JPWO2016002605A1 - 検知装置、検知方法及び検知プログラム - Google Patents

検知装置、検知方法及び検知プログラム Download PDF

Info

Publication number
JPWO2016002605A1
JPWO2016002605A1 JP2016531302A JP2016531302A JPWO2016002605A1 JP WO2016002605 A1 JPWO2016002605 A1 JP WO2016002605A1 JP 2016531302 A JP2016531302 A JP 2016531302A JP 2016531302 A JP2016531302 A JP 2016531302A JP WO2016002605 A1 JPWO2016002605 A1 JP WO2016002605A1
Authority
JP
Japan
Prior art keywords
data
communication data
attribute information
tag
detection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2016531302A
Other languages
English (en)
Other versions
JP6096389B2 (ja
Inventor
知範 幾世
知範 幾世
一史 青木
一史 青木
剛男 針生
剛男 針生
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Application granted granted Critical
Publication of JP6096389B2 publication Critical patent/JP6096389B2/ja
Publication of JPWO2016002605A1 publication Critical patent/JPWO2016002605A1/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q40/00Finance; Insurance; Tax strategies; Processing of corporate or income taxes
    • G06Q40/02Banking, e.g. interest calculation or account maintenance
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/144Detection or countermeasures against botnets

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Accounting & Taxation (AREA)
  • Finance (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Development Economics (AREA)
  • Economics (AREA)
  • Marketing (AREA)
  • Technology Law (AREA)
  • Virology (AREA)
  • Bioethics (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Storage Device Security (AREA)

Abstract

検知装置(10)は、通信データに対して、当該通信データの通信先情報に対応づけた属性情報を含むタグを付与し、当該属性情報を含むタグが付与された通信データの伝搬を追跡するデータ伝搬追跡部(110)と、通信データに、当該通信データの送信先、もしくは、送信元に対応する属性情報とは異なる属性情報を含むタグが存在する場合には、当該通信データの改ざんを検知する改ざん検知部(112)と、を備えることを特徴とする。

Description

本発明は、検知装置、検知方法及び検知プログラムに関する。
近年、MITB(Man-in-the-browser)攻撃機能を具備したマルウェアによるオンラインバンキング詐欺の被害が多発している。MITB攻撃とは、端末の利用者とWebサービス間の通信に割り込んで通信内容を搾取、改ざんする攻撃である。ZBotやSpyEye等のマルウェアはMITB攻撃機能を具備しており、感染端末とオンラインバンクとの間の通信に割り込んで通信データを改ざんすることによって送金金額の操作や偽装入力フォームの表示といった攻撃を行う。
ZBot等のマルウェアでは、MITB攻撃の対象となる通信データは設定ファイルによって指定できる仕組みが採られている。そのため、オンラインバンキングに限らず、攻撃者は意図したWebサービスとの通信データに対して攻撃を行うことが可能である。設定ファイルはC&C(Command and Control)サーバ上に設置されており、マルウェアは、C&Cサーバと通信して当該ファイルを取得することで改ざん攻撃の対象と改ざん内容を把握する。その後、ZBot等のマルウェアの場合、API(Application Programming Interface)フックを用いて改ざん攻撃を行う。例えば、通信データの送受信に関わるAPIをフックすることで、暗号化前や復号後の通信データに対して改ざん攻撃が行われる。このような攻撃を受けた場合、通信経路をSSLで保護するだけでは改ざん攻撃を防ぐことはできない。
このような脅威への対策を行う場合、マルウェア感染自体を防ぐことが理想である。しかし、感染攻撃の手口は年々巧妙化しており未然に感染を防ぐことが困難な状況にある。そのため、ユーザ端末がマルウェアに感染することを前提とした対策が不可欠である。
マルウェア感染後の対策をクライアント側で行う方法は主に2つある。1つは、APIフック等が行われないように攻撃対象となるプロセスを保護する方法、もう1つは、改ざん対象と内容を指定する設定ファイルの取得を阻止する方法である。APIフックを防ぐことができれば、改ざんの発生を未然に防止できる。しかし、マルウェアに感染した状態で確実にそれを実現することは難しい。一方の設定ファイルの取得を阻止する方法の場合、ネットワーク上での対策ができるため、たとえ端末がマルウェアに感染していたとしても対策可能である。ただし、設定ファイルを配布するC&CサーバのIP(Internet Protocol)アドレス等を事前に把握しておかなければならない。
C&CサーバのIPアドレス等を事前に収集するためには、一般にマルウェア解析が行われる。これまでに、マルウェア解析によってC&Cサーバを自動で特定する手法として、システムコール間の通信データの受け渡し関係に基づいてC&Cサーバを特定する手法が非特許文献1で提案されている。この手法はマルウェアがC&Cサーバと通信する時にのみ現れるシステムコール間のデータの受け渡し関係に着目しており、誤検知が少ないという特徴がある。しかし、システムコール間のデータの受け渡し関係に特徴が表れない場合には検知できない。
また、これまでに、MITB攻撃を行うマルウェアの解析手法として非特許文献2のような手法が提案されている。非特許文献2の手法はWebサービスに影響を与えることなくマルウェアを分析し、改ざん検知及び改ざん場所の特定ができる点で優れている。しかし、改ざん内容を指定したC&Cサーバの特定までは実現していない。
P. Wurzinger, L. Bilge, T. Holz, J. Goebel, C. Kruegel, and E. Kirda 「Automatically Generating Models for Botnet Detection」In Proceedings of the 14th European Conference on Research in Computer Security 瀬川 達也、神薗 雅紀、星澤 裕二、吉岡 克成、松本 勉 「Man−in−the−Browser攻撃を行うマルウェアの安全な動的解析手法」 電子情報通信学会技術研究報告
本発明は、通信データの改ざんを詳細に分析することができる検知装置、検知方法及び検知プログラムを提供することを目的とする。
上述した課題を解決し、目的を達成するため、開示の検知装置は、通信データに対して、当該通信データの通信先情報に対応づけた属性情報を含むタグを付与し、当該タグが付与された通信データの伝搬を追跡する追跡部と、前記通信データに、当該通信データの送信先もしくは送信元に対応する属性情報とは異なる属性情報を含むタグが存在する場合に、当該通信データの改ざんを検知する検知部とを備えることを特徴とする。
本願に開示する実施形態によれば、通信データの改ざんを詳細に分析することができるという効果を奏する。
図1は、本実施形態に係る検知装置の概要を示す構成図である。 図2は、本実施形態に係る検知装置における仮想計算機及びデータ伝搬追跡部の構成を示すブロック図である。 図3は、本実施形態に係るタグの構成例を示す図である。 図4は、本実施形態に係る通信先情報DBに記憶される情報の一例を示す図である。 図5は、本実施形態に係る改ざん検知部における受信データに対する処理の流れを示すフローチャートである。 図6は、本実施形態に係る改ざん検知部における送信データに対する処理の流れを示すフローチャートである。 図7は、検知プログラムを実行するコンピュータを示す図である。
以下に、本願に係る検知装置、検知方法及び検知プログラムの実施形態を図面に基づいて詳細に説明する。なお、この実施形態により本願に係る検知装置、検知方法及び検知プログラムが限定されるものではない。
[実施形態]
以下の実施形態では、実施形態に係る検知装置の構成及び処理の流れを順に説明し、その後、最後に実施形態による効果を説明する。
[検知装置の構成]
まず、図1を用いて、検知装置10の構成を説明する。図1は、本実施形態に係る検知装置の概要を示す構成図である。図1に示すように、この検知装置10は、マルウェア実行環境部11、解析結果DB(Data Base)12及びC&Cサーバ通信先情報DB13を有する。以下に、これらの各部の処理を説明する。
マルウェア実行環境部11は、プロセス11B,11C、ゲストOS(Operating System)11D、及び仮想計算機11Eから構成される。ゲストOS11Dは、マルウェア11Aを動的解析するための環境である。また、マルウェア11Aは、ゲストOS11D上で実行され、ゲストOS11D上ではブラウザなどのマルウェア11Aの攻撃対象となるプロセス11B,11Cを動作させる。
仮想計算機11Eは、データ伝搬追跡部110、命令監視部111、改ざん検知部112、及び通信先情報DB113から構成される。
データ伝搬追跡部110は、通信データに対してタグを付与し、通信データの伝搬を追跡する。このとき、通信データの送信先、もしくは送信元を一意に特定するため、タグには通信先情報に対応する属性情報等を保持させる。なお、以下の説明において、送信先及び送信元を総称する場合に、「通信先」と表記する。また、通信先情報とは、例えば、通信先のIPアドレスやFQDN(Fully Qualified Domain Name)、URL(Uniform Resource Locator)等の情報である。
ここで、図3を用いて、タグの構成例について説明する。図3は、本実施形態に係るタグの構成例を示す図である。図3に示すように、タグは、「ID(identification)」と、「属性情報」とを含む。ここで、属性情報は、通信データの送信元や送信先の通信先情報に対応する情報である。IDは、当該属性情報ごとに連続した値(通番)になるように設定される情報である。すなわち、タグは、属性情報とIDとの組み合わせによって一意に識別可能となる。なお、タグは、例えば、ある通信データに対して所定のデータ長単位ごとに付与される。
一例として、IPアドレス「192.168.0.1」の通信先から受信された10バイトの受信データに対してタグが付与される場合を説明する。なお、この例では、タグが1バイト単位で付与され、IPアドレス「192.168.0.1」に対応する属性情報が「0x1」である場合を説明する。この場合、10バイトの受信データに対して1バイト単位でタグが付与されるので、この受信データには10個のタグが付与される。このうち、1個目のタグは、ID「1」及び属性情報「0x1」を含み、2個目のタグは、ID「2」及び属性情報「0x1」を含み、3個目のタグは、ID「3」及び属性情報「0x1」を含み、・・・10個目のタグは、ID「10」及び属性情報「0x1」を含む。このように、それぞれのタグは、通番で付与されるIDと、通信先に応じた属性情報とを含む。なお、IPアドレス「192.168.0.1」の通信先から再びデータを受信した場合には、その受信データには、例えば、ID「11」から始まる通番のIDを含む複数のタグが付与される。また、「192.168.0.2」等、上記とは異なるIPアドレスの通信先からデータを受信した場合には、その受信データには、例えば、ID「1」から始まる通番のIDを含む複数のタグが付与される。
なお、上記のように、本実施形態に係るタグが、通信データに対して所定のデータ長単位で複数付与されるとともに、複数のタグのそれぞれのIDが通番で割り当てられるのは、これによって、通信データの改ざん内容の特定が可能となるからである。例えば、通番で割り当てられていれば、複数のタグのそれぞれに含まれるIDの値は、タグの並び順にしたがって連続している。ところが、複数のタグのそれぞれに含まれるIDの値がタグの並び順にしたがって連続していなければ、改ざん検知部112は、通信データの改ざんを検知するとともに、連続していない付近のデータが改ざんされたことを特定できる。さらに、例えば、IDの番号が無くなっていたり、他のタグが混入していたりすれば、改ざん検知部112は、通信データの書き換えや追記が行われたことを特定できる。また、IDの番号にずれが生じていれば、改ざん検知部112は、その付近のデータが削除されたことを特定できる。
すなわち、データ伝搬追跡部110は、通信データに対してタグを設定し、設定したタグに含まれる属性情報と、その属性情報に対応する通信先情報とを通信先情報DB113に転送した上で、仮想計算機11E上で通信データの伝搬の追跡を行う。通信先情報DB113は、データ伝搬追跡部110から転送された属性情報と通信先情報とを対応づけて記憶する。なお、通信先情報DB113に記憶される情報については、後述する。
命令監視部111は、システム内で発行される命令を監視する。例えば、命令監視部111は、マルウェア11Aが実行したAPI(Application Programming Interface)呼び出しやシステムコールの発行といった命令を監視する。
改ざん検知部112は、通信データに、その通信データの送信先もしくは送信元に対応する属性情報とは異なる属性情報を含むタグが存在する場合に、通信データの改ざんを検知する。例えば、改ざん検知部112は、通信データに設定されたタグに基づいて改ざんを検知する。そして、改ざん検知部112は、改ざんを検知した場合に、通信データの送信先もしくは送信元に対応する属性情報とは異なる属性情報を含むタグに対応するデータを、改ざん内容として特定し、特定した改ざん内容を解析結果DB12に転送する。解析結果DB12は、改ざん検知部112から転送された改ざん内容をはじめとする解析結果を記憶する。
また、改ざん検知部112は、改ざんを検知した場合に、通信データの送信先もしくは送信元に対応する属性情報とは異なる属性情報を含むタグに紐付く通信先を、C&Cサーバとして特定する。そして、改ざん検知部112は、特定した通信先情報をC&Cサーバの通信先情報としてC&Cサーバ通信先情報DB13に転送する。C&Cサーバ通信先情報DB13は、改ざん検知部112から転送されたC&Cサーバの通信先情報を記憶する。
次に、図2を用いて、仮想計算機11Eの構成例について説明する。図2は、本実施形態に係る検知装置における仮想計算機及びデータ伝搬追跡部の構成を示すブロック図である。仮想計算機11Eは、ゲストOS11Dに対して仮想的なハードウェアを提供するソフトウェアである。また、仮想計算機11Eは、仮想NIC(Network Interface Card)114や仮想ディスク115、仮想HWコントローラ116、仮想メモリ117、仮想CPU118などから構成される。
データ伝搬追跡部110は、データに対してタグを設定してデータの伝搬追跡を行うために、仮想ディスク115上のデータに対応するタグを保存するためのディスクタグ保存領域110A、仮想メモリ117上のデータに対応するタグを保存するためのメモリタグ保存領域110D、仮想レジスタ118B上のデータに対応するタグを保存するためのレジスタタグ保存領域110Fを具備する。
データ伝搬追跡部110のタグ付与部110Bは、通信データに対して送信元を一意に特定できるタグを設定し、通信先情報DB113に転送した上で、タグをメモリタグ保存領域110Dに保存する。タグを設定するタイミングは、受信データであれば、仮想NIC114から仮想メモリ117に対してデータがコピーされるタイミング、もしくはデータを受信するAPI/システムコールを呼び出した直後(関数から呼び元に戻るタイミング)であり、また、送信データであれば、ブラウザなどの正規のアプリケーションがデータを送信するためのAPI呼び出しやシステムコールを発行するタイミングである。データに設定されたタグは、タグ伝搬部110C(タグ伝搬部A)によってデータの伝搬に合わせて伝搬される。
タグ伝搬部110Cは、ディスクタグ保存領域110Aとメモリタグ保存領域110Dの間のタグの伝搬を行う。また、タグ伝搬部110E(タグ伝搬部B)は、メモリタグ保存領域110Dとレジスタタグ保存領域110Fとの間やレジスタタグ保存領域110F間のタグの伝搬を行う。
また、命令監視部111は、ブラウザなどの正規アプリケーションが実行するAPI呼び出しを監視する。正規アプリケーションがデータ受信に関わるAPIを呼び出した場合、呼び出し時に関数の引数を全て記録し、戻り時に改ざん検知部112に通知を行う。また、命令監視部111は、APIがデータ送信に関わるものである場合は呼び出し時にデータ伝搬追跡部110に通知を行う。通知を受け取ったデータ伝搬追跡部110は、タグ付与部110Bで送信データに対してデータの送信先を一意に特定できるタグを設定する。なお、データ受信やデータ送信に関わるAPIは、マルウェア解析者等が解析前に設定する。
改ざん検知部112は、命令監視部111から通知を受けた後、受信データに対応するタグを確認することで受信データに対する改ざんの検知、改ざん内容の特定、改ざん内容を指定したC&Cサーバの特定を行う。更に、改ざん検知部112は、仮想NIC114においてデータ送信時に送信データに対応するタグを確認することによって、送信データに対する改ざんの検知、改ざん内容の特定、改ざん内容を指定したC&Cサーバの特定を行う。なお、データ伝搬時において、暗号化/復号処理を実施するAPIに通信データが受信データ/送信データとして渡された場合、当該APIの戻り値に対しても強制的にタグを伝搬させる処理を行っても良い。その際、IDは再度振り直してもよい。
ここで、図4を用いて、通信先情報DB113に記憶される情報について説明する。図4は、本実施形態に係る通信先情報DB113に記憶される情報の一例を示す図である。図4に示すように、通信先情報DB113は、タグに含まれる属性情報と、送受信情報と、通信先情報とを対応づけて記憶する。この送受信情報は、通信先との通信が受信であるか送信であるかを示す情報であり、例えば、「R」が受信を示し、「S」が送信を示す。なお、図4では、通信先情報としてIPアドレスが記憶される場合を例示する。
図4に示す例では、通信先情報DB113は、属性情報「0x1」と、送受信情報「R」と、通信先情報「192.168.0.1」とを対応づけて記憶する。これは、IPアドレス「192.168.0.1」からの受信データに付与される属性情報が「0x1」であることを示す。また、通信先情報DB113は、属性情報「0xA」と、送受信情報「R」と、通信先情報「192.168.1.10」とを対応づけて記憶する。これは、IPアドレス「192.168.1.10」への受信データに付与される属性情報が「0xA」であることを示す。
なお、図4の3行目に示すように、通信先情報DB113は、属性情報「0x3」と、送受信情報「S」と、通信先情報「192.168.0.1」とを対応づけて記憶する。これは、1行目のIPアドレス「192.168.0.1」と同一のIPアドレスであっても、送受信情報が1行目の「R(受信)」とは異なり「S(送信)」であれば、異なる属性情報「0x3」が付与されることを示す。すなわち、通信先情報DB113において、属性情報は、送受信情報と通信先情報との組み合わせに対して一意に設定される。なお、通信先情報DB113は、必ずしも送受信情報を記憶しなくても良い。この場合、属性情報は、送受信の向きに限らず、通信先ごとに記憶される。また、属性情報は、可変長のデータであっても良いし、固定長のデータであっても良い。
なお、上記のように、通信先情報DB113が属性情報と通信先の情報とを対応づけて記憶するのは、これによって、通信データの改ざんの検知が可能となるからである。例えば、改ざん検知部112は、通信先情報DB113を参照し、処理対象となる通信データの送信先、もしくは送信元に対応する属性情報を取得する。そして、改ざん検知部112は、通信データに含まれる属性情報を参照し、取得した属性情報と照合する。ここで、改ざんされていなければ、通信データに含まれる全ての属性情報は、通信先情報DB113から取得した属性情報と一致するはずである。一方、一致しなければ、改ざん検知部112は、改ざんを検知することが可能となる。さらに、本来の通信先とは異なる通信先が紐付けられていれば、改ざん検知部112は、その通信先をC&Cサーバとして特定することができる。
[検知装置による処理]
次に、図5及び図6を用いて、検知装置10における処理の流れを説明する。図5は、本実施形態に係る改ざん検知部における受信データに対する処理の流れを示すフローチャートである。図6は、本実施形態に係る改ざん検知部における送信データに対する処理の流れを示すフローチャートである。
まず、図5を用いて、改ざん検知部112における受信データに対する改ざんの検知、改ざん内容の特定、改ざん内容を指定したC&Cサーバの特定に関する処理を説明する。
図5に示すように、改ざん検知部112は、最初に、データ受信に関わるAPIの呼び出し時に命令監視部111が記録した引数情報と戻り値を取得し(ステップS101)、各受信データに対応するタグを取得する(ステップS102)。そして、改ざん検知部112は、受信データにタグが設定されている場合には(ステップS103Yes)、改ざん攻撃の検知処理を開始する。一方、改ざん検知部112は、受信データにタグが設定されていない場合には(ステップS103No)、その受信データについての処理を終了する。
改ざん攻撃の検知処理として、改ざん検知部112は、まず、引数情報から通信先を取得する(ステップS104)。そして、改ざん検知部112は、受信データに対応するタグについて、受信データの送信元に対応する属性情報以外の属性情報がついているか否かを確認する(ステップS105)。ここで、改ざん検知部112は、受信データの送信元に対応する属性情報以外の属性情報がついたタグが存在していた場合には(ステップS105Yes)、改ざん攻撃が行われたと判断して、改ざん攻撃が行われた場所の特定処理を行う(ステップS106)。この場合、改ざん検知部112は、通信先からの受信データに対応する属性情報以外のタグがついているデータが改ざんされていると判断し、解析結果DB12に改ざん内容を登録する(ステップS107)。そして、改ざん検知部112は、通信先情報DB113から改ざん後のデータに紐づく通信先を抽出する(ステップS108)。そして、改ざん検知部112は、引数情報から取得した通信先とは異なる通信先から取得したタグが存在した場合には(ステップS109Yes)、当該タグに紐付く通信先をC&Cサーバとして特定し(ステップS110)、特定した通信先をC&Cサーバ通信先情報DB13に登録する(ステップS111)。
そして、改ざん検知部112は、同じ属性情報を持つタグのIDがデータの並び順に沿って連続した値になっているか否かを確認する(ステップS112)。これは、タグのIDは通番で割り当てられているため、途中で順番がずれていた場合にはデータ削除による改ざん攻撃が行われたと判断されるからである。ここで、連続した値になっていない場合には(ステップS112No)、改ざん検知部112は、データ削除による改ざん攻撃が行われたと判断し、解析結果DB12にタグのIDと受信データ(検査対象データ)を記録し(ステップS113)、処理を終了する。
なお、受信データの送信元に対応する属性情報以外の属性情報がついたタグが存在していない場合(ステップS105No)、及び、引数情報から取得した通信先とは異なる通信先から取得したタグが存在しない場合には(ステップS109No)、改ざん検知部112は、ステップS112の処理に移行する。また、同じ属性情報を持つタグのIDがデータの並び順に沿って連続した値になっている場合には(ステップS112Yes)、改ざん検知部112は、その受信データについての処理を終了する。
次に、図6を用いて、改ざん検知部112における送信データに対する改ざんの検知、改ざん内容の特定、改ざん内容を指定したC&Cサーバの特定に関する処理を説明する。この処理は、仮想NIC114まで到達した送信データに対して行われる。
図6に示すように、改ざん検知部112は、送信データに対応するタグを取得し(ステップS201)、タグが存在している場合には(ステップS202Yes)、改ざん攻撃の検知処理を開始する。一方、改ざん検知部112は、送信データにタグが存在しない場合には(ステップS202No)、その送信データについての処理を終了する。
改ざん攻撃の検知処理として、改ざん検知部112は、まず、送信データの送信先を送信データに含まれているヘッダー情報から取得する(ステップS203)。そして、送信先に対応する属性情報以外の属性情報を含むタグが送信データ内に存在しているか否かを確認する(ステップS204)。ここで、改ざん検知部112は、送信先に対応する属性情報以外の属性情報を含むタグが送信データ内に存在している場合には(ステップS204Yes)、改ざん攻撃が行われたと判断して、送信先に対応する属性情報以外を含むタグを抽出する(ステップS205)。そして、改ざん検知部112は、抽出したタグに対応するデータを改ざん箇所として解析結果DB12に登録する(ステップS206)。そして、改ざん検知部112は、通信先情報DB113から抽出したタグから通信先を取得し(ステップS207)、タグに通信先が紐付いていれば(ステップS208Yes)、タグに紐付く通信先をC&Cサーバとして特定する(ステップS209)。そして、改ざん検知部112は、特定した通信先をC&Cサーバ通信先情報DB13に登録する(ステップS210)。
そして、改ざん検知部112は、同じ属性情報を持つタグのIDがデータの並び順に沿って連続した値になっているか否かを確認する(ステップS211)。これは、タグのIDは通番で割り当てられているため、途中で順番がずれていた場合にはデータ削除による改ざん攻撃が行われたと判断されるからである。ここで、連続した値になっていない場合には(ステップS211No)、改ざん検知部112は、データ削除による改ざん攻撃が行われたと判断し、解析結果DB12にタグのIDと送信データ(検査対象データ)を記録し(ステップS212)、処理を終了する。
なお、送信先に対応する属性情報以外の属性情報を含むタグが送信データ内に存在していない場合(ステップS204No)、及び、タグに通信先が紐付いていない場合には(ステップS208No)、改ざん検知部112は、ステップS211の処理に移行する。また、同じ属性情報を持つタグのIDがデータの並び順に沿って連続している場合には(ステップS211Yes)、改ざん検知部112は、その送信データについての処理を終了する。
[実施形態の効果]
上述してきたように、検知装置10は、通信データに対して、当該通信データの通信先情報に対応づけた属性情報を含むタグを付与し、当該タグが付与された通信データの伝搬を追跡する。そして、検知装置10は、通信データに、当該通信データの送信先もしくは送信元に対応する属性情報とは異なる属性情報を含むタグが存在する場合に、当該通信データの改ざんを検知する。これによれば、検知装置10は、通信データの改ざんを詳細に分析することができる。
例えば、従来の解析手法では、改ざんの検知と改ざん内容の特定は行われていたものの、改ざん内容を指示したC&Cサーバを特定できないという問題があった。C&Cサーバを特定するためには、改ざんの検知と改ざん内容の特定を行った上で、改ざん時に埋め込まれたデータの出自を解析することができる仕組みが求められていた。そこで、本実施形態では、解析システム内でのデータの伝搬を追跡し、特定の2点間を流れるデータの中に本来存在しないはずのデータが含まれていることを、テイント解析を応用して検知し、改ざん検知と改ざん内容の特定だけでなく、改ざん内容を指示したC&Cサーバの特定を実現した。
[その他の実施形態]
なお、上記の実施形態では、マルウェア実行環境における解析に適用される場合を説明したが、これに限定されるものではない。例えば、本実施形態に係る各部は、ユーザ端末に導入されてもよい。また、本実施形態を利用する際には、改ざん機能を有したマルウェアか否かの判定や改ざん攻撃が発生したことの警告通知のみを目的として、C&Cサーバ特定処理を行わず、改ざん攻撃の検知処理のみを実施してもよい。なお、C&Cサーバ特定処理を実施する際には、C&Cサーバ通信先情報DB13の内容に基づいて、VMM(Virtual Machine Monitor)側で通信の遮断を実施してもよいし、外部IPS(Intrusion Prevention System)装置等と連携して通信遮断の措置をとらせてもよい。なお、C&Cサーバは、「指令サーバ」とも称される。
[システム構成等]
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的又は物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部又は任意の一部が、CPU及び当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
また、本実施形態において説明した各処理のうち、自動的におこなわれるものとして説明した処理の全部又は一部を手動的におこなうこともでき、あるいは、手動的におこなわれるものとして説明した処理の全部又は一部を公知の方法で自動的におこなうこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
[プログラム]
また、上記実施形態において説明した検知装置10が実行する処理について、コンピュータが実行可能な言語で記述したプログラムを作成することもできる。例えば、実施形態に係る検知装置10が実行する処理について、コンピュータが実行可能な言語で記述した検知プログラムを作成することもできる。この場合、コンピュータが検知プログラムを実行することにより、上記実施形態と同様の効果を得ることができる。さらに、かかる検知プログラムをコンピュータが読み取り可能な記録媒体に記録して、この記録媒体に記録された検知プログラムをコンピュータに読み込ませて実行することにより上記実施形態と同様の処理を実現してもよい。以下に、図1に示した検知装置10と同様の機能を実現する検知プログラムを実行するコンピュータの一例を説明する。
図7は、検知プログラムを実行するコンピュータ1000を示す図である。図7に例示するように、コンピュータ1000は、例えば、メモリ1010と、CPU1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有し、これらの各部はバス1080によって接続される。
メモリ1010は、図7に例示するように、ROM(Read Only Memory)1011及びRAM(Random Access Memory)1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、図7に例示するように、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、図7に例示するように、ディスクドライブ1041に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブに挿入される。シリアルポートインタフェース1050は、図7に例示するように、例えばマウス1110、キーボード1120に接続される。ビデオアダプタ1060は、図7に例示するように、例えばディスプレイ1130に接続される。
ここで、図7に例示するように、ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、上記の検知プログラムは、コンピュータ1000によって実行される指令が記述されたプログラムモジュールとして、例えばハードディスクドライブ1090に記憶される。
また、上記実施形態で説明した各種データは、プログラムデータとして、例えばメモリ1010やハードディスクドライブ1090に記憶される。そして、CPU1020が、メモリ1010やハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出し、実行する。
なお、検知プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限られず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ等を介してCPU1020によって読み出されてもよい。あるいは、検知プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ネットワーク(LAN(Local Area Network)、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
10 検知装置
11 マルウェア実行環境部
11A マルウェア
11B,11C プロセス
11D ゲストOS
11E 仮想計算機
110 データ伝搬追跡部
110A ディスクタグ保存領域
110B タグ付与部
110C タグ伝搬部A
110D メモリタグ保存領域
110E タグ伝搬部B
110F レジスタタグ保存領域
111 命令監視部
112 改ざん検知部
113 通信先情報DB
114 仮想NIC
115 仮想ディスク
116 仮想HWコントローラ
117 仮想メモリ
118 仮想CPU
118B 仮想レジスタ
12 解析結果DB
13 C&Cサーバ通信先情報DB

Claims (8)

  1. 通信データに対して、当該通信データの通信先情報に対応づけた属性情報を含むタグを付与し、当該タグが付与された通信データの伝搬を追跡する追跡部と、
    前記通信データに、当該通信データの送信先もしくは送信元に対応する属性情報とは異なる属性情報を含むタグが存在する場合に、当該通信データの改ざんを検知する検知部と
    を備えることを特徴とする検知装置。
  2. システム内で発行される命令を監視する命令監視部を更に備え、
    前記検知部は、前記命令監視部によってAPI(Application Programming Interface)呼び出し又はシステムコールが前記命令として検知された場合に、受信データに対して前記改ざんの検知を行うことを特徴とする請求項1に記載の検知装置。
  3. 前記検知部は、仮想NIC(Network Interface Card)に送信データがコピーされるタイミングで、当該送信データに対して前記改ざんの検知を行うことを特徴とする請求項1に記載の検知装置。
  4. 前記検知部は、前記改ざんを検知した場合に、前記異なる属性情報を含むタグに対応するデータを、改ざん内容として特定することを特徴とする請求項1〜3のいずれか一つに記載の検知装置。
  5. 前記検知部は、前記改ざんを検知した場合に、前記異なる属性情報を含むタグに紐付く通信先を、C&C(Command and Control)サーバとして特定することを特徴とする請求項1〜3のいずれか一つに記載の検知装置。
  6. 前記追跡部は、前記通信データに対して複数のタグを所定のデータ長単位で付与するとともに、当該複数のタグの並び順にしたがって通番のIDをタグに割り当て、
    前記検知部は、通信データに付与されたタグについて、同じ属性情報を含む一連のタグのそれぞれに割り当てられたIDが、前記並び順に沿っていない場合に、前記改ざんを検知することを特徴とする請求項1〜3のいずれか一つに記載の検知装置。
  7. 検知装置によって実行される検知方法であって、
    通信データに対して、当該通信データの通信先情報に対応づけた属性情報を含むタグを付与し、当該タグが付与された通信データの伝搬を追跡する追跡工程と、
    前記通信データに、当該通信データの送信先もしくは送信元に対応する属性情報とは異なる属性情報を含むタグが存在する場合に、当該通信データの改ざんを検知する検知工程と
    を含んだことを特徴とする検知方法。
  8. 通信データに対して、当該通信データの通信先情報に対応づけた属性情報を含むタグを付与し、当該タグが付与された通信データの伝搬を追跡する追跡ステップと、
    前記通信データに、当該通信データの送信先もしくは送信元に対応する属性情報とは異なる属性情報を含むタグが存在する場合に、当該通信データの改ざんを検知する検知ステップと
    をコンピュータに実行させることを特徴とする検知プログラム。
JP2016531302A 2014-06-30 2015-06-24 検知装置、検知方法及び検知プログラム Active JP6096389B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2014134055 2014-06-30
JP2014134055 2014-06-30
PCT/JP2015/068269 WO2016002605A1 (ja) 2014-06-30 2015-06-24 検知装置、検知方法及び検知プログラム

Publications (2)

Publication Number Publication Date
JP6096389B2 JP6096389B2 (ja) 2017-03-15
JPWO2016002605A1 true JPWO2016002605A1 (ja) 2017-04-27

Family

ID=55019147

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016531302A Active JP6096389B2 (ja) 2014-06-30 2015-06-24 検知装置、検知方法及び検知プログラム

Country Status (5)

Country Link
US (1) US10412101B2 (ja)
EP (1) EP3144845B1 (ja)
JP (1) JP6096389B2 (ja)
CN (1) CN106663176B (ja)
WO (1) WO2016002605A1 (ja)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102762435B (zh) 2010-02-25 2015-09-30 本田技研工业株式会社 电动动力转向装置
US10176325B1 (en) * 2016-06-21 2019-01-08 Symantec Corporation System and method for dynamic detection of command and control malware
JP6753524B2 (ja) * 2017-05-26 2020-09-09 日本電気株式会社 流通履歴管理システム、流通履歴管理装置、方法およびプログラム
CN108322444B (zh) * 2017-12-29 2021-05-14 山石网科通信技术股份有限公司 命令与控制信道的检测方法、装置和系统
CN108540652B (zh) * 2018-03-15 2019-12-17 北京华大智宝电子系统有限公司 一种安全交互方法及装置
CN108920589B (zh) * 2018-06-26 2021-08-10 百度在线网络技术(北京)有限公司 浏览劫持识别方法、装置、服务器及存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH06197133A (ja) * 1992-12-24 1994-07-15 Toshiba Corp 通信システム
JP2006128989A (ja) * 2004-10-28 2006-05-18 Furukawa Electric Co Ltd:The パケット中継装置、パケット中継方法およびパケット中継プログラム
JP2010272984A (ja) * 2009-05-19 2010-12-02 Sony Corp データ送信方法および装置、データ通信方法および装置
JP2013098719A (ja) * 2011-10-31 2013-05-20 Toyota Infotechnology Center Co Ltd 通信システムにおけるメッセージ認証方法および通信システム

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8566928B2 (en) 2005-10-27 2013-10-22 Georgia Tech Research Corporation Method and system for detecting and responding to attacking networks
US9043919B2 (en) * 2008-10-21 2015-05-26 Lookout, Inc. Crawling multiple markets and correlating
EP2222048A1 (en) * 2009-02-24 2010-08-25 BRITISH TELECOMMUNICATIONS public limited company Detecting malicious behaviour on a computer network
JP5396314B2 (ja) * 2010-03-10 2014-01-22 株式会社日立製作所 不正操作検知システム及び不正操作検知方法
KR101158464B1 (ko) * 2010-11-26 2012-06-20 고려대학교 산학협력단 봇 프로세스 탐지 장치 및 방법
KR101086451B1 (ko) * 2011-08-30 2011-11-25 한국전자통신연구원 클라이언트 화면 변조 방어 장치 및 방법
CN102855568B (zh) * 2012-08-14 2016-06-29 广东汇卡商务服务有限公司 一种防止pos终端非法移机的支付系统及方法
US9225730B1 (en) * 2014-03-19 2015-12-29 Amazon Technologies, Inc. Graph based detection of anomalous activity
US20150271196A1 (en) * 2014-03-20 2015-09-24 International Business Machines Corporation Comparing source and sink values in security analysis

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH06197133A (ja) * 1992-12-24 1994-07-15 Toshiba Corp 通信システム
JP2006128989A (ja) * 2004-10-28 2006-05-18 Furukawa Electric Co Ltd:The パケット中継装置、パケット中継方法およびパケット中継プログラム
JP2010272984A (ja) * 2009-05-19 2010-12-02 Sony Corp データ送信方法および装置、データ通信方法および装置
JP2013098719A (ja) * 2011-10-31 2013-05-20 Toyota Infotechnology Center Co Ltd 通信システムにおけるメッセージ認証方法および通信システム

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
幾世知範,他: "制御フローと通信の関連性分析に基づくC&Cサーバ特定手法の提案", 電子情報通信学会技術研究報告, vol. 113, no. 502, JPN6015034466, 20 March 2014 (2014-03-20), JP, pages 137 - 142, ISSN: 0003496486 *

Also Published As

Publication number Publication date
CN106663176A (zh) 2017-05-10
US10412101B2 (en) 2019-09-10
WO2016002605A1 (ja) 2016-01-07
EP3144845A1 (en) 2017-03-22
US20170126715A1 (en) 2017-05-04
EP3144845B1 (en) 2019-04-03
EP3144845A4 (en) 2017-11-29
JP6096389B2 (ja) 2017-03-15
CN106663176B (zh) 2020-03-10

Similar Documents

Publication Publication Date Title
JP6096389B2 (ja) 検知装置、検知方法及び検知プログラム
EP3200115B1 (en) Specification device, specification method, and specification program
US8805995B1 (en) Capturing data relating to a threat
JP5972401B2 (ja) 攻撃分析システム及び連携装置及び攻撃分析連携方法及びプログラム
US8782791B2 (en) Computer virus detection systems and methods
US20150205962A1 (en) Behavioral analytics driven host-based malicious behavior and data exfiltration disruption
JP5989936B2 (ja) 特定装置、特定方法および特定プログラム
US9548990B2 (en) Detecting a heap spray attack
US10972490B2 (en) Specifying system, specifying device, and specifying method
WO2012103646A1 (en) Determining the vulnerability of computer software applications to privilege-escalation attacks
US20160269443A1 (en) Exploit detection based on heap spray detection
US20240045954A1 (en) Analysis of historical network traffic to identify network vulnerabilities
US9202053B1 (en) MBR infection detection using emulation
JP6258189B2 (ja) 特定装置、特定方法および特定プログラム
Kumar et al. A zero-day resistant malware detection method for securing cloud using SVM and sandboxing techniques
CN106416178A (zh) 用于识别自主的、自传播的软件的方法和设备
Albalawi et al. Memory deduplication as a protective factor in virtualized systems
CN110659478A (zh) 在隔离的环境中检测阻止分析的恶意文件的方法
US11449610B2 (en) Threat detection system
WO2015178002A1 (ja) 情報処理装置、情報処理システム及び通信履歴解析方法
WO2020161780A1 (ja) 行動計画推定装置、行動計画推定方法、及びコンピュータ読み取り可能な記録媒体
US20220245249A1 (en) Specific file detection baked into machine learning pipelines
JP2017162042A (ja) 不正処理解析装置、および不正処理解析方法
Surange et al. Dynamic Analysis of Window’s Based Malware Using Reverse Engineering: A Case Study of Exmatter
JP2019168805A (ja) 不正検知装置、不正検知ネットワークシステム、及び不正検知方法

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170104

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170201

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170214

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20170215

R150 Certificate of patent or registration of utility model

Ref document number: 6096389

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150