JP2017228153A - 攻撃内容分析プログラム、攻撃内容分析方法及び攻撃内容分析装置 - Google Patents

攻撃内容分析プログラム、攻撃内容分析方法及び攻撃内容分析装置 Download PDF

Info

Publication number
JP2017228153A
JP2017228153A JP2016124825A JP2016124825A JP2017228153A JP 2017228153 A JP2017228153 A JP 2017228153A JP 2016124825 A JP2016124825 A JP 2016124825A JP 2016124825 A JP2016124825 A JP 2016124825A JP 2017228153 A JP2017228153 A JP 2017228153A
Authority
JP
Japan
Prior art keywords
machine
program
network
attack
command
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2016124825A
Other languages
English (en)
Other versions
JP6738013B2 (ja
Inventor
博行 国部
Hiroyuki Kunibe
博行 国部
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2016124825A priority Critical patent/JP6738013B2/ja
Priority to US15/607,808 priority patent/US10601867B2/en
Publication of JP2017228153A publication Critical patent/JP2017228153A/ja
Application granted granted Critical
Publication of JP6738013B2 publication Critical patent/JP6738013B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】ネットワークからの攻撃者にセキュリティ対策の装置の存在を感知されにくくした攻撃内容分析プログラム、攻撃内容分析方法及び攻撃内容分析装置を提供する。
【解決手段】サンドボックスシステムは、第1のネットワークIN_NWに接続された第1のマシン5宛てに第2のネットワークEX_NWから送信された第1のプログラムを含む送信データを受信し、第1のプログラムの起動後に、第1のマシン5に対する読み出し系命令を、第1のマシン5とは異なる第2のマシン9と前記サンドボックスシステムとの間で確立された第1のセッションを経由して第2のマシン9に送信し、第1のプログラムの起動後に、第1のマシン5に対する書き込み系命令を第1のマシン5に代わって実行する。
【選択図】図5

Description

本発明は,攻撃内容分析プログラム、攻撃内容分析方法及び攻撃内容分析装置に関する。
標的型メールの送信や不正サイトへの誘導などによるサイバー攻撃が社会問題化している。標的型のサイバー攻撃は、例えば、以下のようなプロセスで行われる。まず、初期段階では、標的型メールの送信や、あらかじめ不正プログラムを埋め込んだウエブサイトへのアクセス(ドライブバイダウンロード)などにより、攻撃対象マシンに不正プログラムを送り付け、攻撃対象マシンで攻撃対象者に気づかれないように不正プログラムを起動、実行させる。そして、標的型サイバー攻撃は、複数の命令を段階的に実行させる多段処理型攻撃(APT:Advanced Persistent Threat)で構成され、主に初期段階での情報収集命令の実行、攻撃者マシンと攻撃対象マシン間の不正なリモートセッションの開設、リモートセッションを介する収集情報のダウンロード、さらに、リモートセッションを利用した各種情報探索と感染マシンでの不正命令の実行などを有する。
標的型メールの送信や不正サイトへの誘導によるサイバー攻撃対策として、攻撃対象マシンによる不正プログラムやマルウエアの実行を防止、または実行を見極めるために、攻撃対象マシンの動作環境から隔離された仮想マシン上で不正プログラムを実行させて、不正な挙動を監視し、分析するセキュリティ対策の隔離環境であるサンドボックスが提案されている。
特開2012−64208号公報
しかしながら、不正プログラムによる攻撃対象マシンのプロファイル情報(マシンの物理的な情報、ホスト名、IPアドレスなど)、攻撃対象マシン実行時のデスクトップのスクリーンショット、攻撃対象者が使用しているマシン環境(起動中のアプリや実行履歴)、ネットワーク設定情報などの比較的簡易な情報の探査から、不正プログラムを実行しているのが攻撃対象マシンではなくサンドボックスまたは同等の対策を行うセキュリティ対策装置であることが、攻撃者に見破られ、攻撃の初期段階でそれ以降の攻撃手順を中止するという状況が生じ得る。
その結果、サンドボックスは、攻撃による被害の事前回避という目的は達成できるものの、不正プログラムをサンドボックス内で実行させて不正プログラムの挙動や動作を捕捉し、サイバー攻撃の対策に利用するという目的を達成することはできない。
そこで,本開示の第1の側面の目的は,ネットワークからの攻撃者にセキュリティ対策の装置の存在を感知されにくくした攻撃内容分析プログラム、攻撃内容分析方法及び攻撃内容分析装置を提供することにある。
本開示の第1の側面は,コンピュータに、第1のネットワークに接続された第1のマシン宛てに第2のネットワークから送信された第1のプログラムを含む送信データを受信し、前記第1のプログラムの起動後に、前記第1のマシンに対する読み出し系命令を、前記第1のマシンとは異なる第2のマシンと前記コンピュータとの間で確立された第1のセッションを経由して第2のマシンに送信し、前記第1のプログラムの起動後に、前記第1のマシンに対する書き込み系命令を前記第1のマシンに代わって実行する、処理を実行させる、コンピュータ読み取り可能な攻撃内容分析プログラムである。
第1の側面によれば,ネットワークからの攻撃者にセキュリティ対策の装置の存在を感知されにくくできる。
標的型サイバー攻撃の全体を示す図である。 標的型サイバー攻撃の一例を示す図である。 サンドボックスシステムを有する攻撃対象ネットワークシステムの構成例を示す図である。 サンドボックスシステムが設けられた標的対象ネットワークシステムに対する標的型サイバー攻撃の一例を示す図である。 本実施の形態における攻撃対象ネットワークシステムの構成例を示す図である。 本実施の形態におけるサンドボックスシステムの構成例を示す図である。 サンドボックスシステムを構成する物理マシンの構成を示す図である。 攻撃対象マシンの構成例を示す図である。 囮マシンの構成例を示す図である。 サンドボックスシステム内の検査再生処理装置VM1が実行する検査制御プログラムの処理を示すフローチャート図である。 命令振分制御プログラムの処理を示すフローチャート図である。 本実施の形態におけるサンドボックスシステムによる動作例を示す図である。 第2の実施の形態におけるサンドボックスシステムの構成を示す図である。 第3の実施の形態におけるサンドボックスシステムと攻撃対象ネットワークシステムの構成を示す図である。
図1は、標的型サイバー攻撃の全体を示す図である。攻撃対象ネットワークシステム1は、企業や官公庁などのある組織体のネットワークシステムである。攻撃対象ネットワークシステム1は、内部ネットワークIN_NETに複数の攻撃対象になる可能性のある第1のマシン(攻撃対象マシン)5を有する。そして、攻撃対象ネットワークシステム1は、内部ネットワークIN_NETとインターネットなどの外部ネットワークEX_NETとの境界に、ファイアーウオールFW(Firewall)、不正侵入防衛システムIPS(Intrusion Prevention System)、ウエブアプリケーションファイアウオールWAF(Web Application Firewall)などのセキュリティ装置4を設置し、外部ネットワークからの不要なまたは不正な通信を遮断する構成を構築する。
攻撃対象マシン5は、通常の業務で人間が操作するパーソナルコンピュータやサーバなどであり、OS(Operating system:オペレーティングシステム)などの基盤ソフトウエアと、ウエブブラウザ、メールプログラムなどの一般的なツールと、それぞれの業務に対応したアプリケーションプログラムがインストールされる。また、攻撃対象マシン5は、業務上の理由により、内部ネットワークIN_NET内に営業情報や顧客情報など秘匿性の高いデータを記憶するサーバやストレージ装置(図示せず)にアクセス可能である場合もあれば、そのような秘匿性の高いデータにはアクセスする権限がない場合もある。
外部ネットワークEX_NETには、一般のウエブサイト3に加えて、標的型サイバー攻撃を仕掛けようとする悪意のある第2のマシン(攻撃側マシン)2が設けられる。攻撃側マシン2は、後述するとおり、攻撃対象の組織体の内部マシン、攻撃対象マシン5に不正プログラムを添付した標的型攻撃メールを送信するなどにより攻撃を開始し、以降、持続的に攻撃を繰り返しながら、最終的な目的とする機密情報を外部に流出させたり破壊したりする。
図2は、標的型サイバー攻撃の一例を示す図である。前提として、攻撃対象ネットワークシステム1の組織体は、FW、IPS、WAFなどのセキュリティ装置4を外部ネットワークとの境界に設置している。しかし、これらのセキュリティ装置4は、機械的に通信の種別ごとに許可と遮断をルール化したり、シグネチャと呼ばれる通信上の文字列をパターンマッチングで判定する検知方式である。したがって、これらのセキュリティ装置が、インターネットなどの外部ネットワークEX_NETとの間で許可されているウエブ通信(http通信)や、メール通信(SMTP通信)によるデータのやり取りから、標的型攻撃か否かを判断することは困難である。
一方、攻撃側マシン2の攻撃者は、組織体のネットワークシステム1の内部ネットワークに侵入し、内部の機密情報の搾取を目的とする標的型サイバー攻撃を仕掛けようとする。そして、攻撃側マシン2は、ネットワークシステム1の組織体と関係のある別の組織体の公開されたウエブサイト3が脆弱であることから、ウエブサイト3の公開情報のダウンロードページを改ざんして、そのページにアクセスした際に不正な通信を攻撃対象ネットワークシステムとの間に開設する不正プログラムを仕込んでいるものとする。または、攻撃側マシン2は、攻撃対象マシン5に標的型メールを送信するものとする。この標的型メールには、利用者に認識されない上記と同様の不正プログラムを含む偽装添付ファイルが含まれている。
図2において、例えば、攻撃側マシン2は、攻撃対象マシン5宛てに標的型攻撃メール7を送信する(S1_1)。標的型攻撃メール7は、攻撃対象マシン5の利用者が普段受信しているメールと一見類似するメールであり、セキュリティ装置4では検知されず、攻撃対象ネットワークシステム1の内部ネットワークIN_NETを経由して攻撃対象マシン5のメールプログラムが受信する。利用者6は、標的型攻撃メール7を受信し、メールに添付または含まれているPDF文書などの添付ファイルを開く操作を行う(S2)。添付ファイルを開く操作により、PDF文書ファイルが攻撃対象マシン5に表示されるが、そのPDF文書ファイルの閲覧時に、バックグランドでアクティブスクリプトなどの不正プログラムが起動、実行される(S10)。
図2において、別の例では、攻撃対象マシン5が、不正プログラムが埋め込まれているウエブサイト3にウエブアクセス(httpまたはhttps通信)し、不正プログラム8を含むデータが攻撃対象マシン5にダウンロードされ、攻撃対象マシン5に保存される。これにより、攻撃対象マシン5は不正プログラムに感染する。そして、バックグランドで不正プログラムが起動する。通常、不正プログラムは暗号化されているため、ネットワーク経路上に設けられているセキュリティ装置4の検知プログラムでは認識されることはない。
前述の標的型攻撃メールの受信による感染またはドライブダウンロードによる感染が発生すると、不正プログラムの実行ファイルが起動する(S10)。この実行により、例えば、埋め込まれた不正プログラムの自己復号が開始する(S11)。そして、復号された不正プログラムは、例えば、以下のような命令を実行する。
最初に、不正プログラムは、攻撃対象マシン5のシステム情報を参照、収集する数種類のコマンド(例えば、Windows(登録商標)ではSysinfoコマンド)を実行し、その参照したシステム情報を特定のドライブ領域に保存する(S12)。次に、不正プログラムは、攻撃対象マシン5の詳細なシステム環境や動作設定などのマシン環境情報を参照、収集するコマンド(例えばWindowsではreg queryコマンド)を実行し、その参照したマシン環境情報を、同じ特定のドライブ領域に保存する(S13)。さらに、不正プログラムは、攻撃型マシンのネットワーク設定ファイルや各種通信経路の必要な情報を参照、収集するコマンド(例えばWindowsではipconfig, netstatコマンド)を実行し、参照したネットワーク設定ファイルなどの情報を、同じ特定のドライブ領域に保存する(S14)。
以上の、参照系の命令、つまり読み出し系の命令を実行することで、攻撃対象マシン5に関する種々の情報が、攻撃対象マシン5内の特定のドライブ領域に保存される。
そして、不正プログラムは、上記収集した情報を参照し、攻撃側マシン2との間にリモートセッションを張るリモートアドミニストレーションツールRAT(Remote Administration Tool)を起動し、攻撃側マシン2と攻撃対象マシン5との間に、リモートセッションを構築する(S15)。RATを実行するためには、攻撃対象マシン5のシステム情報、マシン環境情報、ネットワーク設定ファイルに含まれているIPアドレス、URI情報などが必要になる。
その後、不正プログラムは、構築されたリモートセッションを経由して、攻撃対象マシン内の特定のドライブ領域に保存した情報を、攻撃側マシン2にダウンロードする(S16)。攻撃側マシン2は、上記の不正プログラムの感染に伴い実行されるコマンドにより、攻撃対象マシンからリモートセッションが張られてリモート通信が接続されるのを待てばよい。そして、収集情報のダウンロードS16が成功すると、攻撃側マシン2の攻撃者は、攻撃対象マシンが不正プログラムに感染し、リモートからコントロール可能になったことを認識する。
上記の工程S1−S16の初期段階が完了すると、攻撃側マシン2は、収集した情報と構築されたリモートセッションを利用して、攻撃対象ネットワークシステム内の各種情報の探査や、攻撃対象マシンのコントロールを試みる二次攻撃を開始する(S20)。
二次攻撃では、たとえば、攻撃側マシン2は、リモートセッションを利用したリモートデスクトップ機能により、攻撃対象マシンのキーボードの画面をキャプチャする特定のキーを操作するなどして、攻撃対象マシンのスクリーンショット(デスクトップのコピー)を取得する(S21)。このスクリーンショットの取得は、時間をおいて複数回繰り返される場合がある。攻撃者は、取得したスクリーンショットにより、感染した攻撃対象マシン5が、一般的なサーバではないか否かなどを判断することができる。一般的なサーバのスクリーンショットは人間が使用している感がなく、また時間経過しても変化がないので、通常業務で人間が操作している攻撃対象マシンと区別可能である。
また、攻撃者は、初期段階で取得した情報から、攻撃対象マシンにインストールされているアプリケーションを確認することができ、一般的なサーバではないか否かの判断や、攻撃対象マシンの所属部署の推定を行うこともできる。
さらに、二次攻撃では、攻撃側マシン2は、感染した攻撃対象マシン5の周辺のネットワーク情報や、周辺のマシン情報の検索や収集を試みる(S22)。この処理は、攻撃側マシン2が、ping, arp, dnsllookupなどのネットワーク探索コマンドを実行することにより行われる。これにより、機密情報が格納されているサーバのネットワークセグメントや、サーバのIPアドレスなどを取得できる場合がある。
そして、収集した情報に基づいて、攻撃側マシン2は、新たな各種不正プログラムやツールを攻撃対象マシンやその周辺のマシンにインストールして実行し、目標とする機密情報をダウンロードしたり破壊したりする(S23)。標的型サイバー攻撃では、情報の収集と、収集情報により新たな攻撃対象マシンの特定と、新たな不正プログラムのインストールと実行を、何度も繰り返して行い、最終目標の機密情報を探査することが行われる。
そして、目標とする機密情報を取得または破壊すると、インストールした不正プログラムやツールを削除する(S23)。
[サンドボックス]
標的型サイバー攻撃により攻撃対象マシンが不正プログラムに感染し、不正プログラムの実行により機密情報が被害にあうことを防止する方法として、サンドボックスと呼ばれる隔離された領域で動作するマシンまたはシステム(以下サンドボックスシステム)を設けることが提案されている。
サンドボックスシステムは、外部ネットワークから受信した不正プログラムを、内部ネットワーク内の他のマシンや記憶領域から隔離された領域内で動作させ、サンドボックスマシンが実行する不正プログラムが、内部ネットワーク内の攻撃対象マシンなどを操作することを防止する。したがって、外部から侵入した悪質なウイルス(不正プログラム)が、隔離された領域の外にある機密情報などに影響を与えることを防止できる。
サンドボックスシステムは、マルウエア(不正プログラムなどのコンピュータウイルス)の検出や、不正プログラムの復号や暗号化処理または通信プロセスの起動やその処理内容の検査により、外部の悪意のある攻撃者からの不正な処理の有無の判定を可能にする。そして、一旦不正な動作と判定された場合、内部ネットワーク内の攻撃対象マシンなどへの通信プロセスを隔離された領域内に閉じ込め、検疫する。これにより、内部ネットワーク内の攻撃対象マシンへの悪影響を防止する。
また、サンドボックスシステムは、攻撃対象マシンでの不正プログラムの起動、実行をエミュレートし、新種の攻撃手法の内容や処理を捕捉するという機能も有する。この機能により、捕捉した新種の攻撃手法の内容や処理に基づいて、標的型サイバー攻撃への新たな対策を策定することを可能にする。
図3は、サンドボックスシステムを有する攻撃対象ネットワークシステムの構成例を示す図である。図1に示した攻撃対象ネットワークシステム1の構成と異なり、図3の構成例では、外部ネットワークEX_NETに接続されたセキュリティ装置4と攻撃対象マシン5との間の内部ネットワークIN_NET上に、サンドボックスシステムSBが設けられる。このサンドボックスシステムSBは、攻撃対象ネットワークシステム1内のマシンやサーバやストレージから隔離された領域内に設けられる。例えば、サンドボックスシステムは、内部のマシンやサーバとは異なる物理マシンにより構成される。または、サンドボックスシステムは、内部のマシンとは異なる仮想マシンにより構成される。
そして、サンドボックスシステムSBは、セキュリティ装置4を通過できた外部ネットワークからの受信メールやドライブバイダウンロードされたデータを、宛先またはダウンロード先の攻撃対象マシンに代わって、受信、保存し、受信メールやダウンロードデータに含まれるプログラム(この時点では不正プログラムか否か不明)の実行をエミュレートする。サンドボックスシステムは、隔離された領域内に設けられているので、サンドボックスシステムがたとえ不正プログラムを実行したとしても、攻撃対象マシン5やその他のストレージには悪影響を及ぼさない。また、実行したプログラムが不正プログラムであることが判明すると、サンドボックスシステムは、不正プログラムによる影響が内部ネットワーク内の攻撃対象マシンに及ばないようにする。
サンドボックスシステムは、受信メールやダウンロードデータを、過去において不正プログラムではないと判定された送信元ドメインやIPアドレスを有するホワイトリストと照合し、一致する場合は、受信メールやダウンロードデータを内部ネットワーク内の攻撃対象マシンに転送するようにしてもよい。その場合、一致しない場合は、サンドボックスシステムが、攻撃対象マシンに代わって保存し、受信メールやダウンロードデータに含まれるプログラムを実行する。
図4は、サンドボックスシステムが設けられた標的対象ネットワークシステムに対する標的型サイバー攻撃の一例を示す図である。図2で説明した前提事項は、図4においても適用される。また、標的型サイバー攻撃の手口も、図2の例と同様である。
図4においても、標的型サイバー攻撃のトリガは、不正プログラムを添付または含む標的型攻撃メール7の受信(S1_1)または攻撃対象マシン5によるウエブサイトへのアクセスに応答する不正プログラム8を含むダウンロードデータの受信(S1_2)である。
サンドボックスシステムSBは、外部ネットワークEX_NETと攻撃対象マシン5との間の経路上に設けられているので、上記の受信メールやダウンロードデータを攻撃対象マシンに代わり受信する。そこで、サンドボックスシステムは、攻撃対象マシン5ではその利用者6が手動で行う受信メールの開封と添付または含められたファイルの閲覧(開く)を、自動で行う。または、サンドボックスシステムは、ダウンロードデータの保存を自動で行う。
サンドボックスシステムでは、受信メールの添付ファイルの閲覧や、ダウンロードデータの保存に応答して、バックグランドで不正プログラムが起動、実行される(S10)。その後、サンドボックスシステムSBは、不正プログラムによる、不正プログラムの自己復号(S11)、システム情報を収集するコマンドの実行(S12)、マシン環境情報を収集するコマンドの実行(S13)、ネットワーク設定情報を収集するコマンドの実行(S14)を、それぞれ実行し、収集した情報をサンドボックスシステム内の特定のドライブ領域に保存する。
さらに、サンドボックスシステムは、不正プログラムにより、リモートアドミニストレーションツールを起動して、サンドボックスシステムと攻撃側マシン2との間にリモートセッションを構築する(張る)(S15)。そして、不正プログラムにより、このリモートセッションを介して、工程S12-S14で収集したシステム情報、マシン環境情報、ネットワーク設定情報を、攻撃側マシン2にダウンロードする(S16)。
そして、その後の二次攻撃S20でも、図2と同様に、攻撃側マシン2は、マシンのデスクトップのコピーであるスクリーンショットの取得(S21)、感染したサンドボックスシステムの周辺のネットワークやマシン情報の検索、収集(S22)、各種不正プログラムやツールのサンドボックスシステムへのインストール、実行、実行後削除(S23)を実行する。
ここで、攻撃側マシン2は、攻撃対象ネットワークシステム1内にサンドボックスシステムが存在するか否かを、収集した情報などに基づいて判定を試みる。例えば、工程S12,S16で収集したシステム情報から対象のマシンが仮想化プログラム(ハイパーバイザ)を有することが判明すると、攻撃側マシン2の攻撃者は、対象のマシンがサンドボックスと推定し、工程S16以降の攻撃動作を停止する。
あるいは、工程S13,S16で収集したネットワーク設定情報には、通常業務で人間が操作する業務用マシン(攻撃対象マシン)には通常設定されているネットワーク設定(例えば内部ネットワーク内のサーバが接続されるネットワークセグメントの情報や、そのネットワークセグメントへのルーティング情報など)が、対象のマシンには存在しないことが判明すると、攻撃者は、対象のマシンがサンドボックスと推定する。
上記の例では、工程S16によりダウンロードされた収集情報から、攻撃者がサンドボックスシステムの存在に気づき、サンドボックスシステムが感染したマルウエア(不正プログラム)とその情報を削除してその痕跡を消去し、以降の攻撃動作を停止する。
さらに、攻撃者は、スクリーンショットの取得S21を時間を空けて複数回行い、人間が業務などで使用している痕跡がないことや、時間の経過後もデスクトップ内のアイコンに変化がないことなどから、不正プログラムに感染したマシンが攻撃対象マシンではなく、通常人間が使用することのないサンドボックスシステムであると推定し、以降の攻撃動作を停止する。一般に、サンドボックスシステムや監視システムなど、人間が直接操作を行わないサーバ類は、デスクトップ画面に少しのアイコンが整然と並び、時間が経過しても変更がない。
上記のとおり、攻撃者は、攻撃側マシン2により収集した対象のマシンの情報や、スクリーンショットから、対象のマシンが攻撃対象マシンではなく、サンドボックスシステムと疑われるまたは推定される場合に、以降の攻撃動作を停止することがある。その結果、サンドボックスシステムは、標的型サイバー攻撃から攻撃対象マシンを保護するという目的を達成することはできるが、攻撃者による新種の攻撃手法の内容や処理を捕捉するという目的を達成することはできない。
[第1の実施の形態におけるサンドボックスシステム]
第1の実施の形態におけるサンドボックスシステムは、不正プログラムの実行に伴う命令が読み出し系命令の場合、あらかじめ構築したリモートセッションを介して攻撃対象マシンとは異なる囮マシンにその命令を送信し、書き込み系命令の場合、その命令をサンドボックスシステム内で実行する。また、サンドボックスシステムは二次攻撃以降においても、攻撃側マシン2からの読み出し系命令をリモートセッションを介して囮マシンに送信し、攻撃側マシンからの書き込み系命令をサンドボックス内で実行する。そして、囮マシンは、攻撃対象マシンではなく、但し、通常業務で人間が操作するマシンである。
読み出し系命令は、システム情報などの参照や、スクリーンショットの取得など、内部情報の変更を伴わない命令である。また、書き込み系命令は、プログラムの自己復号や、プログラムのインストールなど、内部情報の変更を伴う命令である。
サンドボックスは、図3で説明したとおり、攻撃対象ネットワークシステム内の他のマシンやサーバやストレージから隔離された領域に設けられているので、書き込み系命令を実行しても、攻撃対象マシンなどに影響を与えることはない。一方、読み出し系命令を囮マシンに送信して、囮マシンに実行させることで、収集する情報が通常業務で人間が操作している囮マシンのシステム情報やスクリーンショットなどになる。囮マシンは、攻撃対象マシンと同じように通常業務で人間が使用するマシンであるので、収集する情報が攻撃対象マシンから収集される情報と類似または酷似している。これにより、攻撃者に攻撃対象マシンが不正プログラムに感染しその読み出し系命令が実行されたと誤認させる可能性を高めることができる。
図5は、本実施の形態における攻撃対象ネットワークシステムの構成例を示す図である。図3と同様に、サンドボックスシステムSBが、攻撃対象ネットワークシステム1内のセキュリティ装置4から攻撃対象マシン5への内部ネットワークIN_NETの経路上に設けられる。そして、図3と同様に、サンドボックスシステムSBが、外部ネットワークから攻撃対象マシン宛てに送信され、セキュリティ装置4をすり抜けてきた送信データを、原則すべて、攻撃対象マシンに代わって受信する。サンドボックスシステムは、他のマシンやサーバやストレージとは隔離されている隔離コンピュータである。ただし、サンドボックスシステムSBは、起動時などにあらかじめ囮マシン9との間でリモートセッションRM_Sを構築する。
図6は、本実施の形態におけるサンドボックスシステムの構成例を示す図である。図6には、サンドボックスシステムのソフトウエア群の構成が具体的に示されている。すなわち、サンドボックスシステムは、物理マシンであるコンピュータのハードウエア群HWと、物理マシンの基盤ソフトウエアである仮想化ソフトウエア(ハイパーバイザ)及びホストOSを有するシステム共通処理部HVを有する。そして、物理マシン上に、ハイパーバイザにより仮想マシンVM1、VM2、VM3が生成される。
仮想マシンは、検査再生処理装置VM1と、不正動作解析装置VM2と、不正動作記録装置VM3とを有する。
検査再生処理装置VM1は、攻撃対象マシンと同様の動作、例えば不正プログラムを復号し起動しその後の命令実行などの動作をエミュレートする仮想マシンである。検査再生処理装置VM1には、OS(ゲストOS)38と、ブラウザ37と、メールプログラムであるメーラ36がインストールされる。このようなソフトウエアは、攻撃対象マシンと同様の一般的なソフトウエアである。
一方、攻撃対象マシンとは異なる構成として、検査再生処理装置VM1は以下の構成を有する。まず、検査再生処理装置は、外部ネットワークEX_NET経由で攻撃対象マシン5宛ての通信セッションの送信データを含むパケットを、攻撃対象マシンに代わって受信し、攻撃対象マシン5への転送を保留する通信制御部30を有する。通信制御部30は、ホワイトリストに基づいて、適正である蓋然性が高い送信データを攻撃対象マシン5に転送し、適正である蓋然性が低い送信データを受信し、転送を保留するようにしてもよい。
さらに、通信制御部30は、検査再生処理装置MV1と囮マシン9との間にリモートセッションRM_Sを構築するリモートセッション制御部31を有する。リモートセッション制御部は、例えば、仮想マシンである検査再生処理装置VM1が起動したときの初期化ルーチンで実行され、囮マシン9との間にリモートセッションを張る。または、検査再生処理装置VM1が起動した後、人間による操作によりリモートセッション制御部が起動し、囮マシン9との間にリモートセッションを張る。リモートセッション制御部31は、一般的なリモートデスクトップ接続と同様の方式を採用しても良い。
さらに、検査再生処理装置VM1は、受信した送信データに含まれているプログラムや、攻撃側マシン2から送信されるプログラムやツールをインストールし起動し実行する検査制御部32を有する。検査制御部32は、前述のプログラムをインストールし起動する起動制御33を有する。また、検査制御部32は、前述のプログラムの実行に伴い発行される命令や攻撃側マシン2との通信セッションで発行されてくる命令の種別に応じて、その命令を囮マシン9に転送して実行させるか、検査再生処理装置VM1で実行するかを振り分ける命令振分制御34と、検査再生処理装置VM1で発行されまたは実行される命令やそれに伴うデータなどを収集して、不正動作解析装置VM2に送信する命令・データ収集35とを有する。
上記の通信制御部30と検査制御部32はプログラムであり、検査再生処理装置VM1にインストールされる。
2つめの仮想マシンである不正動作解析装置VM2は、検査再生処理装置VM1が実行する命令やそれに伴うデータなどを解析し、不正プログラムか否かの判定や、不正な攻撃側マシンの検出などを行う。したがって、不正動作解析装置VM2は、ゲストOS40と、不正動作解析プログラム39がインストールされる。不正動作解析プログラム39は、受信データについてのウイルスパターン検知を行うアンチウイルスソフトウエアや、不正侵入検知(IDS)プログラムや、受信パケットや送信パケットのIPアドレスやURIなどの通信情報が、ブラックリストと一致するか否かなどを行うレピュテーション検査プログラムや、典型的な不正プログラムの動作シーケンスと一致するかの判定を行う不正動作検知プログラムなどを有する。
3つめの仮想マシンである不正動作記録装置VM3は、検査再生処理装置MV1での命令・データ収集プログラム35が収集する情報や、不正動作解析プログラム39の解析結果など、さまざまなログを収集する。不正動作記録装置VM3は、ゲストOS42とログ収集プログラム41とがインストールされる。
図6のサンドボックスシステムは、物理マシン上に生成される3つの仮想マシンVM1,VM2,VM3で構成される。したがって、サンドボックスシステムを構成する物理マシンは、内部ネットワークIN_NETに設けられる攻撃対象マシン5などから、物理的に隔離されている。したがって、検査再生処理装置VM1が、攻撃対象マシンに代わって不正プログラムの実行をエミュレートしても、それによる影響が攻撃対象マシンに及ぶことはない。
図7は、サンドボックスシステムを構成する物理マシンの構成を示す図である。サンドボックスシステムSBを構成する物理マシンは、CPU(Central Processing Unit)またはプロセッサ10と、メインメモリ12と、キーボード、マウスやディスプレイなどの入出力装置14と、外部ネットワークEX_NETと内部ネットワークIN_NETとの信号の送受信を行う通信装置16と、仮想ネットワークインターフェースや仮想ネットワークスイッチなどのネットワーク装置18とを有する。
また、物理マシンは、バス19と、ハードディスク(HDD)やソリッドステートドライブ(SSD)などの補助記憶装置群20,22,24,26を有する。補助記憶装置群は、ハイパーバイザとホストOSを格納する補助記憶装置20と、仮想マシンVM1が実行するゲストOSとブラウザとメーラを格納する補助記憶装置22_1及び通信制御プログラムと検査制御プログラムを格納する補助記憶装置22_2と、仮想マシンVM2が実行するゲストOSを格納する装置24_1及び不正動作解析プログラムを格納する装置24_2と、仮想マシンVM3が実行するゲストOS及びログ収集プログラムを格納する装置26_1及び動作ログを格納する装置26_2とを含む。これらの補助記憶装置内のプログラムは、物理マシンのメインメモリ12内に展開され、CPU10により実行される。
補助記憶装置24_2内の不正動作解析プログラムは、パターン検知プログラムと、レピュテーション検査プログラムと、不正動作検知プログラムなどを有する。パターン検知プログラムは、CPUが実行することで、受信データについてのウイルスパターン検知やシグニチャー検知による不正侵入を検知する。レピュテーション検査プログラムは、CPUが実行することで、外部ネットワークからの受信パケットや囮マシンから出力される送信パケットのIPアドレスやURIなどの通信情報が、標的型サイバー攻撃者のIPアドレスやURIなどを有するブラックリストと一致するか否かなどを行う。不正動作検知プログラムは、CPUが実行することで、例えば、受信メールの添付ファイルの拡張子と、その添付ファイルを起動する起動アプリケーションとが整合しない場合や、物理マシンの内部情報を書き替える命令の実行や、制御命令の実行などを検知する。
不正動作解析プログラムをCPUが実行することで、不正動作や不正プログラムを検知すると、通信制御プログラム30が、受信データを攻撃対象マシン5への中継を遮断または保留にする。または、通信制御プログラム30は、受信データを攻撃対象マシンに中継するようにしてもよい。いずれの処理を行うかは、通信制御プログラムへの設定に依存するようにしてもよい。
また、補助記憶装置26_1に格納されるログ収集プログラムは、CPUが実行することで、受信データ内のプログラムの実行やそれに伴う命令の実行をエミュレートしている間、その命令とそれに伴うデータや一連の通信履歴などを、補助記憶装置26_2の動作ログに記録する。そして、動作ログを解析することにより、不正プログラムの動作やその後の攻撃側マシンから送信されるプログラムの動作や命令の動作を再現可能にする。
図8は、攻撃対象マシンの構成例を示す図である。攻撃対象マシン5は、通常業務で人間が操作するパーソナルコンピュータまたはサーバーコンピュータであり、CPU50、メインメモリ52、キーボードやディスプレイなどの入出力装置54、通信装置56、ネットワークスイッチなどのネットワークインターフェース58などを有し、それらがバス57を介して接続される。
また、攻撃対象マシンは、補助記憶装置群60,62,64を有し、補助記憶装置60はメールプログラム、ブラウザ、OSを格納し、補助記憶装置62は、攻撃対象マシンのシステム情報、マシン環境情報、ネットワーク設定情報などを格納する。また、補助記憶装置64は、例えば、機密情報である秘匿性の高いデータ群を記憶する場合もある。その場合、攻撃側マシン2は、攻撃対象マシン5の補助記憶装置64が記憶する機密情報を抽出するまたは改ざんすることを一つの目的とする。
また、攻撃対象マシンが内部ネットワークを介して図示しないネットワークセグメント内のサーバにアクセス可能になる場合もある。そして、サーバが機密情報を記憶することもある。その場合は、攻撃側マシンは、攻撃対象マシンのネットワーク設定情報などに基づいて、サーバのネットワークセグメントとサーバへの経路を検出し、サーバが記憶する機密情報を抽出または改ざんすることを目的とする。
図9は、囮マシンの構成例を示す図である。囮マシン9は、攻撃対象マシン5と同様に、通常業務で人間が操作するパーソナルコンピュータであり、CPU50、メインメモリ52、キーボードやディスプレイなどの入出力装置54、通信装置56、ネットワークスイッチなどのネットワークインターフェース58などを有し、それらがバス57を介して接続される。
そして、補助記憶装置60、62は、図8の攻撃対象マシン5と同じである。しかし、補助記憶装置70は、攻撃対象マシン5の補助記憶装置64と異なり、秘匿性のないデータ群または秘匿性の低いデータ群を格納する。または、囮マシン9は、業務上、内部ネットワーク上に設けられた機密情報を格納するサーバやストレージにアクセスすることがない。そのため、囮マシン9のネットワーク設定情報を収集してもサーバやストレージにアクセスするための情報を収集することが困難である。したがって、攻撃者が読み出し系の命令を囮マシン9に実行させても、囮マシンの補助記憶装置から機密情報または機密情報を有するサーバやストレージへのネットワーク情報が抽出されるリスクはないまたは少ない。
図10は、サンドボックスシステム内の検査再生処理装置VM1が実行する検査制御プログラムの処理を示すフローチャート図である。図6で説明したとおり、外部ネットワークから送信されてくる受信データに含まれているプログラム、命令、コマンドなどを攻撃対象マシン5に代わって実行するために、検査制御プログラム32は、起動制御プログラム33と、命令振分制御プログラム34と、命令・データ収集プログラム35とを有する。
検査制御プログラム32は、CPU10により実行されることで、外部ネットワークから所定のプログラムを含む送信データを通信制御部30が受信すると(S30のYES)、送信データがメールの場合(S31のYES)、メールに添付または含まれている所定のプログラムを起動する(S32)。この処理は、攻撃対象マシン5がメールを受信した際に、利用者6がメールを開封しメールに添付または含まれているファイルを実行することと同等の処理である。
また、送信データが所定サイトからのダウンロードデータである場合(S33のYES)、ダウンロードされた受信データに含まれている所定プログラムを起動する(S34)。この処理は、攻撃対象マシン5が所定サイトからドライブバイダウンロードにより受信するデータに含まれるプログラムを起動することと同等の処理である。
サンドボックスシステムは、通常、攻撃対象マシンと異なり人間が操作するものではないので、検査制御プログラムの起動制御プログラム33が、上記の工程S31-S34を自動で実行する。
検査制御プログラム32は、CPU10により実行されることで、所定のプログラムが実行されたあと、そのプログラムの実行により発行される命令またはコマンドや、攻撃側マシン2から送信されてくる命令やコマンドを、あらかじめ構築しているリモートセッションを介して囮マシン9に転送するか、または検査再生処理装置VM1のゲストOS38に実行させるかの振り分け処理を行う(S35)。この処理は、命令振分制御プログラム34をCPUが実行することにより行われる。さらに、検査制御プログラムは、振分処理される命令とそれに伴うデータを、不正動作解析装置VM2に送信する(S36)。この命令やデータの送信処理は、命令・データ収集プログラム35をCPUが実行することにより行われる。
図11は、命令振分制御プログラムの処理を示すフローチャート図である。命令振分制御プログラムは、CPUが実行することで、起動制御により起動した所定プログラムが、攻撃対象マシンや攻撃対象マシンがアクセス可能な内部ネットワーク上のリソース(例えばサーバやストレージ)に対する読み出し系命令を発行すると(S30のYES)、その命令を第1のリモートセッションRM_Sを介して囮マシン9に送信し、囮マシン9に実行させる(S38)。
読み出し系命令は、例えば、マシンのレジストリ情報やマシン環境情報、ネットワーク設定情報などを参照するコマンド、例えば、sysinfo(システム情報やメモリの使用状況を取得するコマンド)、reg query(レジストリの設定情報を表示するコマンド)、ipconfig(ルーターやネットワーク内での自分のマシンのプライベートIPアドレスなどを参照するコマンド)、netstat(マシンのネットワーク接続状態やネットワーク統計などを取得するコマンドであり、マシンが実行している接続一覧やステータス、ルーティング・テーブルなどを取得する)などである。あるいは、マシンのデスクトップのスナップショットを取得する特定のキー操作も、読み出し系命令に属する。
一方、命令振分制御プログラムは、起動した所定プログラムが、攻撃対象マシンや前述の内部ネットワーク上のリソースに対する書き込み系命令を発行すると(S39)、その命令をサンドボックスのマシンに実行させる(S40)。
書き込み系命令は、例えば、攻撃対象マシンが保持するファイルの更新や特定のディレクトリへのファイル配置、実行形式ファイルでの実行命令などが含まれる。この書き込み系命令は、例えば検査再生処理装置VM1内のゲストOSにより実行される場合もある。
命令振分制御プログラムは、CPUが実行することで、不正プログラムが攻撃側マシン2との間に構築した第2のリモートセッション経由で、所定プログラムや命令を含む送信データを受信すると(S41のYES)、その所定プログラムや命令が読み出し系命令の場合(S42のYES)、その命令等を第1のリモートセッションRM_Sを介して囮マシン9に送信し、囮マシン9に実行させる(S43)。読み出し系命令の例は、前述と同様である。
また、所定プログラムや命令が書き込み系命令の場合(S44のYES)、その命令等をサンドボックスのマシンに実行させる(S45)。
図12は、本実施の形態におけるサンドボックスシステムによる動作例を示す図である。図12では、サンドボックスシステムが、図2,4で説明したのと同様の、受信メールや受信データに含まれていた不正プログラムの動作や、攻撃側マシン2との間のリモートセッションで送信されるプログラム、命令、コマンドなどを、どのように処理するかを示す。
最初に、標的型攻撃メールを含む受信メールを受信すると(S1_1)、または、攻撃対象マシン5などによるドライブバイダウンロードによる受信データを受信すると(S1_2)、サンドボックスシステム内の検査再生処理装置VM1が、その受信メールまたは受信データを取得し、人間による操作を介在せずに、受信メール7に添付もしくは含まれる所定のプログラム、または受信データに含まれる所定のプログラム8を起動、実行する(S10)。所定のプログラムは、まず自己復号を行う(S11)。所定のプログラムの圧縮ファイルの復号命令は、解凍ファイルが所定の記憶領域に書き込まれる書き込み系命令のため、命令振分制御プログラムにより、サンドボックス内の検査再生処理装置VM1に振り分けられ、実行される。これにより、攻撃対象マシン内で所定のプログラムが復号されることが防止される。
次に、所定のプログラムは、システム情報の収集命令S12と、マシン環境情報の収集命令S13と、ネットワーク設定情報の収集命令S14を発行する。これらの命令はマシンの設定、環境情報を参照する読み出し系命令であるので、命令振分制御プログラムが、これらの命令をリモートセッションRM_Sを介して囮マシン9に転送する(S12A,S13A,S14A)。転送された命令は、囮マシン9が実行し、読み出した情報をサンドボックスシステムの検査再生処理装置VM1の所定の記憶領域に格納する。
この読み出し系命令を囮マシンに転送して実行させる動作は、図4のサンドボックスの動作とは異なる。
情報収集命令S12,S13は、囮マシンが実行するので、囮マシンの情報が収集される。したがって、囮マシンの情報には、サンドボックスシステムの検査再生処理装置VM1のマシン情報のような仮想化プログラム(ハイパーバイザ)の存在は含まれない。または、囮マシンのネットワーク設定情報には、内部ネットワーク内のサーバが接続されるネットワークセグメントの情報や、そのネットワークセグメントへのルーティング情報などが含まれている。このような情報は、サンドボックスシステムのネットワーク設定情報には含まれないのが一般的である。その結果、攻撃者が囮マシンの収集情報からサンドボックスシステムの存在を疑う蓋然性は低い。
次に、所定のプログラムは、リモートアドミニストレーションツールRATを起動し、攻撃側マシン2との間に第2のリモートセッションを構築する(S15)。このRATによるリモートセッションの開設命令は、プロセス起動命令であり、構築したリモートセッションの設定情報などが書き込まれるので、書き込み系命令に属する。したがって、この命令は、命令振分制御プログラムにより、検査再生処理装置VM1内で実行される。
さらに、所定プログラムは、攻撃側マシンとの間に構築したリモートセッションを経由して、攻撃側マシン2に工程S12,S13,S14で収集した情報をダウンロードする(S16)。ここでダウンロードされた収集情報は、サンドボックスシステム内の仮想マシンVM1の情報ではなく、内部ネットワークに接続され通常業務で人間により操作される囮マシンの情報である。したがって、攻撃者は、これら収集情報から不正プログラムがサンドボックスシステムで実行されたことを察知する可能性は低い。
以降、攻撃側マシンによる二次攻撃が開始される(S20)。たとえば、攻撃側マシン2からリモートセッションを経由して、画面のスクリーンショットを取得する命令が送信される(S21)。この取得命令は、例えば、攻撃側マシン2からのリモートセッションを利用する囮マシンへのリモート操作によりスクリーンショットを取得するキーボード操作をすることにより実質的に送信できる。または攻撃側マシン2からリモートセッションを経由して取得コマンドを送信して、それを受信したマシンに実行させることでも送信できる。
このリモート操作に対応する取得コマンドまたは送信されてきた取得コマンドに対して、命令振分制御プログラム34は、取得コマンドがデスクトップ画面の取得であり読み出し系命令であるので、囮マシン9にリモートセッションRM_Sを経由して送信し、囮マシン9に実行させる(S21A)。取得されたスクリーンショット画像は、例えば、サンドボックスシステムの検査再生処理装置VM1内の記憶領域に記憶される。
さらに、攻撃側マシン2から不正プログラムに感染したマシン(この場合は検査再生処理装置VM1)の周辺のネットワークや周辺のマシン情報の検索と収集命令が送信されると(S22)、検索と収集命令は読み出し系命令であるので、命令振分制御プログラム34は、囮マシン9にリモートセッションRM_Sを経由して送信し、囮マシン9に実行させる(S22A)。収集された情報は、例えば、サンドボックスシステムの検査再生処理装置VM1内の記憶領域に記憶される。
上記のように、攻撃側マシンとの間のリモートセッションを経由してさらに情報を収集しようとする命令が送信された場合、検査再生処理装置VM1の命令振分プログラムが囮マシン9に送信して実行させるので、攻撃側マシンがその収集した情報、つまり囮マシンとその周辺の情報を分析しても、サンドボックスシステムの存在に気付く蓋然性は低い。
そして、攻撃側マシン2から不正プログラムや不正ツールをインストールする命令や、それらを削除する命令が送信されてきた場合(S23)、これらの命令は不正プログラムに感染したマシンに対する書き込み系命令であるので、サンドボックスシステムの検査再生処理装置VM1が実行する。これにより、囮マシン9に不正プログラムや不正ツールがインストールされるのを防止できる。
[第2の実施の形態におけるサンドボックスシステム]
第1の実施の形態における図5のサンドボックスシステムは、外部ネットワークEX_NETと攻撃対象マシン5との間の内部ネットワークIN_NETの経路上に設けられるゲートウエイタイプの例である。それに対して、第2の実施の形態におけるサンドボックスシステムは、攻撃対象マシン5の物理マシン内に生成される仮想マシンによって構成されるエンドポイントタイプの例である。
図13は、第2の実施の形態におけるサンドボックスシステムの構成を示す図である。図12の例では、共通の物理マシンのハードウエア群HWとハイパーバイザ及びホストOSの基盤プログラムを有するシステム共通処理部HV上に、攻撃対象マシンVM20,VM22、囮マシンVM10とともに、サンドボックスシステムSBを構成する3つの仮想マシンVM1,VM2,VM3が生成されている。
サンドボックスシステムSBは、図6と同様に、検査再生処理装置VM1と、不正動作解析装置VM2と、不正動作記録装置VM3とを有する。これらの装置の構成は図6と同様である。また、攻撃対象マシンVM20,VM22及び囮マシンVM10の構成は、それぞれ、図8、図9と同様である。
図12の例では、仮想ネットワークV_NWが、セキュリティ装置4に接続される内部ネットワークIN_NETと検査再生処理装置VM1との間の接続と、検査再生処理装置VM1と攻撃対象マシンVM20,VM22及び囮マシンVM10との間の仮想内部ネットワークV_IN_NETと、検査再生処理装置VM1と囮マシンVM10との間の仮想リモートセッションV_RM_Sとを構築するよう設定される。
この仮想ネットワークV_NWにより、サンドボックスシステムSBも、ゲートウエイタイプと同様に、外部ネットワークからの受信データを取得し、攻撃対象マシンへの転送を保留することができる。
上記のサンドボックスシステムSBと、攻撃対象マシン及び囮マシンの構成においても、第1の実施の形態と同様に、サンドボックスシステムが、攻撃対象マシンに代わって不正プログラムの実行をエミュレートする。そして、第1の実施の形態と同様に、不正プログラムの情報収集命令は囮マシンで実行され、不正プログラムに感染したサンドボックスシステムのマシン情報や設定情報ではなく、囮マシンのマシン情報や設定情報が収集される。これにより、攻撃者にサンドボックスシステムの存在を疑わせる蓋然性を低くでき、攻撃者の攻撃方法を捕獲することができる。
図12において、攻撃対象マシンまたは囮マシンが、異なる物理マシンで構成されてもよい。
[第3の実施の形態におけるサンドボックスシステム]
図14は、第3の実施の形態におけるサンドボックスシステムと攻撃対象ネットワークシステムの構成を示す図である。このサンドボックスシステムSBは、外部ネットワークEX_NETに近い内部ネットワークIN_NWの経路上に設けられたスイッチSWの分岐ポートに接続される。一方、攻撃対象マシン5や囮マシン9は、スイッチSWを介して外部ネットワークEX_NW経由の通信が可能である。このスイッチSWは、例えば物理スイッチであり、外部ネットワークから送信されセキュリティ装置4を通り抜けた受信データは、攻撃対象マシン5や囮マシン9に送信され、サンドボックスシステムSBはその受信データを傍受する。
このような構成において、サンドボックスシステムSBの構成は、図6と内部ネットワークIN_NWに接続される構成を除いて同じである。したがって、サンドボックスシステムSBは、受信メールやドライブバイダウンロードされる不正プログラムなどを受信し、自動で不正プログラムを起動し実行する。そして、サンドボックスシステムSBは、不正プログラムの実行をエミュレートする過程で、攻撃者による読み出し系命令はリモートセッションRM_Sを介して囮マシン9に送信して実行させ、書き込み系命令は自分で実行する。
以上説明したとおり、第1、第2、第3の実施の形態によれば、標的型サイバー攻撃に対してサンドボックスを設置して不正プログラムの検知と攻撃方法の捕獲をする場合、攻撃者にサンドボックスの存在を察知される蓋然性を低くする。それにより、攻撃者の様々な攻撃方法をできるだけ捕獲することができる。
以上の第1、第2、第3の実施の形態に関し,さらに以下の付記を開示する。
(付記1)
コンピュータに、
第1のネットワークに接続された第1のマシン宛てに第2のネットワークから送信された第1のプログラムを含む送信データを受信し、
前記第1のプログラムの起動後に、前記第1のマシンに対する読み出し系命令を、前記第1のマシンとは異なる第2のマシンと前記コンピュータとの間で確立された第1のセッションを経由して第2のマシンに送信し、
前記第1のプログラムの起動後に、前記第1のマシンに対する書き込み系命令を前記第1のマシンに代わって実行する、
処理を実行させる、コンピュータ読み取り可能な攻撃内容分析プログラム。
(付記2)
前記処理は、さらに、前記読み出し系命令及び書き込み系命令の履歴を収集する処理を有する、付記1に記載の攻撃内容分析プログラム。
(付記3)
前記書き込み系命令は、前記第1のプログラムを前記第1のマシンにインストールする命令、前記第1のプログラムの起動後に第2のプログラムを前記第1のマシンにインストールする命令のいずれか一方または両方を含む、付記1に記載の攻撃内容分析プログラム。
(付記4)
前記読み出し系命令は、前記第1のマシンのマシン情報または設定情報を問い合わせるコマンドを含む、付記1に記載の攻撃内容分析プログラム。
(付記5)
前記処理は、さらに、
前記読み出し系命令の実行により読み出された前記マシン情報または設定情報を記憶し、
第2のネットワーク上の第3のマシンとの間に第2のセッションを確立する命令を実行する処理を含む、付記4に記載の攻撃内容分析プログラム。
(付記6)
前記処理は、さらに、
前記第2のセッションを確立する命令を実行した後、第2のプログラムを前記第1のマシンにインストールする命令を実行する処理を有する、付記5に記載の攻撃内容分析プログラム。
(付記7)
前記処理は、さらに、画面キャプチャ画像を取得させる命令を、前記第1のセッションを経由して前記第2のマシンに送信する処理を有する、付記6に記載の攻撃内容分析プログラム。
(付記8)
前記コンピュータは前記第1のマシンから隔離されている、付記1に記載の攻撃内容分析プログラム。
(付記9)
前記処理は更に、
前記送信データの受信に応答して、受信した前記第1のプログラムを前記第1のマシンに代わって起動することを有する、付記1に記載の攻撃内容分析プログラム。
(付記10)
コンピュータに、
第1のネットワークに接続された第1のマシン宛てに第2のネットワークから送信された第1のプログラムを含む送信データを受信し、
前記第1のプログラムの起動後に、前記第1のマシンに対する読み出し系命令を、前記第1のマシンとは異なる第2のマシンと前記コンピュータとの間で確立された第1のセッションを経由して前記第2のマシンに送信し、
前記第1のプログラムの起動後に、前記第1のマシンに対する書き込み系命令を実行する、
処理を実行させる攻撃内容分析方法。
(付記11)
前記処理は、さらに、前記読み出し系命令及び書き込み系命令の履歴を収集する処理を有する、付記10に記載の攻撃内容分析方法。
(付記12)
第1のネットワークに接続された第1のマシン宛てに第2のネットワークから送信された第1のプログラムを含む送信データを受信する通信制御部と、
前記第1のプログラムの起動後に、前記第1のマシンに対する読み出し系命令を、前記第1のマシンとは異なる第2のマシンとの間で確立された第1のセッションを経由して前記第2のマシンに送信し、前記第1のマシンに対する書き込み系命令を前記第1のマシンに代わって実行する検査処理部とを、有する攻撃内容分析装置。
(付記13)
さらに、前記読み出し系命令及び書き込み系命令の履歴を収集する命令収集部を有する、付記12に記載の攻撃内容分析装置。
(付記14)
メモリと、
第1のネットワークに接続された第1のマシン宛てに第2のネットワークから送信された第1のプログラムを含む送信データの受信し、前記第1のプログラムの起動後に、前記第1のマシンに対する読み出し系命令を、前記第1のマシンとは異なる第2のマシンとの間に確立された第1のセッションを経由して前記第2のマシンに送信し、前記第1のマシンに対する書き込み系命令を前記第1のマシンに代わって実行するよう構成されたプロセッサとを有する、攻撃内容分析装置。
1:攻撃対象ネットワークシステム
2:攻撃側マシン
3:ウエブサイト
4:セキュリティ装置
5:攻撃対象マシン
9:囮マシン
IN_NET:内部ネットワーク、第1のネットワーク
EX_NET:外部ネットワーク、第2のネットワーク
SB:サンドボックスシステム、攻撃内容分析装置
VM1:検査再生処理装置
30:通信制御部、通信制御プログラム
32:検査制御部、検査制御プログラム
VM2:不正動作解析装置
39:不正動作解析プログラム
VM3:不正動作記録装置
41:ログ収集プログラム

Claims (11)

  1. コンピュータに、
    第1のネットワークに接続された第1のマシン宛てに第2のネットワークから送信された第1のプログラムを含む送信データを受信し、
    前記第1のプログラムの起動後に、前記第1のマシンに対する読み出し系命令を、前記第1のマシンとは異なる第2のマシンと前記コンピュータとの間で確立された第1のセッションを経由して第2のマシンに送信し、
    前記第1のプログラムの起動後に、前記第1のマシンに対する書き込み系命令を前記第1のマシンに代わって実行する、
    処理を実行させる、コンピュータ読み取り可能な攻撃内容分析プログラム。
  2. 前記処理は、さらに、前記読み出し系命令及び書き込み系命令の履歴を収集する処理を有する、請求項1に記載の攻撃内容分析プログラム。
  3. 前記書き込み系命令は、前記第1のプログラムを前記第1のマシンにインストールする命令、前記第1のプログラムの起動後に第2のプログラムを前記第1のマシンにインストールする命令のいずれか一方または両方を含む、請求項1に記載の攻撃内容分析プログラム。
  4. 前記読み出し系命令は、前記第1のマシンのマシン情報または設定情報を問い合わせるコマンドを含む、請求項1に記載の攻撃内容分析プログラム。
  5. 前記処理は、さらに、
    前記読み出し系命令の実行により読み出された前記マシン情報または設定情報を記憶し、
    第2のネットワーク上の第3のマシンとの間に第2のセッションを確立する命令を実行する処理を含む、請求項4に記載の攻撃内容分析プログラム。
  6. 前記処理は、さらに、
    前記第2のセッションを確立する命令を実行した後、第2のプログラムを前記第1のマシンにインストールする命令を実行する処理を有する、請求項5に記載の攻撃内容分析プログラム。
  7. 前記処理は、さらに、画面キャプチャ画像を取得させる命令を、前記第1のセッションを経由して前記第2のマシンに送信する処理を有する、請求項6に記載の攻撃内容分析プログラム。
  8. 前記コンピュータは前記第1のマシンから隔離されている、請求項1に記載の攻撃内容分析プログラム。
  9. 前記処理は更に、
    前記送信データの受信に応答して、受信した前記第1のプログラムを前記第1のマシンに代わって起動することを有する、請求項1に記載の攻撃内容分析プログラム。
  10. コンピュータに、
    第1のネットワークに接続された第1のマシン宛てに第2のネットワークから送信された第1のプログラムを含む送信データを受信し、
    前記第1のプログラムの起動後に、前記第1のマシンに対する読み出し系命令を、前記第1のマシンとは異なる第2のマシンと前記コンピュータとの間で確立された第1のセッションを経由して前記第2のマシンに送信し、
    前記第1のプログラムの起動後に、前記第1のマシンに対する書き込み系命令を実行する、
    処理を実行させる攻撃内容分析方法。
  11. 第1のネットワークに接続された第1のマシン宛てに第2のネットワークから送信された第1のプログラムを含む送信データを受信する通信制御部と、
    前記第1のプログラムの起動後に、前記第1のマシンに対する読み出し系命令を、前記第1のマシンとは異なる第2のマシンとの間で確立された第1のセッションを経由して前記第2のマシンに送信し、前記第1のマシンに対する書き込み系命令を前記第1のマシンに代わって実行する検査処理部とを、有する攻撃内容分析装置。
JP2016124825A 2016-06-23 2016-06-23 攻撃内容分析プログラム、攻撃内容分析方法及び攻撃内容分析装置 Active JP6738013B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2016124825A JP6738013B2 (ja) 2016-06-23 2016-06-23 攻撃内容分析プログラム、攻撃内容分析方法及び攻撃内容分析装置
US15/607,808 US10601867B2 (en) 2016-06-23 2017-05-30 Attack content analysis program, attack content analysis method, and attack content analysis apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016124825A JP6738013B2 (ja) 2016-06-23 2016-06-23 攻撃内容分析プログラム、攻撃内容分析方法及び攻撃内容分析装置

Publications (2)

Publication Number Publication Date
JP2017228153A true JP2017228153A (ja) 2017-12-28
JP6738013B2 JP6738013B2 (ja) 2020-08-12

Family

ID=60678098

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016124825A Active JP6738013B2 (ja) 2016-06-23 2016-06-23 攻撃内容分析プログラム、攻撃内容分析方法及び攻撃内容分析装置

Country Status (2)

Country Link
US (1) US10601867B2 (ja)
JP (1) JP6738013B2 (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2020047175A (ja) * 2018-09-21 2020-03-26 株式会社日立ハイテクソリューションズ セキュリティシステム
JP2020194503A (ja) * 2019-05-30 2020-12-03 株式会社デンソーウェーブ 送信システム及び送信方法
WO2021262600A1 (en) * 2020-06-21 2021-12-30 Apple Inc. Application specific network data filtering

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10621357B2 (en) * 2017-08-31 2020-04-14 Microsoft Technology Licensing, Llc Off node scanning

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH01196655A (ja) * 1988-02-01 1989-08-08 Nec Corp 不正ログイン防止方式
JP2002041468A (ja) * 2000-07-26 2002-02-08 Nec Software Chubu Ltd 不正アクセス防止サービスシステム
JP2002318739A (ja) * 2001-02-14 2002-10-31 Mitsubishi Electric Corp 不正侵入データ対策処理装置、不正侵入データ対策処理方法及び不正侵入データ対策処理システム
US20140317745A1 (en) * 2013-04-19 2014-10-23 Lastline, Inc. Methods and systems for malware detection based on environment-dependent behavior

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7945642B1 (en) * 2005-10-06 2011-05-17 Sprint Spectrum L.P. Method and system for providing software to a machine
TWI407328B (zh) 2010-09-15 2013-09-01 Chunghwa Telecom Co Ltd 網路病毒防護方法及系統
US20170134405A1 (en) * 2015-11-09 2017-05-11 Qualcomm Incorporated Dynamic Honeypot System
US20170163664A1 (en) * 2015-12-04 2017-06-08 Bottomline Technologies (De) Inc. Method to secure protected content on a mobile device

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH01196655A (ja) * 1988-02-01 1989-08-08 Nec Corp 不正ログイン防止方式
JP2002041468A (ja) * 2000-07-26 2002-02-08 Nec Software Chubu Ltd 不正アクセス防止サービスシステム
JP2002318739A (ja) * 2001-02-14 2002-10-31 Mitsubishi Electric Corp 不正侵入データ対策処理装置、不正侵入データ対策処理方法及び不正侵入データ対策処理システム
US20140317745A1 (en) * 2013-04-19 2014-10-23 Lastline, Inc. Methods and systems for malware detection based on environment-dependent behavior

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2020047175A (ja) * 2018-09-21 2020-03-26 株式会社日立ハイテクソリューションズ セキュリティシステム
JP7198617B2 (ja) 2018-09-21 2023-01-04 株式会社日立ハイテクソリューションズ セキュリティシステム
JP2020194503A (ja) * 2019-05-30 2020-12-03 株式会社デンソーウェーブ 送信システム及び送信方法
JP7247753B2 (ja) 2019-05-30 2023-03-29 株式会社デンソーウェーブ 送信システム及び送信方法
WO2021262600A1 (en) * 2020-06-21 2021-12-30 Apple Inc. Application specific network data filtering

Also Published As

Publication number Publication date
US10601867B2 (en) 2020-03-24
JP6738013B2 (ja) 2020-08-12
US20170374099A1 (en) 2017-12-28

Similar Documents

Publication Publication Date Title
CN109684832B (zh) 检测恶意文件的系统和方法
AU2020203503B2 (en) Automated runtime detection of malware
US20200366694A1 (en) Methods and systems for malware host correlation
US8539582B1 (en) Malware containment and security analysis on connection
US10339300B2 (en) Advanced persistent threat and targeted malware defense
US11232201B2 (en) Cloud based just in time memory analysis for malware detection
CN110119619B (zh) 创建防病毒记录的系统和方法
Srivastava et al. Automatic discovery of parasitic malware
Qbeitah et al. Dynamic malware analysis of phishing emails
US11909761B2 (en) Mitigating malware impact by utilizing sandbox insights
Megira et al. Malware analysis and detection using reverse engineering technique
JP6738013B2 (ja) 攻撃内容分析プログラム、攻撃内容分析方法及び攻撃内容分析装置
Grégio et al. Behavioral analysis of malicious code through network traffic and system call monitoring
Mirza et al. Ransomware analysis using cyber kill chain
Tirli et al. Virmon: a virtualization-based automated dynamic malware analysis system
US20220327207A1 (en) Arrangement and method of threat detection in a computer or computer network
Anand et al. Comparative study of ransomwares
JPWO2015178002A1 (ja) 情報処理装置、情報処理システム及び通信履歴解析方法
Shi et al. Design of a comprehensive virtual machine monitoring system
Garg et al. Analysis and categorization of emotet iot botnet malware
Hong et al. New malware analysis method on digital forensics
RU2673407C1 (ru) Система и способ определения вредоносного файла
Grammatikakis et al. System threats
Arunanshu et al. Evaluating the Efficacy of Antivirus Software Against Malware and Rats Using Metasploit and Asyncrat
Sridhar Testbed Design For Evaluation Of Active Cyber Defense Systems

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190311

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20200129

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200303

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200427

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200616

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200629

R150 Certificate of patent or registration of utility model

Ref document number: 6738013

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150