Diese Präsentation wurde erfolgreich gemeldet.
Wir verwenden Ihre LinkedIn Profilangaben und Informationen zu Ihren Aktivitäten, um Anzeigen zu personalisieren und Ihnen relevantere Inhalte anzuzeigen. Sie können Ihre Anzeigeneinstellungen jederzeit ändern.

5 inoue

  • Als Erste(r) kommentieren

5 inoue

  1. 1. 2009年2月26日 NICT情報通信セキュリティシンポジウム ネットワーク感染型マルウェアは 根絶されたのか? - ネットワークモニタリングの今とこれから - 井上大介 情報通信研究機構 情報通信セキュリティ研究センター インシデント対策グループ 1
  2. 2. 多様化する感染経路 • ファイル感染型 – exe, bat, doc, xls, etc… • 電子メール添付型 – 電子メールの添付ファイルとして拡散 – 標的型攻撃 • リモートエクスプロイト型(ネットワーク感染型) – インターネット上でスキャン→脆弱性攻撃→感染 – Code Red, Slammer, Blaster, etc… • Web媒介型 – SQLインジェクションでWebコンテンツを改竄 – ブラウザの脆弱性を突いて感染 • P2P媒介型 – Winny, Shareネットワーク上で拡散 • リムーバブルメディア媒介型 – USBメモリの autorun.inf で自動起動して拡散
  3. 3. Q&A Q: ネットワーク感染型マルウェアは根絶されたのか? A: 根絶されていません! むしろ大流行中…
  4. 4. ネットワークモニタリングの今 • リアルネットモニタリング – “点”防御のためのモニタリング  IDS (Intrusion Detection System)  IPS (Intrusion Prevention System)  WAF (Web Application Firewall) etc… • ダークネットモニタリング – “面”防御のためのモニタリング
  5. 5. ダークネットとは • 実ホストが存在しない未使用IPアドレス(ブロック) • ダークネットに届くパケットは – マルウェア(リモートエクスプロイト型)によるスキャン リモートエクスプロイト型 – マルウェア本体の感染行為(主にUDP) – DoS攻撃のBackscatter – 設定ミス sc an などが原因。 • インターネット上で広範囲に影響を Darknet 与える攻撃の把握に役立つ。 r tte s ca k b ac 5
  6. 6. ダークネット観測:3つのセンサ • ブラックホールセンサ – 無応答 – 運用コスト:低 大規模性 – センサ検出耐性:高 • 低インタラクションセンサ ブラックホール センサ – OSの脆弱性をエミュレートして応答 – 運用コスト:中 低インタラクション センサ – センサ検出耐性:低 高インタラクション • 高インタラクションセンサ センサ – 実マシンもしくはそれに準じた応答 情報の深度 – 運用コスト:高 – センサ検出耐性:中
  7. 7. ダークネット観測プロジェクト(海外) • Network Telescope – 米 CAIDA – 16万アドレス以上のダークネットを観測 • Internet Motion Sensor (IMS) – 米 ミシガン大 – 1700万アドレス以上の大規模ダークネットを観測 – TCP SYNパケットの一部にSYN-ACKを応答 [ Network Telescope ] • Leurre.com – 仏 Eurecom – 世界各国に分散配置したハニーポットによる観測 [ Leurre.com ] – センサ:Honeyd (v1.0) -> SGNET (v2.0) • REN-ISAC – 米 インディアナ大 – Internet2のダークネットトラフィックを観測 • Internet Storm Center (ISC) – 米 SANS [ REN-ISAC ] – 50万アドレス以上のファイアウォールログを収集 [ ISC ]
  8. 8. ダークネット観測プロジェクト(国内) • ISDAS – JPCERT/CC • @police – 警察庁 • MUSTAN – IPA [ ISDAS ] • WCLSCAN – MRIほか [ @police ] • nicter – NICT – 12万アドレス以上のダークネットを観測 – ダークネット観測の結果とマルウェア解析の 結果を突合 [ MUSTAN ] [ WCLSCAN ]
  9. 9. /16ブラックホールセンサの観測結果 5,000,000 100,000 1日あたりのユニークホスト数 4,500,000 90,000 Total Number of Packets Total Number of Unique Hosts 1日あたりのパケット数 4,000,000 80,000 3,500,000 70,000 3,000,000 60,000 2,500,000 50,000 2,000,000 40,000 1,500,000 30,000 1,000,000 20,000 平均パケット数: 約2,500,000 500,000 10,000 平均ユニークホスト数: 約32,000 0 0 9/1 9/6 9/11 9/16 9/21 9/26 10/1 10/6 10/11 10/16 10/21 10/26 10/31 11/5 11/10 11/15 11/20 11/25 11/30 Date (Sep - Nov, 2008)
  10. 10. MS08-067 • 2008年10月24日 Microsoft緊急セキュリティ情報 – 同日、セキュリティ更新プログラムをリリース • Microsoft Server Service の脆弱性 – リモートからのバッファオーバーフローが可能 • W32.Downadup (W32/Conficker) – MS08-067の脆弱性を利用(445/tcp) – スキャン→エクスプロイト→コネクトバック – スキャンの速度調整機能 – USBメモリ経由でも感染 10
  11. 11. 445/tcpの観測結果 600,000 4,000 Number of Packets 1日あたりのユニークホスト数 Number of Unique Hosts 3,500 500,000 1日あたりのパケット数 3,000 400,000 2,500 300,000 2,000 1,500 200,000 1,000 100,000 10/24 Windows 緊急アップデート 500 0 0 9/1 9/6 9/11 9/16 9/21 9/26 10/1 10/6 10/11 10/16 10/21 10/26 10/31 11/5 11/10 11/15 11/20 11/25 11/30 Date (Sep - Nov, 2008) 11
  12. 12. Downadupのスキャンの挙動(Type A) A 送信元ポート番号 宛先ポート番号 時間(30秒) 宛先IPアドレス 12
  13. 13. Downadupのスキャンの挙動(Type B) B 送信元ポート番号 宛先ポート番号 時間(30秒) 宛先IPアドレス 13
  14. 14. 1日あたりのユニークホスト数 0 500 1,000 1,500 2,000 2,500 3,000 3,500 9/1 9/6 9/11 9/16 9/21 9/26 10/1 Type B 10/6 10/11 10/16 Type A 10/21 Date (Sep - Nov, 2008) 10/26 10/31 11/5 11/10 11/15 11/20 11/25 11/30 スキャンタイプ別 ユニークホスト数(445/tcp)
  15. 15. スキャンタイプ別 パケット数(445/tcp) 600,000 500,000 1日あたりのパケット数 400,000 Type A 300,000 200,000 100,000 Type B 0 10/11 10/16 10/21 10/26 10/31 11/10 11/15 11/20 11/25 11/30 9/11 9/16 9/21 9/26 10/1 10/6 11/5 9/1 9/6 Date (Sep - Nov, 2008)
  16. 16. 重ね合わせると… パケット数でもユニークホスト数でもDownadupが支配的 600,000 3,500 600,000 4,000 1日あたりのユニークホスト数 3,000 3,500 500,000 500,000 1日あたりのパケット数 3,000 2,500 400,000 400,000 2,500 2,000 300,000 300,000 2,000 1,500 1,500 200,000 200,000 1,000 1,000 100,000 100,000 500 500 0 0 0 10/11 10/16 10/21 10/26 11/10 11/15 11/20 11/25 10/31 11/30 9/16 9/21 9/26 10/1 9/11 10/6 11/5 9/1 9/6 9/1 9/6 9/11 9/16 9/21 9/26 10/1 10/6 10/11 10/16 10/21 10/26 10/31 11/5 11/10 11/15 11/20 11/25 11/30 Date (Sep - Nov, 2008)
  17. 17. ネットワークモニタリングのこれから (1/2) • Downadupの教訓から – もう起こらないと思われていた感染爆発再び – 定常的ダークネットモニタリングはこれからも必須 – もっと迅速に、もっと正確に(観測カバレッジの拡張) • “見てるだけ”から“原因追求”へ – 445/tcpが増えました!! So what? – 観測結果とその原因(マルウェア)との対応付け • センサ間連携、センサ多様化 – ブラックホールセンサ、低/高インタラクションセンサの連携 – 標的型、Web媒介型、P2P媒介型マルウェアの観測
  18. 18. ネットワークモニタリングのこれから (2/2) • モニタリング組織間の連携 – 現在は人手による情報共有が主 – 組織間の情報共有の自動化とメタ分析 • IPv6環境を先回り – v6環境ではマルウェアのスキャンはなくなる!? – 生きているv6アドレスリストは攻撃者の財産に? • 研究コミュニティの醸成 – ネットワークモニタリング/分析の研究はデータが命 – 大規模かつ定常的データ収集がハードルに – テストデータ提供機関の設立

×