12. 検証項目 (仮説)
既知の悪性ドメインの挙動
攻撃者が DNS を使っていれば,痕跡が残る
痕跡のタイプは分類可能
挙動の予測をするための手掛かりも残されている
Copyright 2018 FUJITSU SYSTEM INTEGRATION LABORATORIES LIMITED11
13. ケーススタディ (1/2)
Copyright 2018 FUJITSU SYSTEM INTEGRATION LABORATORIES LIMITED
type: pe, positives: 6+, sources: 5+,
first seen: from 21st May to 22nd May 2018
VirusTotal
400
Samples
Sandbox
(cuckoo)
Collect
Run
108
Domains
Detect
Filtering
White List
43
Malicious Domains
新規検体が通信した悪性ドメインの検証
12
15. 結論
悪性ドメインは DNS 上の履歴を基に以下のように分類可能
長期生存 or 短期消滅
新規活動 or 以前から履歴あり
悪性ドメインの挙動は攻撃者の行動に依存
最近共有された脅威情報も確認が必要
Copyright 2018 FUJITSU SYSTEM INTEGRATION LABORATORIES LIMITED14
16. 講演内容
検知指標診断システムの概要
既知の悪性ドメインの何を診断するのか?
静的な脅威分析: Passive DNS
動的な脅威分析: Active DNS
動的な DNS 監視と静的な DNS 監視の融合
ケーススタディ
1. ウイルス検体から入手した悪性ドメイン診断
2. APT 攻撃に関するサイバー脅威インテリジェンスから入手した悪性ドメイン診断
3. 考察:検知指標診断システムの制限事項
まとめ
Copyright 2018 FUJITSU SYSTEM INTEGRATION LABORATORIES LIMITED15
17. 既知の悪性ドメインの何を診断するのか?(1/2)
Copyright 2018 FUJITSU SYSTEM INTEGRATION LABORATORIES LIMITED
xxx.xxx.com
(既知の悪性ドメイン)
検知指標診断
システム
使い古し
Inactive
Status? (現状)
How long? (生存期間)
When? (いつから,鮮度)
Active
新鮮
長寿 短命
or
or
or
16
19. アプローチ:動的・静的な DNS フォレンジック
Copyright 2018 FUJITSU SYSTEM INTEGRATION LABORATORIES LIMITED
DNS
ブラック
リスト
(CTI)
xxx.xxx.com
xxx.xxx.com
IN A a.a.a.a
現在 未来過去
DNS サーバ
Passive DNS
動的:Active DNS
現状はどうか
静的:Passive DNS 今までどうだったか
これからどのような
挙動を示しそうか
クエリベースの痕跡
DNS 上における既知の悪性ドメインの挙動の検証
18
20. Domain Name System (DNS)
Copyright 2018 FUJITSU SYSTEM INTEGRATION LABORATORIES LIMITED
ルート DNS
サーバ
TLD (top level domain) サーバ
.jp, .com, .org, .net
権威 DNS
サーバ1
権威 DNS
サーバ2
19
21. DNS における名前解決の流れ
Copyright 2018 FUJITSU SYSTEM INTEGRATION LABORATORIES LIMITED
ルート DNS
サーバ
.com
DNS サーバ
fujitsu.com
DNS サーバ
キャッシュ
サーバ
ユーザ
権威サーバ
fujitsu.com の IP アドレス?
80.70.173.142
fujitsu.com ?
fujitsu.com ?
fujitsu.com ?
.com の DNS
fujitsu.com の DNS
80.70.173.142
20
23. Passive DNS: passive DNS
replication [Weimer, Florian, 2005]
DNS 応答パケットを監視し,収集
Active DNS と Passive DNS の概要
Copyright 2018 FUJITSU SYSTEM INTEGRATION LABORATORIES LIMITED
ルート DNS
サーバ
.com
DNS サーバ
fujitsu.com
DNS サーバ
キャッシュ
サーバ
ユーザ
権威サーバ
Active DNS: Thales [Kountouras,
Athanasios et al., 2016]
DNS クエリを送信し,データを能動的に収集
センサ
22
24. 動的な DNS 監視と静的な DNS 監視の融合
Copyright 2018 FUJITSU SYSTEM INTEGRATION LABORATORIES LIMITED
キャッシュ
サーバ
ユーザ
権威サーバ
センサ
Passive DNSPassive DNS Analyzer
ブラック
リスト
ポイント①
既知の悪性ドメイン
を種とする
ポイント②
現時点の生存確認
ポイント③
DNS の履歴学習
23
26. 講演内容
検知指標診断システムの概要
既知の悪性ドメインの何を診断するのか?
静的な脅威分析: Passive DNS
動的な脅威分析: Active DNS
動的な DNS 監視と静的な DNS 監視の融合
ケーススタディ
1. ウイルス検体から入手した悪性ドメイン診断
2. APT 攻撃に関するサイバー脅威インテリジェンスから入手した悪性ドメイン診断
3. 考察:検知指標診断システムの制限事項
まとめ
Copyright 2018 FUJITSU SYSTEM INTEGRATION LABORATORIES LIMITED25
27. 引用:データソース
Passive DNS
DNSDB
Farsight Security
https://www.dnsdb.info/
Active DNS (キャッシュ DNS)
Google: Google Public DNS (8.8.8.8)
Cloudflare: Global Authoritative DNS (1.1.1.1)
ウイルス検体
Virus Total
https://www.virustotal.com/ja/
サイバー脅威インテリジェンス (CTI)
Open Threat Exchange
Alien Vault
https://www.alienvault.com/open-threat-exchange
Copyright 2018 FUJITSU SYSTEM INTEGRATION LABORATORIES LIMITED26
29. マルウェアが通信した悪性ドメイン
Copyright 2018 FUJITSU SYSTEM INTEGRATION LABORATORIES LIMITED
type: pe, positives: 6+, sources: 5+,
first seen: from 21st May to 22nd May 2018
VirusTotal
400
Samples
Sandbox
(cuckoo)
Collect
Run
108
Domains
Detect
Filtering
White List
43
Malicious Domains
28
32. 試行錯誤: Active DNS
Copyright 2018 FUJITSU SYSTEM INTEGRATION LABORATORIES LIMITED
ここまでは dig さえインストールすれば,簡単に実施可能
31
33. 単数 A レコード dig 実行例 (出力の一部)
Copyright 2018 FUJITSU SYSTEM INTEGRATION LABORATORIES LIMITED
;; QUESTION SECTION:
;auth-rambler.com. IN A
;; ANSWER SECTION:
auth-rambler.com. 599 IN A 185.212.128.37
A レコードが1つ
32
34. 単数 A レコード: Active DNS の結果
Copyright 2018 FUJITSU SYSTEM INTEGRATION LABORATORIES LIMITED
ドメイン (URL) A レコード
codelux2017.ddns[.]net 187.115.234[.]242
skypeprocesshost.ddns.com[.]br 177.98.32[.]236
auth-rambler[.]com 185.212.128[.]37
bb[.]org 103.224.182[.]249
diaoge2010.tl-ip[.]net 121.41.39[.]145
lhy3944335.meibu[.]com 120.210.205[.]20
m3.vzv[.]me 35.229.81[.]255
numbers.3322[.]org 183.236.2[.]18
ukvlqwtmdlcmigp.floattenmidget[
.]ru
46.101.50[.]21
vopspyder[.]website 185.6.242[.]251
ドメイン (URL) A レコード
www.51wgl[.]com 47.104.163[.]38
xmr.f2pool[.]com 116.211.169[.]162
kiss.oatmealscene[.]loan 54.88.21[.]193
ma.owwwv[.]com 43.229.113[.]12
stiekehelp.gameassists.co[.]uk 78.24.213[.]153
tv.yaerwal[.]com 199.2.137[.]29
www.iuqerfsodp9ifjaposdfjhgosurijf
aewrwergwff[.]com
72.5.65[.]99
zinfandel.lacita[.]com 98.124.199[.]28
jlarga1b2c3d4.ddns[.]net 0.0.0[.]0
※塗りつぶしは A レコードが変化
33
35. 複数 A レコード dig 実行例 (出力の一部)
Copyright 2018 FUJITSU SYSTEM INTEGRATION LABORATORIES LIMITED
;; QUESTION SECTION:
;ic-dc.deliverydlcenter.com. IN A
;; ANSWER SECTION:
ic-dc.deliverydlcenter.com. 59 IN A 13.33.4.6
ic-dc.deliverydlcenter.com. 59 IN A 13.33.4.170
ic-dc.deliverydlcenter.com. 59 IN A 13.33.4.142
ic-dc.deliverydlcenter.com. 59 IN A 13.33.4.29
A レコードが複数
34
36. 複数 A レコード: Active DNS の結果
Copyright 2018 FUJITSU SYSTEM INTEGRATION LABORATORIES LIMITED
ドメイン (URL) A レコード
imp.searchjff[.]com 52.200.52[.]112, 52.202.163[.]199
search.searchjff[.]com 50.19.242[.]110, 174.129.43[.]57
bounce2.pobox[.]com 64.147.108[.]74, 64.147.108[.]75
ic-dc.deliverydlcenter[.]com 13.33.4[.]170, 13.33.4[.]142, 13.33.4[.]6, 13.33.4[.]29
imp.yourpackagesnow[.]com 52.1.198[.]247, 52.4.240[.]94
ns1.wowservers[.]ru 221.120.220[.]72, 81.4.163[.]122, 190.35.242[.]126,
197.254.118[.]42ns2.wowservers[.]ru
trialcet[.]com 104.31.91[.]83, 104.31.90[.]83
www.iuqerfsodp9ifjaposdfjhgosu
rijfaewrwergwea[.]com
104.17.40[.]137, 104.17.39[.]137, 104.17.38[.]137,
104.17.37[.]137, 104.17.41[.]137
www.laichiji123[.]com 104.24.96[.]136, 104.24.97[.]136
www.shangizhiyan[.]com 104.28.2[.]77, 104.28.3[.]77
※塗りつぶしは A レコードが変化 35
37. CNAME dig 実行例 (出力の一部)
Copyright 2018 FUJITSU SYSTEM INTEGRATION LABORATORIES LIMITED
;; QUESTION SECTION:
;lulukan.qyhxhnt.com. IN A
;; ANSWER SECTION:
lulukan.qyhxhnt.com. 599 IN CNAME
lulukan.qyhxhnt.com.a.bdydns.com.
lulukan.qyhxhnt.com.a.bdydns.com. 119 IN CNAME
opencdncloud.jomodns.com.
opencdncloud.jomodns.com. 59 IN A 101.69.175.35
CNAME
多段
CNAME
36
39. No Answer dig 実行例 (出力の一部)
Copyright 2018 FUJITSU SYSTEM INTEGRATION LABORATORIES LIMITED
;; QUESTION SECTION:;carder.bit. IN A
(ANSWER SECTION なし)
38
40. No Answer: Active DNS の結果
Copyright 2018 FUJITSU SYSTEM INTEGRATION LABORATORIES LIMITED
ドメイン (URL) A レコード
carder[.]bit
No Answer
jss365sv.cat[.]jp
ransomware[.]bit
www.wap95516.com[.]cn
www4.cedesunjerinkas[.]com
39
41. 1. ウイルス検体から入手した悪性ドメイン診断
Copyright 2018 FUJITSU SYSTEM INTEGRATION LABORATORIES LIMITED
キャッシュ
サーバ
センサ
Passive DNSPassive DNS Analyzer
悪性
ドメイン
5/21 – 5/22
2. DNS 上の痕跡? (10/9)
40
42. 診断項目:Active DNS 関連
Copyright 2018 FUJITSU SYSTEM INTEGRATION LABORATORIES LIMITED
診断項目 診断結果
活動状況
Active
Inactive
A レコード変化
変化あり
変化なし
41
43. 診断項目:Passive DNS 関連
Copyright 2018 FUJITSU SYSTEM INTEGRATION LABORATORIES LIMITED
診断項目 診断結果
タイプ
多 IP
多ドメイン
1 ドメイン – 1 IP
生存期間
短命
長寿
鮮度
新鮮
安定運用中
使い古し
42
68. まとめ
ブラックリストの棚卸をしましょう
dig コマンドを利用する (Active DNS) だけでも,入力したドメインの DNS 上の生存
確認が可能
悪性ドメインの挙動によって適切な対応を取りましょう
Passive DNS に基づくドメインの履歴により,既知の悪性ドメインの挙動を分類可能
Copyright 2018 FUJITSU SYSTEM INTEGRATION LABORATORIES LIMITED67
69. 引用:参考文献
Passive DNS
Weimer, Florian. "Passive DNS replication." FIRST conference on computer security incident. 2005.
Bilge, Leyla, et al. "EXPOSURE: Finding Malicious Domains Using Passive DNS Analysis." Ndss. 2011.
Active DNS
Kountouras, Athanasios, et al. "Enabling network security through active DNS datasets." International
Symposium on Research in Attacks, Intrusions, and Defenses. Springer, Cham, 2016.
van Rijswijk-Deij, Roland, et al. "A High-Performance, Scalable Infrastructure for Large-Scale Active
DNS Measurements." IEEE Journal on Selected Areas in Communications 34.6 (2016): 1877-1888.
Contrast set mining
Bay, Stephen D., and Michael J. Pazzani. "Detecting group differences: Mining contrast sets." Data
mining and knowledge discovery 5.3 (2001): 213-246.
Dong, Guozhu, and Jinyan Li. "Efficient mining of emerging patterns: Discovering trends and
differences." Proceedings of the fifth ACM SIGKDD international conference on Knowledge discovery
and data mining. ACM, 1999.
Copyright 2018 FUJITSU SYSTEM INTEGRATION LABORATORIES LIMITED68
検知指標の重みづけを評価した結果.去年に講演済みの結果の再掲.
サンプルが少なかったり,ほとんどのサンプルがボットネットが使い捨てた IP ということもあったが,
わかったことは,共有された検知指標はほとんどが特定の攻撃を同定する能力が高いということ.
講演後に有識者と議論した結果によると,様々な攻撃で使い回されているような IP アドレスは,
既にシンクホールになっていたり,ダークウェブなどで取引される類のものが多いことがわかった.
もう1つは検知指標学習.
こちらは,特定の攻撃に依存して長期間利用される IP アドレスと短期間で使い捨てされる IP アドレスを選別することを狙っていた.
評価した結果.こちらも,去年も講演済みの結果の再掲.
この分析でわかったことは,攻撃インフラの使用傾向は攻撃者に依存し,
左図のように使い捨て傾向は顕著に出る場合と
右図のように,長期間利用傾向 (引っかかる人は引っかかるのを見越して放置しているだけかも)で
区別できること.
また,脅威情報上の検知指標の挙動は DNS 上の挙動と一致することも確認した.
Domain Name System (DNS) の一般的な説明をする予定.
皆さんご存知だと思うので,簡単に.
DNS における名前解決の流れ.
こちらも皆さんご存知だと思うので,簡単に.
キャッシュサーバが問い合わせされたドメインを知っていればそのまま IP を返すし,
知らなければ再帰問い合わせで権威サーバに聞きにいく.
この一枚で,Active DNS と Passive DNS を詳細に説明
まずは,Active DNS について
・Active DNS は,基本的には単純に dig を投げるだけ.
研究としては,種の選択やデータの収集・格納方法を総合して Active DNS と呼んでいる.
・参考にした Thales というシステムでは,網羅的に種を用意し,能動的にクエリを出してレコードを収集.
DNS のスナップショットを残し,フリーにこれらのデータセットをセキュリティのコミュニティに提供することを目的としている.
・本研究では,キャッシュ DNS サーバを使っているが,研究の再現性という観点で,
google public DNS (8.8.8.8) か global authoritative DNS (1.1.1.1) を使用.
・それぞれのキャッシュ DNS サーバの内容が同じであるとは限らないが,ほとんどのケースで一致.
・キャッシュ DNS のセキュリティ対策が Active DNS の結果に影響を与えることも留意.
キャッシュ DNS で悪性ドメインのブロッキングをしていれば,活動終了かブロッキングかの区別はできない.
Passive DNS について
・参考文献が原著だと理解しているが,10年以上前に提案された手法に基づく.
・Passive DNS は,キャッシュ DNS サーバの近くにセンサを置いて,DNS 応答パケットから Resource Record を抽出.
個人情報への配慮や ISP への許可など,ハードルが高い.
・Passive DNS では,DNS 応答パケットをキャプチャする仕組みなので,
実際にクエリが出ていないと,ゾーンファイルに A レコードが登録されていても
認識できないことに注意.
・Passive DNS のデータの質はどの程度のキャッシュ DNS サーバにセンサを置けているかに依存するが,
ベンダーはその情報を公開していないし,聞いても教えてくれないと思われる (聞いたことはない).
・Active DNS と Passive DNS の結果が一致することも保証されない.
Active DNS で参照したキャッシュ DNS と Passive DNS でセンサを置いたキャッシュ DNS が違えば,結果が異なることもありうる.
ポイント①
従来研究では未識別の悪性ドメインの悪性判定に主眼を置くことが多いが,
本研究では,既に悪性と分かったドメインの挙動の判定を目的とする.
多くの場合,悪性ドメインを含むブラックリストは単純なリストとして提供された
受信した側も機械的,自動的に自組織のシステムに登録するだけのことが多い.
ポイント②
ブラックリストとして受信した悪性ドメインが現時点でまだ活動中であることは保証されない.
ケーススタディでも示すが,受信直後に既に活動していないケースもある.
つまり,受信後のリストの運用については,受信した側に委ねられることになる.
ポイント③
DNS の仕組み上,ドメインに関する履歴は保存されない.
Passive DNS の仕組みを使えば,
今までにどのような使われ方をしたのか,
そして,例え使用が完了していたとしても,
いつまでどのように使っていたのかを学習することが可能となる.
それぞれを独立して組み合わせるのではなく,それぞれの弱みを補い合う相乗効果がある.
ブラックリストは,既に悪性と分かっているドメインを明らかにすることができるという大きなメリットがあるが,
既に活動が終了しているドメインが含まれる場合や,
それまでにどのような挙動を示したかがわからないというデメリットがある.
それらは Active DNS と Passive DNS の仕組みにより補完される.
Active DNS には,DNS に現在登録されているドメインの状況は確認できるが,
これまでの挙動はわからない.
この点に関して,Passive DNS が補完する.
また,種自体がないとクエリをだすことができないが,
種はブラックリストが補ってくれる.
Passive DNS は DNS 上の履歴を知ることができるメリットがあるが,
基本的には DNS 上の応答パケットをキャプチャするだけの仕組みなので,
悪性と正常の両方のドメインの履歴が入っている.
この点はブラックリストが補ってくれる.
また,あるドメインに対する resource record がない場合に,
A レコードがないのか,クエリがないのかは基本的にはわからない.
センサが置いていない場合は考慮しないとすると,
Active DNS により,A レコードの有り無しは判定が可能である.
鮮度は,関連する A レコード群の中の所見を評価した結果.
あるドメインに対して,いくつかの A レコードが時期によって変わっていくことはよくあることで,
この評価ではそれらの A レコードの中で最も古いものがいつかを判定する.
今回は新規検体を対象としてにもかかわらず,最も古いもので 2010 年から
何らかの A レコードの登録の履歴が存在するものもあった.
もちろん最近から活動が観察されたものも多数ある.
生存期間は,直近の A レコードの初見から最終観察までの期間で評価.
生存期間の上限は鮮度の範囲内となる.
生存期間の方は長くで3年程度,短いと数日から数十日となった.
鮮度と生存期間は混同されがちなので,いつくか特徴的なドメインをピックアップして説明.
図中の塗りつぶしは,該当のドメインに A レコードが登録されていた時期を表す.
例えば m3.vzv[.]me は最初に A レコードが観察されたのが 2018 年になってからで,
A レコードは2つ観察されているが,新規活動となる.
一方で,tv.yaerwal[.]com は 2012 年に短期間ではあるが,A レコードの登録が
観察されているので,鮮度は使い古し,生存期間は 2015 年末から2年半程度となる.
Diaoge2010.tl-ip[.]net が最初の A レコードの初見が 2015 年で使い古しまでいかない安定運用中という評価,
生存期間は2017 年冒頭からの1年程度となる.
次をとばして,numbers.3322[.]org は5年程度登録されていた A レコードが最近切り替わり,生存期間は数か月となる.
新規活動か,使い古しか,短期間利用か,長期間利用かを区別するだけでも対処の一助となる.
例えばある程度の期間安定して運用されているようであれば,今後もある程度の期間は運用に変更がなさそうとか,
運用自体が長期にわたっている場合には,一旦活動が観察されなくなってもドメイン自体は何かに機会にまた復活するかもしれないとか,
新規活動であればそのドメイン自体に様々な活動が現れるかもしれないので深堀する価値があるとか,
考えられる施策は様々である.
賞味期限予測でおいている仮説
多ドメインタイプの場合,A レコードが同じドメインの生存期間の傾向が該当ドメインの賞味期限の参考情報となる.
関連ドメイン:入力とした IP が A レコードだったドメイン.多ドメインタイプの場合には,多数ある
first seen: 該当の月が初見だったドメインの数
survival:上記 (first seen) の内,診断した日の1週間以内に last seen が観察されたドメインの数
disposable:上記 (first seen) の内,first seen と last seen が同じ月だったドメインの数
31.31.196[.]78 は生存の比率が高く,かつクエリが継続観察された.
賞味期限予測でおいている仮説
多ドメインタイプの場合,A レコードが同じドメインの生存期間の傾向が該当ドメインの賞味期限の参考情報となる.
関連ドメイン:入力とした IP が A レコードだったドメイン.多ドメインタイプの場合には,多数ある
first seen: 該当の月が初見だったドメインの数
survival:上記 (first seen) の内,診断した日の1週間以内に last seen が観察されたドメインの数
disposable:上記 (first seen) の内,first seen と last seen が同じ月だったドメインの数
31.31.196[.]163 は使い捨ての比率が高く,ケーススタディの2ドメインも1か月以内に使用停止となった.
賞味期限予測でおいている仮説
多ドメインタイプの場合,A レコードが同じドメインの生存期間の傾向が該当ドメインの賞味期限の参考情報となる.
関連ドメイン:入力とした IP が A レコードだったドメイン.多ドメインタイプの場合には,多数ある
first seen: 該当の月が初見だったドメインの数
survival:上記 (first seen) の内,診断した日の1週間以内に last seen が観察されたドメインの数
disposable:上記 (first seen) の内,first seen と last seen が同じ月だったドメインの数
54.72.130[.]67 は使い捨ての比率が高く,ケーススタディのドメインも1か月程度で使用停止となった.
本研究では,パブリック系のキャッシュ DNS にクエリを出しているが,
パブリック DNS がドメインのブロッキングをする場合もある.
ケーススタディで利用した google public DNS と global authoritative DNS 以外にも,
IBM の quad9 や Verisign Public DNS, Norton Connect Safe などがある.
今回ケーススタディした標的型攻撃の悪性ドメインを試してみたら,
IBM の quad9 が2つのドメインをブロックすることを確認した.
フロントで活動するドメインを CNAME で隠ぺい.
Passive DNS 上では,ベンダーのデータ格納方法に依存.
直接の CNAME までしか格納されない場合と,
CNAME の情報は考慮せずに A レコードまでつなげる場合とある.