この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
こんにちは、臼田です。
『世界トップクラスのセキュリティ専門家による日本発の情報セキュリティ国際会議』でありますCODE BLUE 2018に参加していますのでレポートします。
このブログは下記セッションについてのレポートです。
使い捨てられた攻撃インフラの残骸の中からも攻撃者の痕跡を探る ― 動的・静的な DNS フォレンジックによる検知指標診断システム 谷口 剛 吉村 邦彦
サイバー攻撃の高度化に伴いブラックリストに記載される検知指標としての悪性ドメイン等は攻撃者が短いサイクルで使い捨てることが多い。検知指標は受信後に静的な脅威情報となるが、悪性ドメインの活動自体は攻撃者に依存する。極端なケースでは、受信直後の悪性ドメインですら既に有効ではないこともある。
検知指標の短サイクル化に対して従来研究では、未識別のドメインの悪性判別問題に帰着しており、悪性と判別され既知となった悪性ドメインの扱いは運用者に委ねられる。ただ、運用者が受信後の悪性ドメインの挙動について積極的に関心を持つことはあまりなく,単純に更新を待つことが多い。
本研究では既に「サイバー脅威インテリジェンスに基づく検知指標学習手法とその応用」を報告し、本講演でも既知の脅威情報の効果的な運用を主眼に置く。検知指標学習を、正常なサービスだけでなく攻撃者も悪用する Domain Name System (DNS) 上で動的・静的に検証する枠組みに拡張した。つまり、悪性ドメインを種として、DNS にクエリを出して現状を認識 (Active DNS) した上で、現存と使い捨てられた残骸の両方に対してDNS 上の履歴 (Passive DNS) から攻撃者の痕跡を探り、動的・静的な検証に基づき診断する。そして、検知指標が継続利用できそうか、短期間で使い捨てられそうだから定期的な更新を要するか等の所見を与える。講演では、実装した検知指標診断システムにより悪性ドメインを診断した結果をケーススタディとして報告する。
レポート
- 昨年も公演している
- サイバー脅威インテリジェンスに基づく検知指標学習
- 脅威情報がたくさん集まってくる
- 使っては捨てとなるのでゴミがたくさん出てくる
- アルゴリズムはいくつかあるが、そこはそんなに問題はない
- 重要なのは何をとろうとするか
- 検知指標の重み付け
- サブグループ間でIPアドレスとドメインを比較
- 複数マルウェアで使い回されるIPアドレス
- 検知指標生存期間学習
- 長期間利用されているものを確認
- 使い捨てはボットネット、DGA
- 長寿命はダウンローダ
- 脅威情報はサイバー攻撃のスナップショット
- 標的型攻撃はドメインがしばらく一緒
- ボットネットはかなり短い期間にドメインが変わるものが多い
- 情報を共有するタイミングによっては使われなくなった悪性ドメインを共有しないこともある
- 共有する場合には、すでに終わっていると付け加える
- ドメイン悪性判断はブラックボックス
- 利用者は悪性ドメインだけ渡されるとわからない
- DNSの検知指標にかけているのであれば、復元できるのでは
- モチベーション「説明可能な」検知指標
- 悪性ドメインの挙動
- 悪性ドメイン挙動の復元と優先順位付けによるブラックリスト品質向上
- Fast-Fluxタイプは追跡可能
- 短期活動タイプは情報収集
- 安定運用タイプは通常の運用
- 使用停止は経過観察
- 本公演で扱う脅威情報
- 悪性ドメインのリスト
- なんでも
- 既知の悪性ドメインのドメインの挙動
- 攻撃者がDNSを使っていれば痕跡が残る
- 痕跡のタイプは分類可能
- 挙動の予測をするための手がかりも残されている
- ケーススタディ
- 新規検体が通信した悪性ドメインの検証
- 標的型攻撃に関するCTI共有前後における悪性ドメインの検証
- 結論
- 悪性ドメインはDNS上の履歴を元に以下のように分類可能
- 長期生存 or 短期消滅
- 新規活動 or 以前から履歴あり
- 悪性ドメインの挙動は攻撃者に依存
- 悪性ドメインはDNS上の履歴を元に以下のように分類可能
- 既知の悪性ドメインの何を診断するのか
- 現状
- 生存期間
- いつから
- アプローチ: 動的・静的なDNSフォレンジック
- DNS上における既知の悪性ドメインの挙動の検証
- Passive DNSで今までどうだったか確認
- Active DNSで現状確認
- 以上を元にどうなるのか予想
- Passive DNS
- キャッシュサーバの手前にセンサを置く
- DNS応答パケットを監視して収集
- Passive DNS
- DNSDB
- Farsight Security
- Active DNS
- 8.8.8.8
- 1.1.1.1
- 検体
- Virus total
- APT
- PseudoGateのドメインをターゲットにした
- 賞味期限予測
- 生存するか使い捨てかを判別する
- まだ制約は多い
- 制約
- CNAMEによる実運用ドメインの隠蔽
- Passive DNSと相性が悪い
- 休眠や切り替えも実際にはある
- CNAMEによる実運用ドメインの隠蔽
- 検証結果
- 攻撃者がDNSを使っていれば痕跡が残る
- 残っているケースと残っていないケースが有る
- 痕跡のタイプは分類可能
- 生存期間で分類
- 鮮度で分類
- それぞれの項目で結構二極化する
- 挙動の予測をするための手がかりも残されている
- 賞味期限予測ができる
- 攻撃者がDNSを使っていれば痕跡が残る
- まとめ
- ブラックリストの棚卸しをしましょう
- 悪性ドメインの挙動によって適切な対応を取りましょう
感想
ブラックリストの運用・棚卸しは結構大変ですが、こういった指標が出せるといいですね。
5
