九州大学学術情報リポジトリ
Kyushu University Institutional Repository
ボットネット構築マルウエアへの異常検知に基づく 対策に関する研究
華, 景煜
九州大学システム情報科学府
https://doi.org/10.15017/25186
出版情報:Kyushu University, 2012, 博士(工学), 課程博士 バージョン:
権利関係:
論文題名 : A Study on Anomaly-Based Countermeasures Against Malware Constructing Botnets
(ボットネット構築マルウエアへの異常検知に基づく対策に関する研究) 論文要旨
ボットネットは、ボットと呼ばれる悪性プログラムに感染したコンピュータの集合で、イン ターネットセキュリティにおける最も大きな問題の一つである。ボットは、攻撃者によって 遠隔制御され、さまざまな攻撃に利用される。ボットネットを構築するために、攻撃者は複 数の技術を組み合わせてマルウェアを作成する必要がある。はじめに、できる限り多くのホ ストにマルウェアを拡散させる。次に、感染させたマルウェアが発見されないように、セキ ュリティ機構を無効化させるような、マルウェア隠蔽を行う。最後に、これらの感染したホ スト群に効果的に命令を送信するチャネルを用意する。本論文では、前述の 3 つのタスクと して利用される、3 つの実際のマルウェア技術について調査し、それらに対する異常検知に 基づく対策手法を提案している。
はじめに、脆弱なホストを探索するために Google 検索を利用する、Google Hacking に ついて述べる。多くのマルウェアがこの技術を用いて拡散時の隠密性と効率を向上させてい る。この手法への対策はほとんどとられておらず、その対策も、単純なクエリのフィルタリ ングを用いており、ゼロデイ攻撃を防ぐ能力を持ち合わせていない。我々は、これらの弱点 を解決する異常検知ベースの Google Hacking 検知システムを提案する。
次に、ボットによく見られるマルウェア隠蔽技術の一つであるルートキットについて研究 する。ルートキットは、OS のカーネルを攻撃することによって、マルウェアのファイルや プロセスを隠蔽するものである。ルートキットはカーネルレベルの権限を不正に利用するこ とで、ユーザレベルやカーネルレベルのセキュリティソフトウェアを簡単に停止させること ができる。この問題に対して、我々は異常検知の技術を用いてカーネルの正当性を検査する 軽量なハイパーバイザを設計した。ハイパーバイザは、OS よりもより高い権限を持ち合わ せており、OS カーネル上のルートキットはこのレイヤーでのセキュリティ対策を無効化で きない。
最後に、ボットに感染した携帯端末を制御するのに用いられる、ショートトメッセージサ ービス(SMS)を利用した指揮統制(C&C)技術について研究する。最近はより多くのマルウェア をスマートフォンに拡散させることで、モバイルボットネットを構築する手法が攻撃者によ って考案されてきている。これまでデスクトップ PC で用いられてきた制御技術は、容易に モバイル環境に適用可能ではあるが、携帯端末に特有の機能である SMS 等が、発見されにく い C&C チャネルとして利用されるようになった。本研究では、ボットネットの C&C として SMS を利用することが効果的であることを示し、これらの技術に対する対策手法を提案する。
