受動攻撃型マルウェアの分析

受動攻撃型マルウェアと能動攻撃型マルウェアの振る舞いの観測結果を比較したところ，両 者の間には異なる傾向が確認された．受動攻撃型マルウェアは能動攻撃型マルウェアと比較 して，大量の他ホストへの感染活動やIRCによるC&Cサーバと通信するマルウェアが少数 であることが観測された．

能動攻撃型マルウェアとのプロトコル比較

表3.2は能動攻撃型マルウェアと受動攻撃型マルウェアの通信方式を比較した結果を示し ている．表ではNetBIOSなどの脆弱性を利用した他ホストへの感染活動が観測された検体数，

感染後にIRCによる通信が観測された検体数，感染後にHTTPによる通信が観測された検体

表3.3:マルウェアのダウンロード方法の比較

D_a D_c D_p

HTTP^{による転送} 465^件 337^件 1,075^件 TFTPによる転送 0件 1件 0件 独自プロトコルによる転送 137件 351件 0件

合計 602件 689件 1,075件

数，感染後にSMTPによる通信が観測された検体数と，各データセットの全数に対する割合 を示している．各プロトコルの判定にはアプリケーション毎のセッション開始時のペイロー ドデータのパターン[29]^{を利用した．}Dpにおける感染後の通信とは，Windows^{実行形式の} ファイルがダウンロードされた後の通信を対象としている．

表3.2からは，多くのマルウェアが感染直後から外部の複数ホストに対して，調査と攻撃を 実施していると分かる．自律的に感染活動を開始する検体もあるが，多くの能動攻撃型マル

ウェアはIRC^によってC&Cサーバに接続し，送信された命令に応じて活動している．これ

に対し，受動攻撃型マルウェアでは98%以上の検体で複数ホストに対する感染活動やIRCに

よるC&Cサーバへの接続が発生していない．一方で，能動攻撃型マルウェアでは約30%^し

かHTTPによる通信が観測されなかったのに対し，受動攻撃型マルウェアは感染後も90%^以 上がHTTPで通信していた．

表3.3はD_a,p,cについて，マルウェア本体のダウンロードにおける通信方式の比較を示して いる．この表におけるダウンロード数は延べ件数であり，通信データ数とは異なる．転送方 式はHTTP^{による転送，}TFTPによる転送，独自プロトコルによる転送の3^{種類を挙げた．}

能動攻撃型マルウェアを示したDaとDcではHTTPによる通信の他にも独自プロトコルに よる転送が多く見られる．特にD_cでは独自プロトコルによる転送がHTTPによる転送を上 回っている．また，DcではTFTPによる転送も見られる．これに対し，Dpでは全てのマル ウェアをHTTPによってダウンロードしており，他の通信方式によるマルウェア転送は見ら れなかった．

能動攻撃型マルウェアとの通信傾向比較

図3.3では，各通信データの単位時間あたりの送信データ転送量と受信データ転送量を分布 図によって表している．X^軸が1秒あたりの送信データ転送量(bps)^，Y^軸が1^{秒あたりの受} 信データ転送量(bps)をそれぞれ対数で表している．各点が1つの通信データを表しており，

Dp,aに関する分布を示している．

単位時間あたりの受信データ転送量と送信データ転送量の関係から見ると，Dpは主に1^つ のグループに集約されているのに対し，Daはおよそ2種類のグループに分かれている．受動

1 10 100 1000 10000 100000 1e+06

1 10 100 1000 10000 100000 1e+06

Received Traffic (bps)

Sent Traffic (bps) Dp (N=255)

Da (N=484)

図3.3:単位時間あたりの送信データ転送量と受信データ転送量の分布

攻撃型マルウェアは送信が10bps以上，受信が100bps以上で，単位時間あたりの受信データ 転送量が送信データ転送量の10倍程度の通信データが多い．これは表3.2^や表3.3^に示され ているとおり，HTTP^{による通信で}Webサイトからのデータ受信が多いためである．これに 対して能動攻撃型は2つのグループに分かれている．1つ目はD_pと同じくHTTPを多用す る，もしくはIRCのみの通信しかしないグループである．2^{つ目は送信データが}1000bps^以 上のグループである．これは外部ホストに対して感染活動をするグループであり，送信デー タ転送量に対して受信データ転送量は少ない傾向にある．

図3.4はDa,p,mに対し，各通信データで観測されたSYNパケットとそれ以外のTCPパケッ トの比率を示した分布図である．X軸は通信データに含まれるSYN^{パケットの}1^{分間あたり} の観測数，Y^{軸はそれ以外の}TCP^{パケットの}1分間あたりの観測数である．Da,pはNAPT^環 境にあり，SYNパケットはマルウェアによる送信と判断できる．

図3.4^から，Dp,mは類似する通信傾向にあるのに対し，DaにはDp,mとは異なる傾向を持つ グループがあるのがわかる．D_pは主にSYNパケットの送信数が毎分10回以下のグループに よって構成されている．多くの受動攻撃型マルウェアは多くのセッション数を発生させず，1 分間に数回程度のHTTP通信で悪意ある活動に必要な情報を送受信している．さらに，SYN 以外のTCPパケット数がSYNパケットの約10倍程度という傾向も見られる．これはD_mで も同様の傾向が見られ，受動攻撃型マルウェアによる通信傾向と一般的なクライアントによ る通信傾向は類似していると言える．これに対し，Daは主に2つのグループに分かれている．

0.01 0.1 1 10 100 1000 10000

0.01 0.1 1 10 100 1000 10000 100000

Not SYN packet (packet/minute)

SYN packet (packet/minute) Dm (N=250)

Da (N=484) Dp (N=255)

図3.4: SYN^{パケットとその他の}TCP^{パケットの観測数分布}

一方はSYNパケットの送信が毎分100回以下のグループである．これはIRCによる通信が多 いマルウェアであり，Dp,mと同様の傾向が見られる．一方はSYN^{パケットの送信が毎分}100 回以上観測されているグループである．このグループはSYNパケットの流量が多いだけでは なく，SYN^以外のTCPパケットの流量が少ない傾向が見られ，感染活動のための調査や攻撃 が多いと分かる．

HTTP通信の分析

図3.5^はDp,mの各通信データにおけるHTTP^{通信のサーバ側}IPアドレス数を累積度数分 布によって表している．X軸が通信データごとのIPアドレス数，Y軸が累積度数を割合で示 している．D_p^{はペイロードから}HTTP^{と判定された通信，}D_m^はTCP^ポートが80^番の通信 を抽出し，各通信データのIP^{アドレスを数えた．}

DpとDmを比較すると，Dpの方が全体的に通信先IPアドレスが少ないと分かる．10^種類 以下のIPアドレスと通信している通信データはD_pが80%以上なのに対し，D_mでは60%程 度にとどまっている．このように，受動攻撃型マルウェアによるHTTP^{通信は一般的なクラ} イアントによるHTTP通信より通信先ホスト数が少ない傾向がある．短い間隔で大量のホス トへ接続すると一般のクライアントとは異なる通信傾向として検知されてしまう可能性があ るため，それを防ぐための挙動だと考えられる．

表3.4^と表3.5^は，DpのHTTP要求において出現したパスおよびGET^{要求に含まれる変数}

0 0.1 0.2 0.3 0.4 0.5 0.6 0.7 0.8 0.9 1

0 10 20 30 40 50

Percentage

Unique IP Number

Dp (N=255) Dm (N=250)

図3.5: HTTP^{通信における}IPアドレス数の累積度数分布

名の種類と，出現した通信データ数の上位5件を示している．大部分のパスや変数名は全て の通信データにおいて1度しか出現していない．最も多くの通信データで出現しているルー トディレクトリを示す "/" ^{も全ての通信データの}33%程度であり，受動攻撃型マルウェア に共通した動作であるとは言い難い．

HTTPの要求におけるパスや変数名は，マルウェア作成者がネットワーク監視によるマル ウェア検知を防ぐために，一般的に使用される頻度が高いパスや変数名を多用していると考 えられる．特徴的な要求パスや変数名を利用した場合，ネットワーク型侵入検知システムの シグネチャに記述することで，セキュリティ管理者は容易にマルウェアを検知できる．しか し，受動攻撃型マルウェアは悪意のないWeb^{サイトで多用される}HTTP^{の要求パスや変数名} を利用することで，マルウェアの活動の検知を困難にしている．