規に発見した IP アドレス数漏えい後に使用された FTP アカウント数全改ざんアクセス数 0 2012/4/1 2012/5/1 2012/6/1 2012/7/1 2012/8/1 図 7 収集情報 表 1 特定時間の比較 MDL 掲載件数 差異があった件数 提案方式での発見日 MDL 掲載日 URL 2 1 4/23 4/25 FQDN 28 2 4/23 4/25 5/24 5/23 表 2 改ざんコンテンツを Marionette で検査した際に発生した外部アクセス件数検査対象 URL 60 外部アクセスが発生した検査対象 URL 50 外部アクセスの宛先 URL 65 iframe タグが挿入されていた宛先 URL 48 IP アドレス FTP アカウント 図 8 FTP アカウントと IP アドレスの関係 来の手法では収集できない攻撃者の IP アドレスを 200IP アドレス以上, 改ざんアクセスを 900 アクセス以上収集できた. なお, 攻撃 者からおとり FTP サーバへのアクセスを確認したところ, ログイン認証時に失敗する事象 が発生していなかった. このことから, 攻撃者は, ブルートフォース攻撃ではなく, 漏え いした FTP アカウント情報を用いておとり FTP サーバにアクセスしていることが確認で きた. また, 漏えいさせた FTP アカウント数と比較して, 収集した IP アドレス数は倍以上 の数となっている. これは, 攻撃者が同一の FTP アカウント情報を用いて複数の IP アドレ スからおとり FTP サーバへアクセスしていることを示している. 図 8 は, おとり FTP サーバへのアクセスに利用された FTP アカウント とアクセス元の IP アドレスの関係を示している.FTP アカウントと IP アドレスは複数のクラスタに分割できる. これは,FTP アカウ ント情報を入手した攻撃者が複数の bot を用いておとり FTP サーバへアクセスしているこ とを示している. このように,FTP ハニーポットを用いるこ とで, 従来の手法では特定できない, 攻撃者が改ざんの際に使用している IP アドレスや, 改ざんコンテンツを収集できる. この IP アドレスからユーザの Web サイトへのアクセス を監視することで, 攻撃者が改ざんコンテンツをアップロードするアクセスを検知できる可能性がある. また,Web サイトにアップロ ードされるコンテンツに対して FTP ハニーポットで収集した改ざんコンテンツとの一致性 を確認することで, 攻撃者による Web サイトの改ざんを検知できる可能性がある. 6.2 改ざんコンテンツに記載された URL の評価結果 FTP ハニーポットで収集した改ざんコンテンツを保有する Web サイトを Marionette で検 査した際に抽出した 796URL と 150FQDN に関して, 公開ブラックリストである MDL への掲載状況を調査した. 掲載されていた場合 の日時情報において日単位の差異があった場 - 825 -

合の比較を表 1 に示す. 本調査が示すように,URL に関しては, 攻撃者が改ざんコンテンツに記載していたが MDL に掲載されていない最新の URL を 794 件収集できた. 一方,MDL に掲載されていた URL や FQDN に関しては,MDL への掲載日と同等の時期に FTP ハニーポットで観測でき た. このため,FTP ハニーポットを用いることで, 最新の悪性 URL 情報を収集できると考えられる. 本評価では,MDL に未掲載の URL を多数収集した. この URL には,MDL に掲載前の 悪性 URL が含まれていると考えられる. そこで,2012 年 8 月 21 日に FTP ハニーポット で収集した URL を Marionette で検査した結果を分析したところ, 表 2 に示すように, イン ターネットへのリダイレクトアクセスが 50 件発生し, 内 48 件のアクセス先において iframe タグが挿入されていた. また, リダイレクトアクセスの内 38 件は国外の Web サイ トへのリダイレクトだったが, リダイレクト先でリンク切れ状態が発生していた. さらに, リダイレクト先の URL を解析したところ, blackhole という exploit kit が使用された形跡を多数確認できた. このため, リダイレクト 先の URL が, 今後攻撃者が使用を開始する悪性 Web サイトである可能性が高いと考え られる. このように,FTP ハニーポットを用いるこ とで, 未知の改ざん Web サイトや悪性 Web サイトを特定できる. これらの URL や, 改 ざんコンテンツの文字列は, セキュリティアプライアンスでの攻撃検知に利用できる. FTP ハニーポットの情報を用いてユーザから Web サイトへのアクセスを監査することで, ユーザをマルウェア感染から保護できる可能 性を高めることができる. 6.3 考察 Web 経由のマルウェア感染において, 改ざん Web サイトや悪性 Web サイトの動作は, ユーザ A 入口サイト 攻撃サイト 1)Web ブラウザやプラグインにぜい弱性があるユーザが改ざんコンテンツを閲覧 2) 攻撃サイトへ自動転送 中継サイト 1 ) 別の l サイトへ誘導 ( 攻撃サイトに誘導される場合もあるが 中継サイトを経由する場合有り ) 3) 攻撃コードを送付して制御を奪取し マルウェア配布サイトからマルウェアをダウンロードさせ実行させる処理を実行 マルウェア配布サイト マルウェア 図 9 改ざん Web サイトや悪性 Web サイト の動作 入口サイトや中継サイトと, 攻撃サイトおよ びマルウェア配布サイトに分類できる. 入口サイトや中継サイトは, アクセスしたユーザを攻撃サイトへリダイレクトさせる. 攻撃サ イトは, ユーザに対してマルウェア配布サイトからマルウェアをダウンロードさせて実行 させる攻撃コードを送信する.Marionette は, 図 9 に示すような, 改ざん Web サイトにアク セスした後のリダイレクト関係を分析できる. 表 2 に示すように,FTP ハニーポットでは, iframe タグの挿入が多数確認されるなど, 多くの入口サイトや中継サイトを特定できた. このため,Marionette を用いることで, 一回の改ざんから, 複数の中継サイトや攻撃サイトおよびマルウェア配布サイトも発見できる と考えられえる. また, 攻撃者が悪性 Web サイト URL の近傍に悪性 Web サイトを多数 構築するという報告がある [12]. このため, FTP ハニーポットで収集した URL の近傍を Marionette で検査することで, 未知の改ざん Web サイトや悪性 Web サイトを発見できる 可能性がある. FTP アカウント情報を不正入手した攻撃者 は, このアカウント情報を用いてアクセスできる FTP サーバを最大限活用すると考えられ る. このため, 長期間おとり FTP サーバにアップロードされるコンテンツを分析することで, 有効な情報を継続的に収集できると考え られる. また, 攻撃者が改ざん後の Web サイ - 826 -

トを確認する可能性を考慮すると, 本来おと り Web サイトへのアクセスは可能な限り制限しないことが望ましい. しかし, 一般ユー ザがおとり Web サイトにアクセスした場合, マルウェアに感染する可能性があるため, お とり Web サイトへのアクセスは Marionette での検査時に発生する通信のみに限定している. このように, 長期間の観測と, 安全性を維持しつつ攻撃者とおとり Web サイトの通信を最大限許容する通信制御の実現は, 今後の課 題ではあるが,FTP ハニーポットの有効性を高める効果が期待できる. 7 おわりに 本稿では, おとりの FTP アカウント情報に より, 監視下にある Web サイトの改ざんを誘発して改ざんの特徴を分析する,FTP ハニー ポットを提案した. FTP ハニーポットでは, クライアント型ハ ニーポット Marionette で収集したマルウェア検体を, おとりの FTP アカウント情報を記憶させた開環境型マルウェア動的解析機能 Botnet Watcher で動作させるとともに, おとりの FTP サーバで攻撃者からのアクセスを収 集する.FTP ハニーポットを用いた実態調査では, 従来の手法では収集できない, 攻撃者 が使用する IP アドレスや, ユーザを悪性 Web サイトへ誘導するための改ざんコンテンツな どを継続的に収集できた. これらの情報は, Web サイトの改ざんを防止するサーバ側の 対策手法と, ユーザから改ざん Web サイトや悪性 Web サイトへのアクセスを防止するユーザ側の対策手法に活用できると考えられる. FTP ハニーポットを用いることで, ユーザを Web 経由のマルウェア感染から保護でき る確率を高めることができる. 今後の課題としては, 長期間の観測と, 安全性を維持しつ つ攻撃者とおとり Web サイトの通信を最大限許容する通信制御の実現が挙げられる. 参考文献 [1] サイバークリーンセンター, ホームページからの感染を防ぐために, https://www.ccc.go.jp/detail/web/ index.html [2] JPCERT/CC, FTP アカウント情報を盗むマルウェアに関する注意喚起, http://www.jpcert.or.jp/at/2010/ at100005.txt [3] 独立行政法人情報処理推進機構, Gumblar 攻撃に対する技術の現状と課題, http://www.ipa.go.jp/security/fy22 /reports/tech1-tg/a_07.html [4] C.Anle, Advanced SQL Injection In SQL Server Applications, An NGSSoftware Insight Security Research (NISR) Publication, 2002. [5] The Web Application Security Consortium, Web Application Firewall Evaluation Criteria, http://projects.webappsec.org/ Web-Application-Firewall-Evaluation-Criteria [6] The Honeynet PROJECT, Capture-HPC Client Honeypot/ Honeyclient, https://projects.honeyne t.org/capture-hpc/ [7] LAC, Gumblar( ガンブラ ) ウィルスによる新たなホームページ改ざん被害を確認, http://www.lac.co.jp/info/alert /alert20100303.html [8] M.Akiyama, T. Yagi and M.Itoh, Searching Structural Neighborhood of Malicious URLs to Improve Blacklisting, IEEE/IPSJ International Symposium on Applications and the Internet (SAINT) 2011, Jul, 2011. [9] Anubis, Anubis analyzing unknown binaries, http://anubis.iseclab.org/ [10] M.Akiyama, K.Aoki, Y.Kawakoya, M.Iwamura and M.Itoh, Design and Implementation of High Interaction Client Honeypot for Drive-by-download Attacks, IEICE TRANS.COMMUN., VOL.E93-B, NO5, pp1131-1139, May, 2010. [11] 青木一史, 川古谷裕平, 岩村誠, 伊藤光恭, 半透過性仮想インターネットによるマルウェアの動的解析, マルウェア対策研究人材育成ワークショップ 2009,2009 年 10 月 [12] MalwareGroup.com, malwaregroup, http://www.malware group.com/ - 827 -

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック