[レポート]説明可能な悪性ドメイン診断 – CODE BLUE 2020 #codeblue_jp

CODE BLUE 2020で行われた「説明可能な悪性ドメイン診断」というセッションのレポートです。
2020.10.30

こんにちは、臼田です。

今回はCODE BLUE 2020で行われた以下のセッションのレポートです。

説明可能な悪性ドメイン診断

近年サイバーセキュリティにおける攻撃と防御の「いたちごっこ」が激しさを増している。 攻撃者が検知回避技術を開発すれば防御の専門家がその技術を分析し検知技術を開発する。 しかしその検知技術は攻撃者の知るところとなり、といった繰り返しである。 「いたちごっこ」は防御側が圧倒的に不利である。 それでは防御の専門家がたゆまぬ努力によって開発してきた検知技術は攻撃者に認識されると使い物にならなくなるのであろうか? そんなことはないのである。 攻撃者は意図をもって活動している。 最近はビジネスの側面もあり、投じる資金、技術レベルは攻撃対象、例えば特定の機関、あるいは、セキュリティリテラシーの低いクライアントなど、に依存する。 全ての攻撃者が最先端の技術を利用するわけではない。 つまり、高度な攻撃者による検知回避行動と広域攻撃には痕跡の違いが生じる。 SOC の運用者は上記のような多種多様な攻撃への対処で忙殺されており、すべてのアラートへの対処は困難である。 優先順位をつけて対処せざるを得なく、時にはアラートに対して経営層や責任者に対して対処の根拠や説明を要求される。 限られた時間の中でその負担は小さくない。 本研究では SOC におけるアラート対応時の説明負担の省力化を目標とし、高度な攻撃者の検知回避挙動を逆手に取る説明可能な悪性診断手法を開発した。 通常のドメイン悪性判定における正規と悪性の区別に加えて、短期広域型と中長期標的型といった攻撃タイプに依存した挙動の違いを学習し、未識別ドメインの攻撃タイプの説明根拠とする。 本講演では、標的型攻撃では検知しやすい痕跡はほとんど残らないこと、また広域攻撃との痕跡の違いを示し、未識別のドメインに対する説明可能な攻撃タイプ診断のデモを行う。

Presented by : 谷口 剛 - Tsuyoshi Taniguchi

レポート

  • 発見科学寄りの専門家
  • 研究の全体像
    • 発見科学の視点から取り組んでいる
    • サイバー攻撃のインフラは使い捨てられる
    • 悪性IPや悪性ドメインはごみになる
    • 大量のゴミの中から価値のあるものを見つけたい
    • キャンペーン間で比較して使い回されているものを特定する
    • 今回はこれを拡張している
    • 悪性ドメインはブラックリストで共有されるだ、何で判断されたかの情報が無いことが多い
    • そういった情報を加えたほうがいいという話を以前した
    • 今回の研究はこれも礎にしている
    • エッセンスを抽出して未識別のものを見つけたい
    • ATPはこれらが通じにくいのでWHOIS履歴を足して判断していく
  • 説明可能の原理的な話
    • 従来の悪性は悪性強度が著しく異なるのでそれを使っていた
      • 大手のベンダーはドメインを前から持っている
      • 絶対に執行させないように運用している
      • 短期的なスパムやbotはキャンペーンの直前やリアルタイムで取得する
    • 高度な攻撃者はこういったわかりやすい痕跡は残さない
      • 登録の履歴まで深堀りすることにより一部で、正規で行われない処理がある
      • この手間があるので手の混んだ攻撃であると説明できる
  • ゴール
    • 説明可能な悪性の判断でSOCのサポートを目指す
    • 全てのアラートに対応することは不可能
    • 誤検知でも説明が必要になる
    • 怪しい通信があっても説明しないと止められない
    • 手の混んだ攻撃があった場合に説明できると次のアクションに繋げられる
  • システム全体像

    • 短期的な悪性ドメインの情報やDNS、WHOIS、Geoなど入れていく
    • 本番は未識別のドメインを評価していく
    • 今はMetabaseで出力している
  • 正引きと逆引き
    • 悪性の場合は1年で設定される
    • 登録しやすい・悪用しやすいレジストラでたくさん登録して順番に使われる
    • 取得から利用までのタイムラグが有る
    • これは怪しい履歴
    • 長期間攻撃する人は執行させた後同じものを使うこともある
    • これは短期でやる攻撃者はやらない
  • デモ
    • 標的型が検知できるのか
      • Alexa
      • BlackTech
      • DarkHotelなど
      • 短期的なものも含めている
    • 標的型を検知できるか?
      • 結論から言うと難しい
      • 短期的な攻撃には最近登録されたドメインがよく使われる
      • 広域のものは60%以上が当てはまった
      • 正規のドメインは古くからある
      • Cerberはその時期のもの
      • DarkHotelは2019/06に1箇所に集約していた
      • 期限が残っているものなどを集めていた
      • これが研究の出発点になった
    • ネームサーバー
      • 短期的な攻撃ではドメインのネームサーバーが短期で切り替わることが知られている
      • 切り替える行為自体は正規でもよくある
      • 正規だと一般的に6年半は同じ設定
      • 広域のものは頻繁に切り替える
  • 標的型の検知は難しい
  • 攻撃者が新しい攻撃をするたびに研究者が防御のアプローチを考える
    • 非常に大変
    • これらのアプローチは無駄にはならない
  • 過去の研究と今回のものを合わせる
    • 悪用されやすいレジストラのドメインは広域のものは6割使っている
      • 標的型は逆にこれは利用しない
    • 不自然な切り替えは高い割合ではないが一部活用できる
      • これは広域では起きないのでATPの可能性を考えられる
    • それぞれの攻撃観点の可能性を見ることができる
  • tokyo2020 Typosquattingドメインの研究
    • 委員会やJC3が中心になって取り組んでいる
    • 似ているドメインは2385ドメインあった
    • 対象は474件
    • 似ている文字のものが190件
    • 1721件が別Topドメイン
    • 森教授の分析もある
    • 発表されてからドメインが増えていった
    • 2020年に入ってから再加熱
    • もっと前から作られていたドメインについて詳しく調べた
      • ほとんどが数字だけのもの
        • 2020とか20とか
        • tokyoサブドメインにくっつけると活用できる
        • 実際はあまりない
      • tokyou20.20.comドメイン
        • 今は休眠している
  • 結論
    • 標的型攻撃の検知
      • 短期的なものは避けられる傾向がある
    • tokyo2020類似ドメイン
      • 前からあるものは気にする

感想

2018年の話も聞いていましたが、非常に興味深い研究ですね。

標的型は検知するのはなかなか難しいと思いますが、ぜひいろんなアプローチを試していただきたいです!