Mais conteúdo relacionado
Semelhante a 悪性Botnet包囲網のBotによるWannaCryのようなマルウェアの活動検知の試み (20)
Mais de Takashi Yamanoue (20)
悪性Botnet包囲網のBotによるWannaCryのようなマルウェアの活動検知の試み
- 3. 目次
• 1. はじめに
• 2. 悪性 Botnet 包囲網
• 3. 偽WannaCry
• 4. 検知手法
• 5. 実験
• 6. 関連研究
• 7. おわりに
#ipsjiot
- 9. 2. 悪性Botnet包囲網
2.3 Agent Bot (2/2)
• Buffers
– Packet History
• Sub buffers for every (Source IP, Destination IP)
• 時間と Payload のSha1 hash も一緒に格納
– MAC-list
– Domain-list
– Dhcp-list
– Arp-list
#ipsjiot
この写真 の作成者 不明な作成者 は
CC BY-SA のライセンスを許諾され
ています
- 10. • 良性botの言語プロセッサ
– CSV parser
– 表操作/表計算関数
• Analyzing Bot
– 良性botの言語プロセッサの機能
– R (IOTS2016 で発表)
2. 悪性Botnet包囲網
2.4 Analyzing Bot (1/1)
#ipsjiot
この写真 の作成者 不明な作成者 は CC BY-SA のライセンスを許諾されていま
す
この写真 の作成者 不明な作成者 は CC
BY-SA のライセンスを許諾されていま
- 11. 3. 偽WannaCry
• TCP/445 を scan
– 本物のWannaCry は、LANの内外かかわらず
TCP/445 をSCAN
• LAN 外からもある程度検知可能
– LAN内だけ TCP/445をScan する
マルウェアがもしあったら?
• LAN外からの検知は困難
#ipsjiot
この写真 の作成者 不明な作成者 は
CC BY-SA のライセンスを許諾され
ています
この写真 の作成者 不明な作成者 は CC BY-SA のライセンスを許諾
されています
- 12. 4. 検知手法(1/4)
• 偽WannaCry
– LAN外のホストのTCP/445番ポートへの接続を行わない.
– LAN内のIPアドレスの範囲のIPアドレスのホストの
TCP/445番ポートに接続を試行
– LAN内では, 相手先ホストが存在しない場合, TCP接続
そのものが行われない.
– たとえミラーポートを持ったスイッチを使って監視し
ていても, LAN内の存在しないIPアドレス宛のTCP通信
は監視できない.
この写真 の作成者 不明な作
成者 は CC BY-SA のライセ
ンスを許諾されています
- 13. 4. 検知手法(2/4)
• しかしながら
– ルータやNAT
• 少なくともルータやNATのLAN側のIPアドレスの
TCP/445番ポートへの接続の試行は行う.
• この接続を検知することにより, 偽WannaCry が動
いているホストの候補を挙げることは可能.
– LAN内でユニキャストのIP通信が行われる場合
• 送信側ホストは, ARPパケットの送受信
– 受信側ホストのMACアドレスを入手するため,
• ARPパケットを監視することにより, どのホストが,
別のどのホストにIP接続を行おうとしているか, 知
ることができる.
この写真 の作成者 不明な作
成者 は CC BY-NC-ND のラ
イセンスを許諾されていま
す
- 14. 4. 検知手法(3/4)
• 今回の偽WannaCryの活動の識別方法
– Step 1.
• Agent Bot においてTCP/445番ポート宛のパケットのリストと,
Arp-list の取得を行う.
– Step 2.
• Analyzing Botにおいて, それぞれの監視対象LANのAgentボッ
トから得られたデータを使って以下を行う.
– Step 2.1
» TCP/445番ポートにパケットを送信しているホストの重複しないIP
アドレスのリスト(候補リスト)を作成する.
– Step 2.2
» 候補リストのそれぞれのIPアドレスについて. 以下を行う
- 15. 4. 検知手法(4/4)
– Step 2.2.1
• Arp-list の中で上のIPアドレスを送信元に持ち, Arp request を
行うパケットの, 相手先IPアドレスのリストを作成.
– Step 2.2.2
• 相手先のIPアドレスのリストについて, 重複していないアドレ
スのリスト(接続先リスト)を作成.
– Step 2.2.3
• 候補リストの中で, 接続先リストの要素の数が一定の数を超え
たものを, 偽WannaCry が活動している可能性が高いホストと
して出力.
- 24. 5. 実験
5.2 Analyzing Botのscriptと実行結果(5/6)
• Step. 2.2.
– 192.168.2.100から送信されるarp requestの相手先IPアドレスの
リストとして{…, 192.168.2.197, 192.168.2. 189, 192.168.2.191,
192.168.2.195, 192.168.2.196, 192.168.2.197, …}が得られる.
- 25. 5. 実験
5.2 Analyzing Botのscriptと実行結果(6/6)
• Step 2.2.3
– 相手先のIPアドレスのリストの大きさが5より大きいので,
192.168.2.100は偽WannaCryが活動している可能性が高く, また、
そのホストが接続されているLANは0番目なので,
– In the LAN-0, host_192.168.2.100_may_have_WannaCry
– がAnalyzing Bot のObject Page に出力される.
- 26. • 分散IDSの agent の集合
• agents + transceivers + monitors
6. 関連研究
6.1 Autonomous Agents
for Intrusion Detection (AAFID)
#ipsjiot
- 27. • AAIFの agent と我々の agent bot は, どちらともコマンドによって制御され, 通信
データを収集
• Agent AAFIDのagentはclient hostに install されている
– 我々の agent botはLANとそのルータ又はNAT ルータの間に設置
• AAFIDの monitor と transceiver , 我々の Analyzing Bot… agentなどからデータを
集めて, それを解析する部分で類似
• AAFIDの monitorはwiki ページの script で制御されない
– 我々の agent botやanalyzing botはwikiページのscriptで制御
• Agent間の通信方式については, AAFIDについては定義されていない
– 我々のbotnetはwiki APIを使っている.
6. 関連研究
6.1 Autonomous Agents
for Intrusion Detection (AAFID)
#ipsjiot
- 28. • 各ネットワーク機器からフルフローを収集
• 組織内ネットワークの通信状況を可視化
• 通信特徴から異常を検知
• 文献[12]でWannaCry に感染した端末を検出する方法が紹介
• 実際のWannaCryは組織内外のホストのTCP/445ポートへの接続を試
みる
• Stealthwatchでその活動を検出することが可能
6. 関連研究
6.2 Stealthwatch で WannaCry に
感染した端末を検出する方法
#ipsjiot
- 29. • しかしながら,
– 偽WannaCryのような, LAN内に閉じたscanを行うマルウェアに
ついては, フルフローを収集できるものでない限り, その活動を検
知することは困難.
• これに対して
– beneficial botnetの場合, Agent bot が組織ネットワーク管理外
の, NATで接続されたLANの, そのLANとNATの間に設置されて
いれば, 偽WannaCryのようなマルウェアを検出することが可能
である.
- 30. • Beneficial Botnet のAgent Bot はある意味、Man in the Middle 攻撃を
行う
–慎重な取り扱いを必要とする。
6. 関連研究
6.3 Man in the Middle Attack
#ipsjiot
- 31. • Beneficial botnetと同様に, 定期的にエージェントプログラムが Web
サーバにアクセスし, そこに書かれた指示をエージェントが実行し, 結
果を Web サーバ側に戻す
• エージェントプログラムとWebサーバはNATを超えて相互に通信でき
る.
–我々の Agent bot と同じ
• キュリティ強化を目的としたものではない.
• 特化したWebサーバを必要とする
–beneficial botnetはopenなPukiWiki.
6. 関連研究
6.4 KASEYA and UNIFAS
#ipsjiot
- 32. • 悪性botnet包囲網(beneficial botnet)による, WannaCryのようなマル
ウェアの活動を検出の可能性
• しかしながら、ホストをスキャンする他のアプリケーションもあり。
これらとの違いを、判別できる必要あり。
• beneficial botnet
– script を格納するための wiki ページ + そのscriptのinterpreter
• 評価実験を行う為, 悪性botnetの通信をまねる偽WannaCryも作成
5. おわりに
#ipsjiot
- 34. 謝辞
• JSPS科研費 16K00197
• PukiWiki, Java, Pcap4J, Eclipse, Eclipse Egit, M2Eclipse,
Apache, Apache http client, twitter4j, Raspberry Pi,
Raspbian
• 実験の実施を手伝ってくれた学生諸君に感謝します.