題名 | コールグラフと制御フロー解析によるマルウェアの静的解析と分類 |
著者 | *岩本 一樹 (日本コンピュータセキュリティリサーチ), 和崎 克己 (信州大学大学院工学系研究科) |
Page | pp. 1 - 14 |
Keyword | コンピュータウイルス, マルウェア, 静的解析, 分類, 亜種 |
Abstract | 本研究では,コールグラフとプログラム中の制御フロー解析を組み合わせ,マルウェアを精度良く静的に分類する手法について提案する.本手法の特徴は,マルウェア作成者側による,わずかな改変では検出を回避できない点が挙げられる. 今日,マルウェアは利益目的で作成され大量の亜種が存在する.それらの亜種はアンチウイルスプログラムによる検出を避けるために,わずかに改変されている.その検出を避けるための改変は容易であり,安価で亜種を作ることができる.一般的なマルウェアの検出方法としてパターンマッチ法がある.パターンマッチ法では検査対象となるプログラムにバイト列が含まれているか調べるだけであり,この方法では既存のマルウェアしか発見できない.パターンマッチ法ではマルウェアの解析を行い,そのパターンを作成した者がマルウェアを分類して名前を決定する.解析者の経験に基づいて分類を行うので,誤って分類されることもある. 一方,未知のコンピュータウイルスを検出する方法としてヒューリスティック法がある.ヒューリスティック法では検査対象となるプログラムのコードを分析することで未知のコンピュータウイルスの検出が可能である.しかしヒューリスティック法では誤認という問題がある.またアンチウイルスプログラムのヒューリスティック法では分類まではできない. プログラム解析の手法は,動的解析と静的解析の大きく2つに分類される.まず,プログラムの実行時の動作からマルウェアを検出する方法(動的解析)がある.この方法の問題点は,検査対象のプログラムがマルウェアとして動作するまで検出ができないことである. 他方,プログラムの構造からマルウェアを検出する方法(静的解析)の研究が近年盛んに行われている.静的解析で用いられる方法の1つに,プログラムのコードに対して制御フロー解析を行い,プログラムのコードをグラフ化して比較を行う方法がある.しかしマルウェア全体を制御フロー解析すると巨大なグラフになってしまう.グラフを分割するなど,どのように工夫してグラフの比較を行うかがポイントとなる. 本研究は,マルウェアの検体コードに対して,コールグラフと制御フローの解析に基づいて,多少のコード改変に対する耐性を有しながら,かつ精度良く亜種分類する手法について提案している.実行可能プログラムの構造やコード列の解析に基づく静的解析時に問題となる点として,上位言語での実装は同一であったとしても,コード生成時のコンパイラの最適化設定変更や,異なるコンパイラを利用すること等で,動作が同一のマルウェアであっても異なるコードが生成されており,それらを検出できなかったり分類を誤ってしまうことが挙げられる.このようなコードの違いにも対応できる方法を考える.また静的解析ではマルウェアとは関係ない正常なコードを多く付加することで,プログラム全体のうちのマルウェアのコードの比率を下げて検出を回避する方法がある.これに関しても検討を行う. 具体的にはプログラムを逆アセンブルし,コード内のAPI呼び出しや制御フローを静的解析することで特徴を抽出し,マルウェアの検出と分類を行う.また特徴の共通部分グラフを比較することからもマルウェアの検出と分類を試る.API呼び出しを抽出する方法では,逆アセンブルした結果をコールグラフに沿って解析し,呼び出されているAPIを抽出する.抽出したAPIの並びを1つの配列とみなし,各々のプログラムから求めたこの配列を比較する.結果として各プログラムの違いを数値化することに成功した. 制御フロー解析の結果は巨大なグラフとなるため,単純な比較はできない.従って,各プログラムの関数を1つの単位として関数内部の制御フローが完全に一致するか否かを比較する.一致した関数の比率から各プログラムが一致する割合を求めることができる.制御フロー解析の結果からあるAPIが呼び出されたときに,次に呼び出される可能性のあるAPIを求めてグラフ化した.このグラフの一致するエッジの割合を求めることで各プログラムが一致する割合を求めることができる.またコールグラフと制御フロー解析を組み合わせることでマルウェアが正常に実行された場合のフローを推測し,その実行によって呼び出されるAPIを抽出することでマルウェアの検出と分類が行えるか検討した. 実際のマルウェア検体を対象として,本手法の有効性を確認するための亜種分類試行実験を行った.実験の結果からはAPI呼び出しや制御フローから特徴を抽出し分類することは可能であった.マルウェアの分類ができることで,新たに作られたマルウェアがどの既知のマルウェアに似ているかわかる.それによって機能を推定したり,また解析者が解析を行う上での手がかりとなる.新しいマルウェアの解析にどの解析者を割り当てるのか,また解析を進める方針が早い段階でわかることは,大量の亜種が作られる今日のマルウェア対策にとって大変有用である. |
題名 | セキュリティ検査/対策と連動したPC持出し管理システムの提案 |
著者 | *原田 道明, 植田 武, 撫中 達司 (三菱電機株式会社 情報技術総合研究所) |
Page | pp. 15 - 18 |
Keyword | 企業情報セキュリティ, 計算機管理技術 |
Abstract | 機密情報の不適切な持出しによる情報漏洩を防ぐため,多くの組織が機密持出し管理の強化を図っている. しかしながら,多量のデータやソフトウェアを格納したノートPCの持出しでは,データ暗号化や不要文書の削除,ウイルス対策など多岐にわたるリスク対策が必要となり,人手の作業によるルールの徹底が難しくなっている. 本稿では,エンドユーザの利便性向上と対策漏れの防止を目的として,ノートPC等の持出し/返却時に際したリスク対策状況の検査および対策の自動化機能を備えたPC持出し管理システムを試作した. 本稿では,PC持出し管理のシステム化における要件を整理するとともに,本システムの構成・特長を紹介する. |
題名 | ボット攻撃における加害者PCおよび指令サーバの探索 |
著者 | *竹森 敬祐, 藤長 昌彦, 佐山 俊哉 (KDDI研究所), 西垣 正勝 (静岡大学) |
Page | pp. 19 - 26 |
Keyword | IP探索, アプリケーション探索, ボット, 踏み台, 指令サーバ |
Abstract | 1. 背景 ボット感染PCを踏み台にしたスパムメールやDoS攻撃の送信に対する脅威が高まっている. ボットは,正規の通信プロトコルによる攻撃やコードを頻繁に更新することでIDSやAVで検知し難い問題や,PCに直接的な被害を及ぼさないことでユーザが放置してしまう問題がある.また,指令者,指令を中継するサーバ,指令に従って攻撃する加害者PCなど,役割分担が異なる通信アプリケーションで制御されることで,指令サーバや指令者の特定が困難な問題がある. 2. 提案 そこで本研究では,(i)自身が加害者であることを自己認識する手法,(ii)指令サーバを探索する手法を提案する.この被害者⇒加害者⇒指令サーバを探索するシステム構成を図1に示す. 2.1. 被害者IP/FQDN配信型の加害者探索 攻撃を受けた被害者PCから,攻撃時刻と被害者のIP/FQDNをセンタ局に登録しておき,これを各PCがダウンロードして,自身の通信記録と照合することで踏み台になっていることを自己認識する,ホスト型の加害者PC探索方式を提案する.配信されるIP/FQDNは,IDSやAVのパターンファイルと同じ役割を果たす.図2に,被害者PCのIP/FQDN登録インタフェース(IF)を示す.併せてProtocol,Port,時刻情報も申告することで,加害者PCを絞り込む. 2.2. 指令サーバの探索 加害者PCは,攻撃時刻を参考に,自身の通信先IP/FQDNと通信プロセスをセンタ局に報告する.センタ局では,各地の加害者PCからの報告に共通して現れるIP/FQDNを指令サーバと判定する.その際,信頼できるサーバのIP/FQDN,攻撃用の通信Portを除外する. 図1に示した加害者PCの通信監視部が,ボットの通信状況をモニタした様子を図3に示す.不審な通信アプリケーション(Module)として,^21.tmp.exeがport 25と80への通信を,nbin.exeとEventLogger.exeがport 80への通信を行っている.通信アプリケーションを跨る場合でも,指令サーバを探索できるようになる. 3. おわりに 本研究では,被害者IP/FQDNを配信することで,自身が加害者になっていることを認知できる,クレームドリブンな感染PCの探索方式を提案した.また,加害者の通信情報の提供を促すことで,ボットの通信アプリケーションが変化する場合においても,指令サーバを特定できる探索方式を提案した.これらにより,ボット感染PCが放置され続ける問題,アプリケーションを跨る困難な探索の解決が期待される. |
題名 | ディジタルフォレンジックのための視覚化によるワームの感染経路特定手法 |
著者 | *稲場 太郎, 芝口 誠仁, 川口 信隆 (慶應義塾大学大学院理工学研究科), 重野 寛, 岡田 謙一 (慶應義塾大学理工学部) |
Page | pp. 27 - 34 |
Keyword | ワーム, 感染経路, 視覚化 |
Abstract | 近年,ネットワークワームによる被害が多数報告されてきた.これに対し,脆弱性の補強や事後の法的手段,すなわちディジタルフォレンジックのためにワームの感染経路を特定する需要が高まっている.しかし,感染経路を自動で特定する手法には多くの誤検知が存在するのが現状である.そこで,本論文では自動システムと人の手による解析の融合に注目する.まず自動システムが膨大なネットワークログから大まかな感染経路を特定し,その後視覚化システムを用いて人間が解析を行うことにより誤検知を減らし,精度の高い感染経路特定を目指す.この視覚化においては,ワームの感染経路がツリー状に表示され,解析者がログに対して容易にインタラクションを行えるようになっている. 本手法のプロトタイプを構築し,実際に解析作業を行うユーザ実験によって評価を行った結果,自動検知による誤検知を90%程度削減することに成功し,有用性が示された. |