Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

サイバー脅威インテリジェンスに基づく検知指標学習とその応用 by 谷口 剛

224 views

Published on

サイバー攻撃の高度化に伴いサイバー脅威インテリジェンス (CTI) を共有して予め対策を検討する重要性が増してきている一方、CTI に含まれる検知指標としての IP アドレスやドメインは攻撃者が短いサイクルで使い捨てる (変更したり,消滅させたりする)。防御側の対策としては、CTI の共有スピードを向上させることにより攻撃者のコストを上げる方向に進んでおり、日々大量の CTI を受信している。結果として、CTI の方も短いサイクルで使い捨てられるような状況となっている.本報告では,日々蓄積されていく CTI を基にした検知指標学習方法を構築し、検知指標が攻撃者によってどのように使われているかを学習する検知指標学習エンジンを実装したので,得られた学習結果について報告する。また、検知指標を学習した結果を組み合わせて再構築し、別のデータソースと組み合わせて中長期的な先回り防御に応用する可能性について検討した内容を報告する。

Published in: Data & Analytics
  • Be the first to comment

サイバー脅威インテリジェンスに基づく検知指標学習とその応用 by 谷口 剛

  1. 1. Copyright 2017 FUJITSU SYSTEM INTEGRATION LABORATORIES LIMITED サイバー脅威インテリジェンスに基づく 検知指標学習とその応用 ~ 大量の脅威情報から宝探し ~ 0 CODE BLUE Day0 – 特別トラック サイバー犯罪対策トラック (2017 年 11 月 8 日) 富士通システム統合研究所 FUJITSU SYSTEM INTEGRATION LABORATORIES LTD. 谷口 剛 Tsuyoshi TANIGUCHI
  2. 2. 大量の脅威情報に眠る宝物 Copyright 2017 FUJITSU SYSTEM INTEGRATION LABORATORIES LIMITED1
  3. 3. サイバー脅威インテリジェンス Cyber Threat Intelligence: CTI 特定の脅威に関する知識を共有す る目的でまとめたレポート Copyright 2017 FUJITSU SYSTEM INTEGRATION LABORATORIES LIMITED2
  4. 4. 従来の CTI: テキストによる共有 Copyright 2017 FUJITSU SYSTEM INTEGRATION LABORATORIES LIMITED ○○というサイバー攻撃では, △△という攻撃者の関与が強く疑われる. 攻撃手法としては□□というマルウェアを使い, IP xx.xx.xx.xx で C&C サーバとの通信が観測. 3
  5. 5. これからの CTI: 機械可読 Copyright 2017 FUJITSU SYSTEM INTEGRATION LABORATORIES LIMITED <タグ 攻撃名> ○○ </ 攻撃名> <タグ 攻撃者> △△ </攻撃者> <タグ 攻撃手法> □□ </攻撃手法> <タグ IP > xx.xx.xx.xx </ IP > 4
  6. 6. STIX (Structured Threat Information eXpression) 形式  CTI の標準の 1 つ  8 つの情報群 からなる Copyright 2017 FUJITSU SYSTEM INTEGRATION LABORATORIES LIMITED IPA 脅威情報構造化記述形式STIX概説 https://www.ipa.go.jp/security/vuln/STIX.html 5
  7. 7. 取り組む課題 大量の CTI に分析者が溺れてしまう AIS (Automated Indicator Sharing) による CTI の共有促進 大量の CTI はゴミになりかねない Copyright 2017 FUJITSU SYSTEM INTEGRATION LABORATORIES LIMITED6
  8. 8. モチベーション 大量の CTI (ゴミ) の中から 攻撃者のことがわかる 特別な CTI (宝物) をみつけ 分析者の手助けをしたい Copyright 2017 FUJITSU SYSTEM INTEGRATION LABORATORIES LIMITED7
  9. 9. 脅威情報からの宝探し イメージ Copyright 2017 FUJITSU SYSTEM INTEGRATION LABORATORIES LIMITED リアルタイム系 CTI ソース その他 分析系 CTI ソース CTI プラットフォーム 宝物(特別な CTI) 8
  10. 10. 検知指標 (indicators)  CTI の要素で攻撃を検知するための指標  検知指標のタイプ  IP アドレス ←今回の対象  ドメイン ←今回の対象  ホスト  E-mail  URL  ハッシュ: MD5, SHA1, SHA256, PEHASH, IMPHASH  … Copyright 2017 FUJITSU SYSTEM INTEGRATION LABORATORIES LIMITED • IP xxx.xxx.xxx.xxx • IP yyy.yyy.yyy.yyy • IP zzz.zzz.zzz.zzz 未識別(新規) 継続利用 使い回し 9
  11. 11. ほとんどの検知指標 (攻撃インフラ) は使い捨て Copyright 2017 FUJITSU SYSTEM INTEGRATION LABORATORIES LIMITED 80% > 使い捨て 本研究ではこちらに注目 10
  12. 12. 本研究における仮説 攻撃者の残した痕跡は CTI 上の検知指標に表れる 以下の 3 種類の検知指標の区別 使い捨て 長寿命 使い回し Copyright 2017 FUJITSU SYSTEM INTEGRATION LABORATORIES LIMITED11
  13. 13. 検知指標学習結果の使い方 イメージ Copyright 2017 FUJITSU SYSTEM INTEGRATION LABORATORIES LIMITED リアルタイム系 CTI ソース ブラックリスト (検知リスト) 分析系 CTI ソース ほとんどの場合,すぐに消滅 するものの,対処は必要 CTI プラットフォーム 特別な IP やドメイン 大量の(未認識の) リアルタイム検知指標 別対処,さらなる 分析へ 検知指標 DB 12
  14. 14. CTI に基づく検知指標学習 予告 ディープラーニングやクラスタリングの話 ではございません Copyright 2017 FUJITSU SYSTEM INTEGRATION LABORATORIES LIMITED13
  15. 15. 1.大量の脅威情報に眠る宝物 CTI STIX ゴミ 宝物 Copyright 2017 FUJITSU SYSTEM INTEGRATION LABORATORIES LIMITED14
  16. 16. 宝箱の中身 Copyright 2017 FUJITSU SYSTEM INTEGRATION LABORATORIES LIMITED15
  17. 17. 実例1 (1/2):スパムメール Copyright 2017 FUJITSU SYSTEM INTEGRATION LABORATORIES LIMITED Hi xxxxxx, Congratulations! You have access to your free trading cash! The money is sitting and waiting in your account now. Access Here Now Thanks again Dennis Mcclain http://sectorservices[.]com[.]br/ components/com_tz_portfolio/v iews/gallery/tmpl/ 187.17.111[.]105 DNS 16
  18. 18. 検知指標 DB 実例1 (2/2):検知指標学習の利用 Copyright 2017 FUJITSU SYSTEM INTEGRATION LABORATORIES LIMITED 187.17.111[.]105 17
  19. 19. 実例2 (1/2):Kelihos ボットネット Copyright 2017 FUJITSU SYSTEM INTEGRATION LABORATORIES LIMITED 1 月 2 月 3 月 4 月 5 月 6 月 7 月 8 月 9 月 10 月 11 月 12 月 2015 年 Kelihos ボットネットの検知指標 (IP アドレス)の生存期間 11 (/ 39,937) 個 が 46 週以上 97.5% が 4 週 以内に消滅 xx.xx.xx.41: 4/13 - 4/14 xx.xx.xx.42: 3/16 xx.xx.xx.46: 3/28 - 6/19 xx.xx.xx.47: 3/8 - 3/13 xx.xx.xx.48: 5/21 - 5/22 xx.xx.xx.51: 5/1 - 6/14 18
  20. 20. 実例2 (2/2):Kelihos ボットネット Copyright 2017 FUJITSU SYSTEM INTEGRATION LABORATORIES LIMITED 宝物が埋もれてる 19
  21. 21. 実例3:攻撃傾向推定 Copyright 2017 FUJITSU SYSTEM INTEGRATION LABORATORIES LIMITED 長寿命タイプ → ダウンローダ使い捨てタイプ → ボットネット,DGA 等 20
  22. 22. 実例4 (1/2):悪性活動に潜在的に利用されうる IP アドレ ス監視 Copyright 2017 FUJITSU SYSTEM INTEGRATION LABORATORIES LIMITED 2014 at present 2015 2016 GameOverZeus Sality CryptoWall Tinba DGA 21
  23. 23. 実例4 (2/2):パッシブ DNS サービスによる検証  Passive Total by RiskIQ Copyright 2017 FUJITSU SYSTEM INTEGRATION LABORATORIES LIMITED CTI による学習期間 ロッキースパム (2016 年 6 月) 4 (3rd) → 19 (4th) → 209 (5th) 398 (20th) → 573 (21st) → 584 (22nd) 22
  24. 24. 2. 宝箱の中身 長寿命検知指標 攻撃の傾向 先回り防御 Copyright 2017 FUJITSU SYSTEM INTEGRATION LABORATORIES LIMITED23
  25. 25. 宝探しのやり方 Copyright 2017 FUJITSU SYSTEM INTEGRATION LABORATORIES LIMITED24
  26. 26. CTI (の検知指標)は偏ったデータの集合  CTI の検知指標の学習で困ったこと:偏りだらけ  機械学習では学習データの統計情報を未来にも同様に仮定するが...  特定のマルウェア(キャンペーン)に依存した CTI の量の偏り  Ex. WannaCry, Petya, Bad Rabbit  検知指標の質の偏り  ほとんどが新規(未識別) or 一部の大量の CTI と関連する検知指標  攻撃の質の偏り(違い)  ボットネット (ばらまき,無差別系) or APT (標的型) Copyright 2017 FUJITSU SYSTEM INTEGRATION LABORATORIES LIMITED25
  27. 27. 検知指標学習 一般的なアルゴリズムをそのまま適用するだけではダメ 多数派:使い捨て 急上昇:ボットネット等で大量の使い捨て 分類識別:ほとんどの検知指標はマルウェアを同定可能 宝探し:レアなパターン(宝物)をあぶりだす問題に帰着 全ての CTI を対象に闇雲に宝探しをしても宝は見つか らない Copyright 2017 FUJITSU SYSTEM INTEGRATION LABORATORIES LIMITED26
  28. 28. 検知指標学習の構成 Copyright 2017 FUJITSU SYSTEM INTEGRATION LABORATORIES LIMITED CTI データソース1 サブグループ 1 サブグループ 2 サブグループ i⋯ 前処理 検知指標学習 検知指標 DB CTI データソース2 CTI データソース3 27
  29. 29. 前処理 基本的には STIX 形式を想定し, XML パーサを利用 Copyright 2017 FUJITSU SYSTEM INTEGRATION LABORATORIES LIMITED <stix:STIX_Package …> <stix:STIX_Header> … </stix:STIX_Header> <stix:Observables…> … <cybox:Title> IP addresses </cybox:Title> … <AddressObj:Address_Value> xxx.xxx.xxx.xxx </AddressObj:Address_Value> … <cybox:Title>Cerber IP addresses </cybox:Title> … <AddressObj:Address_Value> yyy.yyy.yyy.yyy </AddressObj:Address_Value> … </stix:Observables> <stix:STIX_TTPs> … <ttp:Title> … </ttp:Title> … </stix:STIX_TTPs> <stix:Campaigns> … <campaign:Title> Campaign1 </campaign:Title> … </stix:Campaigns> … 28
  30. 30. CTI のサブグループ化 Copyright 2017 FUJITSU SYSTEM INTEGRATION LABORATORIES LIMITED • IP 1-1 • IP 1-2 • Domain 1-1 • ⋯ Subgroup1 - GOZ CTI データソース1 前処理 CTI データソース2 CTI データソース3 • IP 2-1 • IP 2-2 • Domain 2-1 • ⋯ ⋯ • IP i-1 • IP i-2 • Domain i-1 • ⋯ 時系列 • IP 1-1 • IP 1-2 • Domain 1-1 • ⋯ Subgroup2 - Upatre • IP 2-1 • IP 2-2 • Domain 2-1 • ⋯ ⋯ • IP i-1 • IP i-2 • Domain i-1 • ⋯ 時系列 • IP 1-1 • IP 1-2 • Domain 1-1 • ⋯ Subgroup3 - Kelihos • IP 2-1 • IP 2-2 • Domain 2-1 • ⋯ ⋯ • IP i-1 • IP i-2 • Domain i-1 • ⋯ 時系列 • IP 1-1 • IP 1-2 • Domain 1-1 • ⋯ Subgroup4 - Pony • IP 2-1 • IP 2-2 • Domain 2-1 • ⋯ ⋯ • IP i-1 • IP i-2 • Domain i-1 • ⋯ 時系列  GameOverZeus, Upatre, Kelihos, Pony, Locky, Domain Generation Algorithm, Dridex, DyreTrojan, Cryptowall, Sality, Tinba, Torrent, KOL, Madness, APT28, APT10, Fallout, Lazarus, WannaCry, Petya 29
  31. 31. 検知指標生存期間学習 CTI における検知指標としてどの程度の期間記述され続けるか Copyright 2017 FUJITSU SYSTEM INTEGRATION LABORATORIES LIMITED • IP 1 • IP 2 CTI at 2/1 CTI at 2/8 CTI at 2/15 CTI at 2/22 特定のマルウェアに関する CTI • IP 1 • IP 3 • IP 1 • IP 4 • IP 1 30
  32. 32. 実例2 (1/2):Kelihos ボットネット Copyright 2017 FUJITSU SYSTEM INTEGRATION LABORATORIES LIMITED 1 月 2 月 3 月 4 月 5 月 6 月 7 月 8 月 9 月 10 月 11 月 12 月 2015 年 Kelihos ボットネットの検知指標 (IP アドレス)の生存期間 11 (/ 39,937) 個 が 46 週以上 97.5% が 4 週 以内に消滅 xx.xx.xx.41: 4/13 - 4/14 xx.xx.xx.42: 3/16 xx.xx.xx.46: 3/28 - 6/19 xx.xx.xx.47: 3/8 - 3/13 xx.xx.xx.48: 5/21 - 5/22 xx.xx.xx.51: 5/1 - 6/14 31
  33. 33. 検知指標の重みづけ  複数のサブグループ間で IP アドレスとドメインを比較  Contrast Set Mining [Bay et.al 2001]  Emerging Patterns [Dong and Li 1999] Copyright 2017 FUJITSU SYSTEM INTEGRATION LABORATORIES LIMITED itemset A 32 DB 1 DB 2 同定可能 itemset A 出現なし IP,ドメイン マルウェア, キャンペーン
  34. 34. 複数マルウェアで使い回される IP アドレス  99% 以上:単独のサブグループ  1% 未満: 複数のサブグループ Copyright 2017 FUJITSU SYSTEM INTEGRATION LABORATORIES LIMITED 456 / 58048: 0.79% 33
  35. 35. ユースケース3 (1/2):悪性活動に潜在的に利用されうる IP アドレス監視 Copyright 2017 FUJITSU SYSTEM INTEGRATION LABORATORIES LIMITED 2014 at present 2015 2016 GameOverZeus Sality CryptoWall Tinba DGA 34
  36. 36. まとめ 1. CTI には宝物が眠っている 2. 宝探しには有能なガイドが必 要だ Copyright 2017 FUJITSU SYSTEM INTEGRATION LABORATORIES LIMITED35
  37. 37. 36

×