aptで使用されたバイナリの相関解析忍術 by bhavna soman
TRANSCRIPT
APT で使用されたバイナリの相関解析忍術APT バイナリの起源の識別に関するファジーハッシング技術の効果の評価
ブヘブナ ソマサイバー・アナリスト / 開発者 , インテル@bsoman3, bhavna.soman@ {intel.com, gmail.com}
Copyright © Intel Corporation 2015. All rights reserved.
-George P. Burdell
ここで示された意見は発表者のものであり、彼 / 彼女の雇用者の意見ではありません。
-Legal
インテルの技術の特徴と利点はシステム構成に依存し、使用可能な状態のハードウェア、ソフトウェアまたはサービスを必要とするでしょう。パフォーマンスはシステム構成によって変化します。絶対的に安全なコンピュータシステムは存在しません。あなたのシステムの構築業者または販売業者と相談して下さい。または intel.com でより多くのことを知ることが出来ます。
おことり
Agenda• バックグラウンド
• バイナリをつなぐ方法
• テストデータセットと効果的な検証方法の取得
• 結果
• 発見されたサンプルクラスタ
• 今回の成果と将来の方向
イ ン シ デ ン ト レ ス ポ ン ス に お け る マ ル ウ ェ ア属 性 の 重 要 性
• 法執行機関 (LEA) とは異なるやり方• 攻撃者のプロファイルの作成
• 脅威の元となる攻撃者の動機の理解• ツール , 戦術と手順• 使用されている脆弱性のタイプ
• 防御のための戦略的投資• 対応を洗練させる
悪意あるバイナリの起源を知ることはどんな利点があるか??
• 過去の動機の解析と勧告の機能を適用することが出来る。• 共通点のない複数のイベントが1つの写真全体につながる。• それで、点をつなぐ最適な方法は何であるか?
類 似 す る バ イ ナ リ を つ な ぐ 最 適 な 方 法 は何 か ? ?
• Imphash— インポートテーブルの md5 ハッシュ• マルウェア作者は同じ環境を使用している• 同一のバイナリ、コンパイラ、など
• ssdeep— 前後関係をきっかけとした区分的なハッシュ• バイトパターンの類似性の測定• 相同性の識別(場所が異なってもチャンクを識別で
きる)
• SDhash— ブルームフィルター ( 確率的データ構造の一つ )• バイトパターンの統計学的に有意な類似性
手法 :1. ターゲットキャンペーンに関連したバイナリの断片
的でないデータセットの取得
2. 多くのバイナリの静的 / 動的解析を用いない効果的な検証方法の確立
挑戦
データ収集
• 2015 年 1-3 月に発表• 例 : “Project Cobra
Analysis”, “The Desert Falcon Targeted Attacks”
• MD5 値を抽出• ウィルストータル上の悪意あるプログラムの
10% 超
MD5 値 類似性計量
• 各々のバイナリから計算
• Import hash• ssdeep• SDhash
抽出 計算
APT 白書
相関性の評価
これらはマルウェアに関連するの?
{Actor Names, Campaign Name, Malware Families, Aliases}
APT1 APT2
{Actor Names, Campaign Name, Malware Families, Aliases}
相関性の評価
• すべての相関性を見つける方法はなかった
• Imphash は偽陽性が最も高い
• Sdhash は最高の再現率
• ssdeep と SDhashはほぼ 100% の適合率
結果の概要
再現率 適合率
IMPHASHS
• 408 個の正しい相関性• 172 個の偽陽性
• 忠実度の高い真陽性
• 同じ人物による複数のキャンペーンまたがる 2 つの相関性
• 異なるバージョンの同じマルウェアの間に相関性はない
• キャンペーンのキルチェーンのパーツをまたがる相関性はなかった
IMPHASH
SCORE
FREQ
UENC
Y
IMPHASH
• 2011 年頃の SAV サンプル • Waterbug Attack group に使
われた • Turla/Uruboros としてよく知
られている
• ComRAT (Turla Attackers) バージョン 1.5
• 2008 年 3 月 25 日に記録• データ・セット中の RAT の他のバー
ジョンにはつながっていなかった
• Wipbot 2013 のサンプル• Waterbug attack Group に
よって使われた• 2013 年 10 月 15 日に記録• Tavdig/WorldCupSec/Tadj
Makhal として参照された
IMPHASH
IMPHASH
• どちらも ComRAT のサンプル• それぞれ Waterbug Group and
Turla Attackers と関連する
• カーボンマルウェアのサンプル• Project Cobra と The Waterbug
Attack Group に関連している
IMPHASH
IMPHASH
• OP Arid Viper の証明書窃取器とドロッパー
• Syrian Opposition Forces の攻撃者に使われた Vs. ドロッパー
• 知られているリンクや修飾に共通性はない
• 6 つの異なるキャンペーンのバイナリ
• 行為者またはマルウェアファミリーの共通性はない.
• キルチェーンの異なる部品
IMPHASH
IMPHASH
SSDEEP
• 856 個の正しい相関性
• 0 個の偽陽性
• 1 つの相関性が同じ行為者による接続されたキャンペーンを見つけた
• 同じマルウェアでマイナーバージョン間のいくつかの相関性
• キャンペーン中のキルチェーンの部品をまたがる相関性はなかた
SSDEEP
SCORE
FREQ
UENC
Y
SSDEEP
• 2013 年の Wipbot• Waterbug attack group に
よって使われた
• ComRAT のマイナーバージョンにまたがる相関性
• 3 年以上の日々の記録
• SAV/Uruboros のサンプル• Waterbug Attack group に
よって使われた • 2013 年のタイムスタンプ
SSDEEP
SSDEEP
• OP Desert Falcon (Kaspersky) で使われたバックドア
• 630 の相関性。平均はだいたい 35.13 のスコア
• 2009 年に記録された異なるバージョンのカーボンマルウェア
• Pro j e c t C ob r a と Wa te rb u gキ ャ ン ペ ー ン か ら 。
SSDEEP
SSDEEP
SSDEEP
偽陽性なし
SDHASH
• 閾値は 10
• 1412 の正しい相関性• 3 つの偽陽性• 1 つの相関性は同じ行為者のつながったキャンペーンを見つけた • 同じマルウェアのマイナーバージョン間のいくつかの相関性• 1 つの相関性はキャンペーン内のキルチェインの複数の部品にまたがる
SDHASH
SCORE
FREQ
UENC
Y
SDHASH
• C ob r a キャンペーンのドロッパー,ステージ 1 ,ステージ 2 ,インジェクトのライブラリ間の相関性
• Waterbug グループに使われたカーボンツールと高い類似性• ベンダーによってでさえ多様になってしまうアンチウィルスラベ
ル• sdhash によってのみ作られた相関性
• SAV/Uruboros サンプル• 2013 年の 3 か月以上記録された 30
個の異なるバイナリー
SDHASH
SDHASH
• OP Desert Falcon で使われたバックドア• Vs. Scanbox サンプル (Anthem attacks と
Deep Panda に関連していると知られている )• それらの行為者 / キャンペーン / マルウェア
ファミリーの間の未知の相関性
• Anthem attack で使われた“ HttpBrowser” マルウェア
• Carbanak グループによって使われた“ AmmyAdmin” ツール
SDHASH
SDHASH
どこに私たちは立つのか
• Imphash, ssdeep または SDhash?? • 経路探索のような . 接続を構成する工学的システム• APT バイナリはコードを再利用するだろう — それらに対してそれを使う .• あなたの敵を知るのに損にはならない .
謝意 /Q&A/ ありがとう !
@bsoman3, bhavna.soman@ {intel.com, gmail.com}
• スライドの改善を手伝ってくれたクリス・キットとジェフ・ボエリオ• セキュリティ白書を執筆する素晴らしい人々• APTNotes を制作、維持する
@kbandla• 大規模データを提供してくれるウィルストータル