rig exploit kitにおける攻撃傾向の調査
TRANSCRIPT
RIG Exploit Kitにおける攻撃傾向の調査
山田道洋1 小池倫太郎2 菊池浩明2 黄緒平3
1:明治大学大学院
2:明治大学
3:明治大学 研究・知財先着機構
背景:Drive-by Download攻撃
悪性Webサイトへ誘導された脆弱なWebブラウザに対して,そのWebブラウ
ザの脆弱性を突くようなコードを送り込んで制御を奪い,マルウェアをダウンロード・実行させる
1
攻撃のパターン
メールやSNSを使って攻撃者の用意したサーバへ誘導する» 最近はあまり見ない
攻撃者は一般のWebサイトを改ざんし,そこへアクセスしたユーザを攻撃者が用意した攻撃サーバへ誘導する
» 従来の手法
攻撃者は悪性Web広告を配信し,その広告を表示したWebサイトへアクセスしたユーザを攻撃者が用意した攻撃サーバへ誘導する
» Malvertisingと呼ばれ,最近の主流
Drive-by Download攻撃の構成図
②Access①Inject
④Download & Execute
③Drive (redirect...)
2
改ざんされたWebサイト
Exploit Kit 攻撃者
中継サイト
被害者
Exploit Kit
3
従来 EK as Service
攻撃キット ソースを購入 サブスクリプション方式
設置場所 各攻撃者 運営者
例 Mpack
Blackhole
RIG
Astrum
Exploit Kitの例 MPack
Phenix Exploit Kit
Blackhole Exploit Kit
Nuclear Exploit Kit
Angler Exploit Kit
Neutrino Exploit Kit
RIG Exploit Kit Magnitude Exploit Kit
Sundown Exploit Kit
Astrum Exploit Kit
キャンペーン:Exploit Kitを使う一連の攻撃の特徴的なパターン
攻撃キャンペーン
4
pseudo-Darkleech
観測された攻撃キャンペーンの特徴
5
大きくマイナスなTop値
RIG Exploit Kitの特徴
ドメインやIPアドレスは数時間で変更される
「ユーザ環境におけるRIG Exploit Kitの実態調査方法の提案」(嶌田一郎,太田敏史,岡田晃一郎,山田明,第78回コンピュータセキュリティ研究発表会)
攻撃パターンの特徴は頻繁に変わる
例:URLの更新
攻撃に用いられるコードが難読化されている
「RIGエクスプロイトキット解析レポート」(NTTセキュリティ)
解析や対策が困難
6
研究目的
RIG Exploit Kitを用いている攻撃キャンペーンについて調査し,どのように攻撃を行っているのか調査する
RIG Exploit Kitを長期間に渡って調査し,用いられている解析妨害手法を明らかにする
RIG Exploit Kitに対して有効な防衛手法を提案する
7
⇒2B1-2 小池「Drive-by Download攻撃におけるRIG Exploit Kitの解析回避手法の調査」
実験概要
8
実験1 実験2
目的 改ざんサイトの探索 RIGの遷移時間を明らかにする
方法 AlexaのTop1millionをクローリング
RIGの中継サイトの定期的な観測
期間 2017年2月24日~4月10日 2017年5月4日~8月15日
実験1:対象
②Access①Inject
④Download & Execute
③Drive (redirect...)
9
Exploit Kit 攻撃者
改ざんされたWebサイト
実験結果:CMS毎の観測回数
10
キャンペーン毎に対象となる特徴的なCMSが存在
実験結果:Alexaのランキング分布
11
0
5
10
15
20
25
1-1
00
000
100
00
1-2
000
00
200
00
1-3
000
00
300
00
1-4
000
00
400
00
1-5
000
00
500
00
1-6
000
00
600
00
1-7
000
00
700
00
1-8
000
00
800
00
1-9
000
00
900
00
1-1
000
000
100
00
01
-110
000
01
10
00
01
-120
000
01
20
00
01
-130
000
01
30
00
01
-198
370
00
140
00
01
-150
000
01
50
00
01
-160
000
01
60
00
01
-170
000
01
70
00
01
-180
000
01
80
00
01
-190
000
01
90
00
01
-200
000
02
00
00
01
-210
000
02
10
00
01
-220
000
02
20
00
01
-230
000
02
30
00
01
-240
000
02
60
00
01
-270
000
02
70
00
01
-280
000
02
80
00
01
-290
000
02
90
00
01
-300
000
03
60
00
01
-370
000
03
80
00
01
-390
000
03
90
00
01
-400
000
04
00
00
01
-410
000
04
10
00
01
-420
000
04
20
00
01
-430
000
04
40
00
01
-450
000
05
20
00
01
-530
000
05
50
00
01
-560
000
06
10
00
01
-620
000
07
40
00
01
-750
000
08
00
00
01
-810
000
08
70
00
01
-880
000
08
80
00
01
-890
000
08
90
00
01
-900
000
09
00
00
01
-910
000
09
70
00
01
-980
000
01
27
00
00
1-1
28
00
00
01
30
00
00
1-1
31
00
00
01
36
00
00
1-1
37
00
00
01
49
00
00
1-1
50
00
00
01
52
00
00
1-1
53
00
00
01
74
00
00
1-1
75
00
00
01
79
00
00
1-1
80
00
00
01
98
00
00
1-1
99
00
00
0
最高順位 13,495
最低順位 19,837,000
平均順位 846,828
200万位~100万位~ 400万位~ 1000万位~
実験結果:キャンペーンを識別する決定木(R:rpart)
使用CMSがPrestaShop,WorrdPress4
などのサイトは92%EITest
Pseudo-Darkleechの半数以上がJoomla!,WorrdPress2を利用していた(86%)
EITest,FakeChromePopup,GoodMan,pseudo-Darkleechの数
分岐の条件
最も多い目的変数
実験2:対象
13
②Access①Inject
④Download & Execute
③Drive (redirect...)
攻撃者
改ざんされたWebサイト
Exploit Kit
実験結果:RIGの変更間隔
0
0.1
0.2
0.3
0.4
0.5
0.6
0 1 2 3 4 5 6-20
53%のRIGが1時間以内にIPアドレスを変更 平均約83分
実験結果:RIGの国の分布
country
ロシア連邦 (Russian Federation) 872
オランダ (Netherlands) 2
ウクライナ (Ukraine) 2
フランス (France) 1
カザフスタン (Kazakhstan) 1
アメリカ合衆国 (United States) 1
日本 (Japan) 1
RIGのIPから国を検索
99%がロシア
AS9123(www.timeweb.ru)が管理していたものが651
15
まとめ
CMSの分布,決定木の作成からキャンペーン毎に改ざんするサイトの使用CMSに偏りが見えた
pseudo-Darkleechは古めのWordPressをEITestは新しめのWordPressを主なターゲットにしていた
53%のRIG Exploit Kitが1時間以内にIPアドレスを変更
99%のRIG Exploit Kitがロシアに存在
今後の課題
キャンペーンの分類自体の自動化
EKや,中継サイトのIPアドレスやURLの変化の特徴を明らかにしたい
16
17
実験1
観測された攻撃キャンペーンの特徴
EITest
»改ざんによって挿入されるコードはbody
タグの閉じタグの直前に入り,Exploit Kit
へ誘導するiframeタグを生成するJavaScriptコード
»同一のIPアドレスで連続的に改ざんサイ
トへアクセスを行うと,正常なレスポンスを返す
»アクセスしてきたユーザのIPアドレスの地理的情報をもとに攻撃対象を決定する
18
実験1
作成したシグネチャ
19
実験1
結果
改ざんサイトの検知数
20
21
キャンペーン毎の観測回数
※ちょっと詐欺
22
データ内容
Compromisedサイトについて
URL
キャンペーン
CMS
観測時刻
ソース
RIGについて
観測時刻
IPアドレス
キャンペーン
23