• 検索結果がありません。

概要 マルネットとは マルネットの可視化 マルネットのトラッキングと ネガティブデイディフェンス 2

N/A
N/A
Info
ダウンロード
Protected

Academic year: 2021

シェア "概要 マルネットとは マルネットの可視化 マルネットのトラッキングと ネガティブデイディフェンス 2"

Copied!
35
0
0

読み込み中.... (全文を見る)

今ダウンロードする ( 35 ページ )

全文

(1)

マルネットのトラッキングと可視化

ブルーコートシステムズ

上級マルウェア研究員

クリス・ラーセン

(2)

2 © Blue Coat Systems, Inc. 2011

概要

マルネットとは

マルネットの可視化

マルネットのトラッキングと「ネガティブデイディ

(3)
(4)

4 © Blue Coat Systems, Inc. 2011

Webベースのマルウェアとの戦い

従来の焦点

ペイロード(AV)

Web ページ(フィルター)

悪者が得意なこと:

ペイロードを混乱させる

新しいサイトを作る

この戦いは相手の条件通

りの戦い

「ビッグピクチャー」の焦点

サイトとサーバー

サイトへの経路

ビッグピクチャーを混乱さ

せるのは難しい

悪者の攻撃面を広げる

== 戦いを楽にする

(5)

5 © Blue Coat Systems, Inc. 2011

悪者

悪者はいつもそこにいる

適応し、進化する

「新しい」攻撃のすべてが新しいとは限らない

リソースにも制約がある

移動し、ブランドを変えながら、まだそこにいる

(6)

6 © Blue Coat Systems, Inc. 2011

マルウェアを見つけたら?

おとり

リレー

プリエクスキット

エクスキット

エクスキット

おとり

類似したトラフィックを探す

1- 水平マッピング

2- 垂直マッピング

攻撃の鎖

を上下に

たどる

(1 つのリンクを切る

だけで

…)

「マルネット」

(7)

7 © Blue Coat Systems, Inc. 2011

マルネット

マルネット = マルウェア配信ネットワーク:

悪意あるコンテンツに役立つインフラ

トラフィックをそこに誘導するインフラ

マルネットのメンバーシップ:

悪意あるサイトへの経路

インフラの再利用

そこで、あるアイデアが浮かぶ

課題:マルネットを見えるようにする方法は?

(8)
(9)

9 © Blue Coat Systems, Inc. 2011

(10)

10 © Blue Coat Systems, Inc. 2011

マルネットを可視化する: ツリー図

赤いノード:新しいマルウェアサイト(既知のネットワーク)

白いノード:無関心(既知の/善意の WebAds)

(11)

マルネットのコンポーネント(検索エンジンポイズニング)

(12)

マルネットのコンポーネント(検索エンジンポイズニング)

悪意あるサイト

(13)

13 © Blue Coat Systems, Inc. 2011

(14)

14 © Blue Coat Systems, Inc. 2011

(15)

15 © Blue Coat Systems, Inc. 2011

望ましい結末

悪意あるサイト

中間サイト

(中立または悪意の可能性)

信頼されるサイト(Google、

Yahoo、 Gmail、Facebook、

Twitter...)

(16)

16 © Blue Coat Systems, Inc. 2011

ぼやけてしまった長靴をはいた猫

(17)

17 © Blue Coat Systems, Inc. 2011

(18)
(19)
(20)
(21)

マルネット

のある

1日

(22)

22 © Blue Coat Systems, Inc. 2011

マルネットのサンプル:固有の赤いノード

1

10

100

1000

10000

2011/10/01

2011/10/03

2011/10/05

2011/10/07

2011/10/09

2011/10/11

2011/10/13

2011/10/15

2011/10/17

2011/10/19

2011/10/21

2011/10/23

2011/10/25

2011/10/27

2011/10/29

2011/10/31

2011/11/02

2011/11/04

2011/11/06

2011/11/08

2011/11/10

2011/11/12

2011/11/14

2011/11/16

2011/11/18

2011/11/20

2011/11/22

2011/11/24

2011/11/26

2011/11/28

2011/11/30

Shnakule

Glomyn

Cavka

Naargo

Cinbric

4820

3376

(23)

23 © Blue Coat Systems, Inc. 2011

マルネットのサンプル:赤いノードがある場所

Glomyn

イタリア

100%

Cinbric

中国

100%

Cavka

米国

100%

Naargo

イスラエル

33.33%

ロシア

33.33%

オランダ

33.33%

Shnakule

米国

73.29%

ドイツ

9.39%

オランダ

3.37%

ロシア

3.28%

ラトビア

2.19%

ウクライナ

1.73%

EU

1.64%

中国

1.19%

ルーマニア

1.19%

1%未満の国々:

チェコ共和国、ルクセンブルク、モルドバ、パ

ナマ、英国、香港、台湾、ギリシャ、コスタリカ、

インド、フランス、リトアニア、トルコ、ブラジル、

クロアチア、ブルガリア

(24)

24 © Blue Coat Systems, Inc. 2011

インフラのドリルダウン(単一のマルネット)

マルウェアサーバー

ドイツ

47.73%

オランダ

12.50%

ウクライナ

6.82%

ロシア

6.82%

米国

5.68%

ルーマニア

5.68%

5% 未満の国々:

リトアニア、EU、モルドバ、カ

ザフスタン、台湾、タイ、アゼ

ルバイジャン、英国、ブラジル

SEP & リレー

米国

92.48%

5% 未満の国々:

ドイツ、ラトビア、中国、ロシア、

ルーマニア、オランダ、ポーラ

ンド、ルクセンブルク、フランス、

チェコ共和国、EU

詐欺

ロシア

60.00%

ルーマニア

13.33%

ドイツ

10.00%

ルクセンブルク

6.67%

5% 未満の国々:

米国、ウクライナ、EU

ポルノグラフィー

ドイツ

90.74%

5% 未満の国々:

ルーマニア、オランダ、チェコ

共和国

C & C

ロシア

54.55%

オランダ

27.27%

米国

9.09%

ウクライナ

9.09%

(25)
(26)

26 © Blue Coat Systems, Inc. 2011

マルウェアを見つけたら?

2-D マッピングを思い出す(水平 & 垂直)…

第 3 の次元は 時間

ネットワークのその先をトラッキング したい

どんな種類の攻撃を使用しているかが問題ではない

(ゼロデイエクスプロイトさえ)

ペイロードがどのように暗号化されているか

ドメインがどれだけ頻繁に変わるかは、もう無関係

!

(つまり、悪者が得意としているものはすべて無意味になる)

(27)

27 © Blue Coat Systems, Inc. 2011

MySQL.com のハッキング(9/26)

Krebs のブログ:ハッカーが root ログインを$3000で販売

(ブラックハット eco$ystem の例)

実際の攻撃はごく標準的:

.js ファイルがページ上に iFrameを構築

リンクが “BlackHole” エクスプロイトキットサーバーにリレー

truruhfhqnviaosdpruejeslsuy.cx.cc

エクスプロイトがマルウェアペイロードをダウンロード

(44 の AV エンジンのうち 4 個のみ検知)

マルネットのトラッキング:

エクスキットサーバーネットワークを9月9日から検知

WebPulse™ が9月22日に新しいエクスキットサーバーをフラグ付け

(この攻撃インフラの一部は6か月にわたって使用された)

(28)

28 © Blue Coat Systems, Inc. 2011

MySQL のハッキング(より大局的な図)

http://mysql.com

(攻撃されたサイト)

truruhfhqnviaosdpruejeslsuy.cx.cc

46.16.233.108

erfgkjhasdfcvniiiertolfop.cx.cc

http://4shared.com

http://isohunt.com

(悪意ある広告)

fdxxejzr.cx.cc, …

大量の小規模ブログ

(攻撃された

/コメントスパム)

(29)

29 © Blue Coat Systems, Inc. 2011

(30)

30 © Blue Coat Systems, Inc. 2011

まとめ

マルネット

ユーザのマルウェアに感染させるために利用されるインフラ

マルネットのトラッキング:

ユーザーが「どのようにして」マルウェアに到達するか

個々のマルウェアが「何」かは問わない

可視化は、より深い分析に焦点をあてる

(31)

© Blue Coat Systems, Inc. 2011.

セキュリティのアート

31

(32)

32 © Blue Coat Systems, Inc. 2011

マルネット可視化ソリューション

オープンソースのグラフライブラリー – jung.sourceforge.net

Javaで実装、拡張可能

おそろしく低速だが、マルネットは法外な大きさではない

主要なカスタマイズと拡張:

レイアウトアルゴリズム

ダイナミックトランジション

アニメーション

外観の特殊化(リンク、ノード、ラベル、など)

フレームおよびビデオのキャプチャー

平滑化

自動化された分析とハイライト

(33)

33 © Blue Coat Systems, Inc. 2011

自動化されたマルネット分析

自動化されたアルゴリズムを利用できる

アルゴリズムとテクニックのタイプ:

インターネット分析

– 大規模に対応した情報提供

ソーシャルネットワーク分析

– 小規模に対応した情報提供

中間規模のマルネットは、アルゴリズム/テクニックの両方の

タイプに理想的

33

(34)

34 © Blue Coat Systems, Inc. 2011

インターネット分析アルゴリズム

インターネット分析アルゴリズムの例:

PageRank

Hubs-Authorities (HITS)

Endorsement

Characteristic path length

Link betweenness (Stress)

(35)

35 © Blue Coat Systems, Inc. 2011

ソーシャルネットワーク分析テクニック

ソーシャルネットワーク分析テクニック:

Community structure

Prestige (in degree)

Influence (out degree)

Reciprocity

Centrality

Cliques

Social roles

ハッキングされるサイトは、より有名で影響力が大きいことが

ある

参照

今ダウンロードする ( PDF - 35 ページ - 5.84 MB )

関連したドキュメント

次 世 代 学 校 支 援 事 業

その数は 111 件にのぼり、これらを「学力・体力の向上」 「安心・安全な学校」などのテーマと、 「学 習理解度の可視化」

梅田芸術劇場ネット会員チケットサービス利用規約 第 1 条 :( 梅田芸術劇場ネット会員チケットサービス利用規約の範囲および変更 ) 1. 梅田芸術劇場ネット会員チケットサービス利用規約 ( 以下 梅田芸術劇場ネット会員チケットサービス利用規約 といいます ) は 株式会社梅田芸術劇場 ( 以下 (

(2) 払戻しの要求は、原則としてチケットを購入した会員自らが行うものとし、運営者

郷土学検定

郷土学検定 地域情報カード データーベース概要 NPO

資料 3 防 衛 2022 年 4 20

(⻄廣政府委員)先般、洋上防空研究ということで、護衛隊群として対

財団法人 地 方 債 協 会

「地方債に関する調査研究委員会」報告書の概要(昭和54年度~平成20年度) NO.1 調査研究項目委員長名要

2021 年度 ブルーエコノミーの実践的研究 報告書

笹川平和財団・海洋政策研究所では、持続可能な社会の実現に向けて必要な海洋政策に関する研究と して、2019 年度より

2021年度 経済学研究科 履修心得

経済学研究科は、経済学の高等教育機関として研究者を

東京都キョン防除実施計画 (第3期計画) 令和4年3月 東 京 都

わな等により捕獲した個体は、学術研究、展示、教育、その他公益上の必要があると認められ