Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
APTで使用されたバイナリの
相関解析忍術
APTバイナリの起源の識別に関するファジーハッシング技術の効果の評価
ブヘブナ ソマ
サイバー・アナリスト / 開発者, インテル
@bsoman3, bhavna.soman@ {intel.com...
-George P. Burdell
ここで示された意見は発表者のものであり、彼/彼
女の雇用者の意見ではありません。
-Legal
インテルの技術の特徴と利点はシステム構成に依存し、使用可能な状態
のハードウェア、ソフトウェアまたはサービスを...
Agenda
• バックグラウンド
• バイナリをつなぐ方法
• テストデータセットと効果的
な検証方法の取得
• 結果
• 発見されたサンプルクラスタ
• 今回の成果と将来の方向
イ ン シ デ ン ト レ ス ポ ン ス に お け る マ ル ウ ェ ア
属 性 の 重 要 性
• 法執行機関(LEA)とは異なるやり方
• 攻撃者のプロファイルの作成
• 脅威の元となる攻撃者の動機の理解
• ツール, 戦術と手順
•...
悪意あるバイナリの起源を知ることはどんな利点
があるか??
• 過去の動機の解析と勧告の機能を適用することが出来る。
• 共通点のない複数のイベントが1つの写真全体につながる。
• それで、点をつなぐ最適な方法は何であるか?
類 似 す る バ イ ナ リ を つ な ぐ 最 適 な 方 法 は
何 か ? ?
• Imphash— インポートテーブルのmd5 ハッシュ
• マルウェア作者は同じ環境を使用している
• 同一のバイナリ、コンパイラ、など
• ssdee...
手法 :
1. ターゲットキャンペーンに関連したバイナリの断片
的でないデータセットの取得
2. 多くのバイナリの静的/動的解析を用いない効果的な
検証方法の確立
挑戦
データ収集
• 2015年1-3月に発表
• 例: “Project Cobra
Analysis”, “The Desert
Falcon Targeted
Attacks”
• MD5値を抽出
• ウィルストータル上の
悪意あるプログラムの...
相関性の評価
これらはマルウェアに関連するの?
{Actor Names, Campaign
Name, Malware Families,
Aliases}
APT1 APT2
{Actor Names, Campaign
Name, Malware Families,
Aliases}
...
• すべての相関性を見つ
ける方法はなかった
• Imphashは偽陽性が最
も高い
• Sdhashは最高の再現
率
• ssdeepとSDhashはほ
ぼ100%の適合率
結果の概要
再現率 適合率
IMPHASHS
• 408個の正しい相関性
• 172個の偽陽性
• 忠実度の高い真陽性
• 同じ人物による複数のキャンペーンまたがる2つの相関性
• 異なるバージョンの同じマルウェアの間に相関性はない
• キャンペーンのキルチェーンのパーツをまたがる相関性は...
IMPHASH
• 2011年頃のSAVサンプル
• Waterbug Attack groupに使わ
れた
• Turla/Uruborosとしてよく知ら
れている
• ComRAT (Turla Attackers) バージョン
1.5
• 2008年3月...
IMPHASH
• どちらもComRATのサンプル
• それぞれWaterbug Group and Turla
Attackersと関連する
• カーボンマルウェアのサンプル
• Project CobraとThe Waterbug Attack
Group...
IMPHASH
• OP Arid Viperの証明書窃取器とド
ロッパー
• Syrian Opposition Forcesの攻撃者
に使われたVs.ドロッパー
• 知られているリンクや修飾に共通性
はない
• 6つの異なるキャンペーンのバイナ
リ
• 行...
IMPHASH
SSDEEP
• 856個の正しい相関性
• 0個の偽陽性
• 1つの相関性が同じ行為者による接続されたキャンペーンを
見つけた
• 同じマルウェアでマイナーバージョン間のいくつかの相関
性
• キャンペーン中のキルチェーンの部品をまたがる相関性は
なかた
...
SSDEEP
• 2013年のWipbot
• Waterbug attack groupによっ
て使われた
• ComRATのマイナーバージョ
ンにまたがる相関性
• 3年以上の日々の記録
• SAV/Uruborosのサンプル
• Waterbug At...
SSDEEP
• OP Desert Falcon (Kaspersky)
で使われたバックドア
• 630の相関性。平均はだいたい
35.13のスコア
• 2009年に記録された異なるバージョ
ンのカーボンマルウェア
• P r o j e c t C o...
SSDEEP
SSDEEP
偽陽性なし
SDHASH
• 閾値は10
• 1412の正しい相関性
• 3つの偽陽性
• 1つの相関性は同じ行為者のつながったキャンペーンを見つけた
• 同じマルウェアのマイナーバージョン間のいくつかの相関性
• 1つの相関性はキャンペーン内のキルチェインの複数の部品...
SDHASH
• C o b r a キャンペーンのドロッパー,ステージ1,ステージ2,イン
ジェクトのライブラリ間の相関性
• Waterbugグループに使われたカーボンツールと高い類似性
• ベンダーによってでさえ多様になってしまうアンチウィルスラベ
ル...
SDHASH
• OP Desert Falconで使われたバックドア
• Vs. Scanboxサンプル (Anthem attacksとDeep
Pandaに関連していると知られている)
• それらの行為者/キャンペーン/マルウェアファミ
リーの間の未知...
SDHASH
どこに私たちは立つのか
• Imphash, ssdeepまたはSDhash??
• 経路探索のような. 接続を構成する工学的システム
• APTバイナリはコードを再利用するだろう — それら
に対してそれを使う.
• あなたの敵を知るのに損に...
謝意/Q&A/ありがとう!
@bsoman3, bhavna.soman@ {intel.com, gmail.com}
• スライドの改善を手伝ってく
れたクリス・キットとジェフ
・ボエリオ
• セキュリティ白書を執筆する
素晴らしい人々
•...
Upcoming SlideShare
Loading in …5
×

APTで使用されたバイナリの相関解析忍術 by Bhavna Soman

788 views

Published on

マルウェアのバイナリに関する知識と識別は、マルウェアの検知とインシデントへの対応の極めて重要な部分です。MD5 値のみを用いれば、バイナリの同一性を示すのに充分と言われていた時代がありました。かつて行われていたリバースエンジニアリングの解析では、2 つの異なるマルウェアから同じ MD5 値が算出されれば、それらは同一と見なして問題無かったのです。しかし、この数年の間に事態は急速に変化しました。ポリモーフィック型ウイルスの出現により、攻撃者は同じマルウェアのハッシュ値 (MD5 や SHA 系) を簡単に変えることができるようになったのです。サイバー犯罪者や高度な技術を持つ攻撃者は、コードを再利用することで新型のマルウェアを生み出しハッシュ値を変更することによって、防御者が過去の結果を利用してマルウェアを解析することができないようにしました。これにより攻撃者たちが優勢となりました。
近年、2 つのマルウェアのバイナリに類似性があるかどうかを調べる手法として、「類似性計量」の研究が行われています。Imphash、ssdeep、sdhash などがその例です。今回の講演では、解析したデータを用いることにより、APT に関連する検体のコードの類似性を評価するために適した様々な手法を紹介します。本講演では、2015 年 1 月~ 3 月に発生した APT の事案で用いられた検体のバイナリについて考察を行い、3 つの類似性計量のそれぞれを基にしているバイナリのクラスタを作成します。クラスタの正確性を評価し、その結果が示唆する内容から APT と関連するバイナリの起源を特定するために用いる技術の有効性を試験します。本講演の内容は、インシデントに対して効果的な対応を指揮できるように、自身の環境への異なる感染が単一のグループによるものかどうかを特定することを支援し、攻撃者の技術力と動機の過去の解析結果を分析に適用することを可能とします。

Published in: Software
  • Be the first to comment

APTで使用されたバイナリの相関解析忍術 by Bhavna Soman

  1. 1. APTで使用されたバイナリの 相関解析忍術 APTバイナリの起源の識別に関するファジーハッシング技術の効果の評価 ブヘブナ ソマ サイバー・アナリスト / 開発者, インテル @bsoman3, bhavna.soman@ {intel.com, gmail.com} Copyright © Intel Corporation 2015. All rights reserved.
  2. 2. -George P. Burdell ここで示された意見は発表者のものであり、彼/彼 女の雇用者の意見ではありません。 -Legal インテルの技術の特徴と利点はシステム構成に依存し、使用可能な状態 のハードウェア、ソフトウェアまたはサービスを必要とするでしょう。 パフォーマンスはシステム構成によって変化します。絶対的に安全なコ ンピュータシステムは存在しません。あなたのシステムの構築業者また は販売業者と相談して下さい。またはintel.comでより多くのことを知る ことが出来ます。 おことり
  3. 3. Agenda • バックグラウンド • バイナリをつなぐ方法 • テストデータセットと効果的 な検証方法の取得 • 結果 • 発見されたサンプルクラスタ • 今回の成果と将来の方向
  4. 4. イ ン シ デ ン ト レ ス ポ ン ス に お け る マ ル ウ ェ ア 属 性 の 重 要 性 • 法執行機関(LEA)とは異なるやり方 • 攻撃者のプロファイルの作成 • 脅威の元となる攻撃者の動機の理解 • ツール, 戦術と手順 • 使用されている脆弱性のタイプ • 防御のための戦略的投資 • 対応を洗練させる
  5. 5. 悪意あるバイナリの起源を知ることはどんな利点 があるか?? • 過去の動機の解析と勧告の機能を適用することが出来る。 • 共通点のない複数のイベントが1つの写真全体につながる。 • それで、点をつなぐ最適な方法は何であるか?
  6. 6. 類 似 す る バ イ ナ リ を つ な ぐ 最 適 な 方 法 は 何 か ? ? • Imphash— インポートテーブルのmd5 ハッシュ • マルウェア作者は同じ環境を使用している • 同一のバイナリ、コンパイラ、など • ssdeep— 前後関係をきっかけとした区分的なハッシュ • バイトパターンの類似性の測定 • 相同性の識別(場所が異なってもチャンクを識別でき る) • SDhash—ブルームフィルター(確率的データ構造の一つ) • バイトパターンの統計学的に有意な類似性
  7. 7. 手法 : 1. ターゲットキャンペーンに関連したバイナリの断片 的でないデータセットの取得 2. 多くのバイナリの静的/動的解析を用いない効果的な 検証方法の確立 挑戦
  8. 8. データ収集 • 2015年1-3月に発表 • 例: “Project Cobra Analysis”, “The Desert Falcon Targeted Attacks” • MD5値を抽出 • ウィルストータル上の 悪意あるプログラムの 10%超 MD5値 類似性計量 • 各々のバイナリから計 算 • Import hash • ssdeep • SDhash 抽出 計算 APT 白書
  9. 9. 相関性の評価 これらはマルウェアに関連するの?
  10. 10. {Actor Names, Campaign Name, Malware Families, Aliases} APT1 APT2 {Actor Names, Campaign Name, Malware Families, Aliases} 相関性の評価
  11. 11. • すべての相関性を見つ ける方法はなかった • Imphashは偽陽性が最 も高い • Sdhashは最高の再現 率 • ssdeepとSDhashはほ ぼ100%の適合率 結果の概要 再現率 適合率
  12. 12. IMPHASHS
  13. 13. • 408個の正しい相関性 • 172個の偽陽性 • 忠実度の高い真陽性 • 同じ人物による複数のキャンペーンまたがる2つの相関性 • 異なるバージョンの同じマルウェアの間に相関性はない • キャンペーンのキルチェーンのパーツをまたがる相関性はなかった IMPHASH SCORE FREQUENCY
  14. 14. IMPHASH
  15. 15. • 2011年頃のSAVサンプル • Waterbug Attack groupに使わ れた • Turla/Uruborosとしてよく知ら れている • ComRAT (Turla Attackers) バージョン 1.5 • 2008年3月25日に記録 • データ・セット中のRATの他のバー ジョンにはつながっていなかった • Wipbot 2013のサンプル • Waterbug attack Groupによっ て使われた • 2013年10月15日に記録 • Tavdig/WorldCupSec/Tadj Makhal として参照された IMPHASH
  16. 16. IMPHASH
  17. 17. • どちらもComRATのサンプル • それぞれWaterbug Group and Turla Attackersと関連する • カーボンマルウェアのサンプル • Project CobraとThe Waterbug Attack Groupに関連している IMPHASH
  18. 18. IMPHASH
  19. 19. • OP Arid Viperの証明書窃取器とド ロッパー • Syrian Opposition Forcesの攻撃者 に使われたVs.ドロッパー • 知られているリンクや修飾に共通性 はない • 6つの異なるキャンペーンのバイナ リ • 行為者またはマルウェアファミリー の共通性はない. • キルチェーンの異なる部品 IMPHASH
  20. 20. IMPHASH
  21. 21. SSDEEP
  22. 22. • 856個の正しい相関性 • 0個の偽陽性 • 1つの相関性が同じ行為者による接続されたキャンペーンを 見つけた • 同じマルウェアでマイナーバージョン間のいくつかの相関 性 • キャンペーン中のキルチェーンの部品をまたがる相関性は なかた SSDEEP SCORE FREQUENCY
  23. 23. SSDEEP
  24. 24. • 2013年のWipbot • Waterbug attack groupによっ て使われた • ComRATのマイナーバージョ ンにまたがる相関性 • 3年以上の日々の記録 • SAV/Uruborosのサンプル • Waterbug Attack groupによっ て使われた • 2013年のタイムスタンプ SSDEEP
  25. 25. SSDEEP
  26. 26. • OP Desert Falcon (Kaspersky) で使われたバックドア • 630の相関性。平均はだいたい 35.13のスコア • 2009年に記録された異なるバージョ ンのカーボンマルウェア • P r o j e c t C o b r a と Wa t e r b u g キ ャ ン ペ ー ン か ら 。 SSDEEP
  27. 27. SSDEEP
  28. 28. SSDEEP 偽陽性なし
  29. 29. SDHASH
  30. 30. • 閾値は10 • 1412の正しい相関性 • 3つの偽陽性 • 1つの相関性は同じ行為者のつながったキャンペーンを見つけた • 同じマルウェアのマイナーバージョン間のいくつかの相関性 • 1つの相関性はキャンペーン内のキルチェインの複数の部品にまたが る SDHASH SCORE FREQUENCY
  31. 31. SDHASH
  32. 32. • C o b r a キャンペーンのドロッパー,ステージ1,ステージ2,イン ジェクトのライブラリ間の相関性 • Waterbugグループに使われたカーボンツールと高い類似性 • ベンダーによってでさえ多様になってしまうアンチウィルスラベ ル • sdhashによってのみ作られた相関性 • SAV/Uruborosサンプル • 2013年の3か月以上記録された30個 の異なるバイナリー SDHASH
  33. 33. SDHASH
  34. 34. • OP Desert Falconで使われたバックドア • Vs. Scanboxサンプル (Anthem attacksとDeep Pandaに関連していると知られている) • それらの行為者/キャンペーン/マルウェアファミ リーの間の未知の相関性 • Anthem attackで使われた “HttpBrowser”マルウェア • Carbanakグループによっ て使われた“AmmyAdmin” ツール SDHASH
  35. 35. SDHASH
  36. 36. どこに私たちは立つのか • Imphash, ssdeepまたはSDhash?? • 経路探索のような. 接続を構成する工学的システム • APTバイナリはコードを再利用するだろう — それら に対してそれを使う. • あなたの敵を知るのに損にはならない.
  37. 37. 謝意/Q&A/ありがとう! @bsoman3, bhavna.soman@ {intel.com, gmail.com} • スライドの改善を手伝ってく れたクリス・キットとジェフ ・ボエリオ • セキュリティ白書を執筆する 素晴らしい人々 • APTNotesを制作、維持する @kbandla • 大規模データを提供してくれ るウィルストータル

×