• 検索結果がありません。

ソフトウェアセキュリティ研究チーム ポスター・デモ紹介

N/A
N/A
Info
ダウンロード
Protected

Academic year: 2021

シェア "ソフトウェアセキュリティ研究チーム ポスター・デモ紹介"

Copied!
6
0
0

読み込み中.... (全文を見る)

今ダウンロードする ( 6 ページ )

全文

(1)

情報セキュリティ研究センター

Research Center for Information Security

ゼロディ攻撃に対する異常挙動解析と

挿入可能な仮想マシンモニタによるデバイス制御

Windowsのゼロディ攻撃に対して

「振舞いから異常動作を検出」

し、

「仮想マシンモニタ

でのデバイス制御」

をすることより情報漏洩、改竄を防止する

平成20-21年度 経済産業省 新世代情報セキュリティ研究開発事業 (情報通信研究機構との共同提案)

仮想マシンモニタでのデバイス抑制/停止して漏

洩・改竄を防止

③仮想マシンモニタによるデ

バイス制御

USB/CDから仮想マシンモニタを起動するが,仮想

マシンモニタ上でハードディスクのWindowsが普通

に使えるようにする

②仮想マシンモニタインサー

ション

システムコールをフックし,その振舞いを解析する

①Windows上での異常挙動

検出

計画概要

開発項目

① Windows上での異常挙動検出

Windowsのシステムコールをフックしてレジストリ、ファイル、メモリのアクセスをモニタするツールを開発し、挙動

を多角的に解析して異常動作を検出する

②仮想マシンモニタインサーション

USB/CDから仮想マシンモニタを起動するが、ユーザから見れば通常のハード

ディスクWindowsが起動するようにみえる

USB/CD起動→仮想マシンモニタ(管理OS) → Windows on VM (Xen)

レジストリモニタ

ファイルモニタ

メモリモニタ

Windows

SystemCall Hook

フィルタリング

,

振舞い解析

ゼロディ攻撃解析

開発課題: Windowsに仮想マシンモニタを気づかせない

I/O PassThroughの技術を使ってほとんどのデバイスはWindows

が直接アクセス可能にする

CopyOnWriteによる書込み抑制を行うデバイスのドライバ作成

Windowsのシステムコールのテーブル(SDT:

Service Descriptor Table)をドライバロード時

に書換え、フック関数を通るようにする

レジストリモニタ動作図

モニタ類と解析の関係

③仮想マシンモニタによるデバイス制御

仮想マシン上のメモリ内容を変更できるXenDoor、および

ハードウェアイベントの通知を受けるXenPoliceを開発

Hardware (SMP, MMU, physical memory, Ethernet, SCSI/IDE)

Dom0 (XenLinux) Control OS GuestOS (WinXP) Unmodified User Software

Xen Virtual Machine Monitor

CR3 Page Tables CR3 Page Tables Shadow Page XenDoor map/read/write memory XenPolice monitor memory write/exec Monitor hardware event Xen API (libxc, libxs)

Unmodified User Software Interrupt HyperCall

OS

USB/CD

ブート

ローダからイン

サート

NIC

VMMの挿入が

認知されない

VMM

CopyOnWrite

OS

既存

OS

CPU

ゼロディ攻撃

OS

CPU

VMM

ブートローダから インサート 挙動解析 システムコールのフックによ る振舞い監視 ・ファイルモニタ ・レジストリモニタ ・メモリモニタ 挙動解析 ・メモリ監視 対策 ・ネットワーク停止 ・HDの書込み仮想化 ・デバイス制御

仮想マシンモニタを挿入

した異常挙動解析と対策

HyperCallによる通信

NIC

情報漏洩 改竄

NIC

連携

フック関数

引数解析

SystemCall

書換え

・・・ ・・・ ZwCreateKey ZwDeleteKey ZwDeleteValueKey ZwEnumerateKey ZwEnumerateValueKey ZwQueryKey ZwQueryValueKey ZwSetValueKey ・・・ ・・・ SDT ZwCreateKey

B8 29 00 00 00mov eax,29h <- eaxにインデックスをコピー

8D 54 24 04 lea edx,[esp+4] 9C pushfd 6A 08 push 8 E8 30 1C 00 00 call 00407631 <-システムコール呼び出し C2 1C 00 ret 1Ch ZwQueryKey B8 A0 00 00 00 mov eax,0A0h 8D 54 24 04 lea edx,[esp+4] 9C pushfd 6A 08 push 8 E8 E4 12 00 00 call 00407631 C2 14 00 ret 14h ZwQueryValueKey B8 B1 00 00 00 mov eax,0B1h 8D 54 24 04 lea edx,[esp+4] 9C pushfd 6A 08 push 8 E8 90 11 00 00 call 00407631 C2 18 00 ret 18h

書換えられた

SDT

を読込み

須崎有康 (ソフトウェアセキュリティ研究チーム)

(2)

ゼロディ攻撃に対する異常挙動解析と

挿入可能な仮想マシンモニタによるデバイス制御

ゼロディ攻撃に対する異常挙動解析と

挿入可能な仮想マシンモニタによるデバイス制御

情報セキュリティ研究センター (RCIS)

ソフトウェアセキュリティ研究チーム

須崎有康

情報セキュリティ研究センター (RCIS)

ソフトウェアセキュリティ研究チーム

須崎有康

(3)

研究概要

研究概要

• Windowsのゼロディ攻撃に対して

「振舞いから異常動作を検出」

し、

「仮想マシンモニタでデバイス制御」

することより情報漏洩、

改竄を防止する

平成20-21年度 経済産業省 新世代情報セキュリティ研究開発事業

情報通信研究機構(NICT)との共同提案

開発項目

① Windows上での異常挙動検出

② 仮想マシンモニタインサーション

③ 仮想マシンモニタによるデバイス制御

OS

既存OS

CPU

ゼロディ攻撃

OS

CPU

VMM

ブートローダか

らインサート

挙動解析

システムコールのフックによる

振舞い監視

・ファイルモニタ

・レジストリモニタ

・メモリモニタ

挙動解析

・メモリ監視

対策

・ネットワーク停止

・HDの書込み仮想化

仮想マシンモニタを挿入し

た異常挙動解析と対策

HyperCallによる通信

NIC

情報漏洩

改竄

NIC

(4)

①Windows上での異常挙動検出

①Windows上での異常挙動検出

• Windowsのシステムコールをフックしてレジストリ、ファイル、

メモリのアクセスをモニタするツールを開発し、挙動を多角的

に解析して異常動作を検出する

レジストリモニタ

ファイルモニタ

メモリモニタ

Windows

systemCall Hook

フィルタリング, 振舞い解析

ゼロディ攻撃解析

H20

H21

今後の開発

– 異常動作の振舞いをシーケンスから検出

• 例: GetProcAddress -> kernel32dll -> Loadlibrary -> URLdownload

– 振舞いのシーケンスが既知の場合、シーケンスを外れた時に異常動作と検出

(5)

②挿入可能な仮想マシンモニタ

②挿入可能な仮想マシンモニタ

• 既存のWindowsで簡単に採用できるように外部から挿

入(インサーション)できる仮想マシンモニタを開発

– USB起動→仮想マシンモニタ(管理OS) → Windows on VM

• USB/CDから仮想マシンモニタを最初に起動するが、最終的にはハー

ドディスクのWindowsが起動する。ユーザから見れば通常のWindows

が使うことができる。

OS

USB/CDブート

ローダからイン

サート

NIC

I/O PassThrough

VMMの挿入が

認知されない

VMM

CopyOnWrite

– 仮想マシンモニタは独自のデバイスモデルを

持つが、I/O PassThrough (Intel VT-d,

AMD IOMMU)を使ってデバイスの直接アク

セス可能にする。制御が必要なデバイスは

仮想化する。

(6)

③仮想マシンモニタによるデバイス制御

③仮想マシンモニタによるデバイス制御

• 異常を検知した場合、仮想マシンモニタがネットワークやハー

ドディスクの抑制・制御を行う。

– 仮想マシン上のメモリ内容を変更できるXenDoor、およびハードウェア

イベントの通知を受けるXenPoliceを開発

– このツールを使ってネットワークのフィルタリングやCopyOnWriteなど

の機能を統合

Hardware (SMP, MMU, physical memory, Ethernet, SCSI/IDE)

Dom0

(XenLinux)

Control OS

GuestOS

(WinXP)

Unmodified

User

Software

Xen Virtual Machine Monitor

CR

3

Page Tables

CR

3

Page Tables

Shadow Page

XenDoor

map/read/write memory

XenPolice

monitor memory write/exec

Monitor hardware event

Xen API (libxc, libxs)

Unmodified

User

Software

Interrupt

HyperCall

参照

今ダウンロードする ( PDF - 6 ページ - 776.39 KB )

関連したドキュメント

2010年度教育開発センター活動報告 2010年度教育開発センター活動報告

ビジネス研究科、言文センターの事例を紹介している。いずれも、普段なかなか知

キッズ タフ デジタルカメラつかかたの使い方

カメラをコンピュータにつなげるときは、次 つぎ の機 き 能 のう のコンピュータが必 ひつよう 要です。..

著者 川村 満紀, 竹内 勝信, 杉山 彰徳

本研究の目的は,外部から供給されるNaCIがアルカリシリカ反応によるモルタルの

原稿作成日 : 2019 年 3 月 29 日 デュアルユース : 研究がもたらす影響の多様性 < 教材提供 > AMED 支援 国際誌プロジェクト 提供 無断転載を禁じます

所・ウィスコンシン大学マディソン校の河岡義裕らの研究チームが Nature に、エラスムス

青年用疲労自覚症状尺度の妥当性の検討

既存の尺度の構成概念をほぼ網羅する多面的な評価が可能と考えられた。SFS‑Yと既存の

1/12 システムの動作環境 標準宅地鑑定評価システム 2023 インストール手順書 2022 年 8 月吉日 ( 有 ) トポロジー [1] 基本ソフトウェア (OS) Windows10 以上すべて日本語版 [2] メモリ 2GB 以上 (64bit OS)/1GB 以上 (32bit OS)

デスクトップまたはスタートボタンの“プログラム”に 標準宅地鑑定評価システム 2023 のショートカ

#A1 INTEGERS 14 (2014) UPPER AND LOWER BOUNDS ON B

Erd˝ os, Some problems and results on combinatorial number theory, Graph theory and its applications, Ann.. New

OSから解析可能な無線通信端末の消費電力モデルとその生成手法

demonstrate that the error of our power estimation technique is on an average 6% compared to the measured power results.. Once the model has been developed,