Upload
phamhanh
View
216
Download
3
Embed Size (px)
Citation preview
0[]0[]--ee--ee
自己紹介
n 白畑 真n 慶應義塾大学 政策・メディア研究科/
村井研究室n インターネットセキュリティ(IDS, Honeypot)
n 株式会社クララオンラインn 専用サーバ, Web ホスティングn ネットワークエンジニア
n といいつつもサーバなどもやってます
0[]0[]--ee--ee
目的
nインターネット上におけるセキュリティリスクの計量nワーム/ウィルス感染ホストの規模の推定nアタックに悪用されているホストの傾向分析
0[]0[]--ee--ee
関連手法: Darknet
n AS65531がインターネットに10.0.0.0/8の経路を広報している場合n 顧客用Prefixへはlongest matchで本来のnext hopへn AS内で未使用のアドレス空間宛のパケットが
計測サーバにAS 65531
計測サーバ10.0.0.0/8
Customer A10.1.0.0/16
Customer B10.2.0.0/16
Internet
0[]0[]--ee--ee
関連手法(続き)
n The Team Cymru Darknet Project n http://www.cymru.com/Darknet/
n Network telescopen http://www.caida.org/analysis/security/telescope/
n Internet Motion Sensorn http://ims.eecs.umich.edu/index.html
n Backscatter,ワームの観測
0[]0[]--ee--ee
手法
n 低インタラクション型ハニーポットをネットワークに配置、アクセス傾向を分析n 低インタラクション型ハニーポットn サーバの動作をエミュレートn 実際にホストには侵入させず
0[]0[]--ee--ee
dumnet
n 低インタラクション型ハニーポットソフトn 村上さん(LAC) 作
n 動作n すべての TCP SYN に対して SYN+ACK を返答n すべての ICMP ECHO Request に対して ECHO
Reply を返答n Bind() しないので、広いアドレス空間にも容易に適用
可能ê
n 全TCPポートが開かれているかのように振る舞う
0[]0[]--ee--ee
ハニーポットのメリット
n 未知のワームや攻撃コードを入手できる(はず)n ポート番号だけではわからない内容を入手可能
n 例: Windows RPCn Windows は 135~139, 443 番ポートをさまざまな目的に利用n 同じポートに様々な種類のアタック
n 未知のウィルス/ワームを捕獲可能
n IP Address Spoofingを判別できるn TCP の 3way handshake が成立するか
0[]0[]--ee--ee
ハニーポットのデメリット
n 存在しないはずのホストから返事が…n なんか気持ち悪い
n トラフィックが増えるn いまのところ数百kbps程度の増加(/16)
0[]0[]--ee--ee
現在の構成
n 202.X.X.0/24 * 3 n 133.X.0.0/16
DumnetDumnet
mwcollectIGP的Default Route
133.X.0.0/16
133.X.Y.0/24
* DIX-IE/NSPIXP3 peer only
ManagementNetwork
Management Network
0[]0[]--ee--ee
観測結果
n サイトCn Routable on the
Global Internet
n 5/16 19:16 ~ 6/26 16:46
n 90万0620件n 約2.3万件/日n 約261件/アドレス/日n 約5.5分/件
n サイトWn DIX-IE/NSPIXP-3
Peer onlyn Mostly from Japan
n 6/13 18:37~ 6/25 17:59n 1億2396万4200件
n 約1466.2万件/日n 約157件/アドレス/日n 約9分/件
0[]0[]--ee--ee
国名データの取得
nMaxMind GeoIPn http://www.maxmind.com/nRIRのWhoisから取得した(?)データをも
とに、IPアドレスと国名のマッピングを提供するAPI
nアクセス元のIPアドレスの国名を調査
0[]0[]--ee--ee
サイトC: Source IP プロトコル分析(Routable on the global Internet)
0%
20%
40%
60%
80%
100%5/
165/
185/
205/
225/
245/
265/
285/
30 6/1
6/3
6/5
6/7
6/9
6/11
6/13
6/15
6/17
6/19
6/21
6/23
6/25
TCP UDP ICMP
0[]0[]--ee--ee
サイトW: Source IP プロトコル別分析(Mostly from Japan)
Source IP Address Count
0%
20%
40%
60%
80%
100%
2005
/6/13
2005
/6/14
2005
/6/15
2005
/6/16
2005
/6/17
2005
/6/18
2005
/6/19
2005
/6/20
2005
/6/21
2005
/6/22
2005
/6/23
2005
/6/24
2005
/6/25
TCP UDP ICMP
0[]0[]--ee--ee
Source IPアドレス
n ワーム/ウィルス感染ノード数の推計(TCP)n サイトC: 776,318アドレス
n うち日本国内: 64,813アドレス
n サイトW: 203,611アドレスn うち日本国内: 112,604アドレス
n 日本国内の感染アドレス数 > 約11万
0[]0[]--ee--ee
トラフィックのの推移 (サイトC)average pps/bps
0
20
40
60
80
100
120
140
5/16
5/19
5/22
5/25
5/28
5/31 6/3 6/6 6/9 6/1
26/1
56/1
86/2
16/2
4
pps
010,00020,00030,00040,00050,00060,00070,00080,00090,000
bps
pps bps
0[]0[]--ee--ee
パケット数の推移(サイトC)
Packet Count
0
1,000,000
2,000,000
3,000,000
4,000,000
5,000,000
6,000,000
7,000,000
8,000,000
9,000,000
10,000,000
11,000,000
5/17
5/18
5/195/2
05/2
15/2
25/2
35/2
45/2
55/2
65/2
75/2
85/2
95/3
05/3
1 6/1 6/2 6/3 6/4 6/5 6/6 6/7 6/8 6/9 6/10
6/116/1
26/1
36/1
46/1
56/1
66/1
76/1
86/1
96/2
06/2
16/2
26/2
36/2
46/2
5
pkts
/day
tcp udp icmp
0[]0[]--ee--ee
OSの検出
n ハニーポットにアクセスしてきたノードのOSを推測
n p0fn Passive OS Fingerprintingツールn TCPのWindowサイズ, デフォルトTTL, TCPオ
プションの並び順などからOSを推測n http://lcamtuf.coredump.cx/p0f.shtml
0[]0[]--ee--ee
OSの割合の推移(サイトC)
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
5/16
5/17
5/18
5/19
5/20
5/21
5/22
5/23
5/24
5/25
5/26
5/27
5/28
5/29
5/30
5/31 6/
16/
26/
36/
46/
56/
66/
76/
86/
96/
106/
116/
126/
136/
146/
156/
166/
176/
186/
196/
206/
216/
226/
236/
246/
256/
26
Windows Detection Failed Others
0[]0[]--ee--ee
OS by Source IP Address
189Novell
213CacheFlow
993OpenBSD
994FreeBSD
3,699NMAP
9,799Solaris
333,671Linux
4,252,537Detection Failed
22,178,824Windows
CountOS CountOS
1HP-UX
2BSD/OS
3Redline
3PocketPC
3Eagle
12SymbianOS
19NetCache
67Cisco
0[]0[]--ee--ee
推定ホップ数
n多くのOSのDefault TTL:n 32, 64, 128, 256 のいずれか
n到着したパケットのTTLと、よくあるデフォルトTTLを比較n例: TTL 52 の場合、64-52=12なので
推定 12 hop
0[]0[]--ee--ee
推定ホップ数の推移5/
165/
185/
205/
225/
245/
265/
285/
30 6/1
6/3
6/5
6/7
6/9
6/11
6/13
6/15
6/17
6/19
6/21
6/23
6/25
~5~10
~15~20
~25~30
~3536~
0
100000
200000
300000
400000
500000
600000
700000
800000
900000
~5 ~10 ~15 ~20 ~25 ~30 ~35 36~
0[]0[]--ee--ee
3127/tcp
n 多くのWormが利用するバックドアポートn Mydoom, DoomJuice, Novarg, Solame…n 参考:
http://www.nai.com/japan/security/virM2004.asp?v=W32/Mydoom.b@MM
n アップデート機能n Mydoom.Bn 3127/tcpが開いているホストを発見すると、
ワーム自体を送り込む
0[]0[]--ee--ee
新種発見?
1. TCPストリームを再構成2. 512byte未満のファイルを除外
3. 先頭5バイト(認証コード)を除去4. ファイルの内容n file(1)コマンドで調査
認証コード ワーム本体0 5 6 可変長
0[]0[]--ee--ee
送られてきたファイル
n サイトCに送られたファイルを分析n 分析期間: 5/16 19:16 ~ 6/26 16:46n 50カ国、2718アドレスからアクセスn 全ファイルがMS-DOS executable
Source IP Address Count
Japan40%
US17%
Others24%
UnitedKingdom
5%
Taiwan6%
China8%
96%
4%
MS-DOS executable (EXE)MS-DOS executable (EXE), OS/2 or MS Windows
0[]0[]--ee--ee
ウィルススキャン
2005/7/8現在のパターンファイルで2718ファイルをスキャンしました
が、
0[]0[]--ee--ee
W32.HLLW.Doomjuice.B
9%
W32.HLLW.Doomjuice
11%
W32.HLLW.Gaobot.gen
2%Not Detected
78%
ある商用アンチウィルスソフトのスキャン結果
0[]0[]--ee--ee
ClamAVでも試してみました
n オープンソースの Anti-Virus ソフトn ウィルスシグネチャもユーザコミュニティで作成
n http://www.clamav.net/ CountVirus Name
1Worm.W32.Welchia.E
2Worm.Winur.D
4Trojan.Gobot.R
11Worm.Gaobot.336
15Worm.Mytob.GE
16Worm.Mytob.BP
25Trojan.Ghostbot.A
28Trojan.Gobot.T
30Trojan.Gobot.A
40Worm.Gaobot.HK
51Trojan.Downloader.Delf-35
Others8%
Not Detected47%
Worm.Doomjuice.B
9%
Worm.Doomjuice.A
11%
Worm.Vesser.A-1
25%
0[]0[]--ee--ee
この手法の課題
n ハニーポットのIPアドレスが判明した場合、意図的なアタックが行われる恐れ
à観測対象のIPアドレスを分散させるn他のアドレスブロックのデータから、
ある程度の補正が可能に
0[]0[]--ee--ee
ハニーポットの比較
http://www.keyfocus.net/kfsensor/
http://www.mwcollect.org/
http://tf.happyhacking.net/
URL
RequiredRequiredNot RequiredNetwork Interface
LowLowVery LowOverhead
HTTP, SMTP, CIFS, SOCKS, MS SQL, FTP, POP3, Telnet, RDP(Terminal Server), VNC, Relay
Bagle Backdoor, Windows RPC, CIFS, WINS
TCPSupported Protocols
Windows*UNIX*UNIXOS
KFSensorMwcollectdumnetSoftware
0[]0[]--ee--ee
今後の構成
dumnetmwcollect
Policy Router
KFSensor
Tunnel(TBD)
Static
Tunnel(TBD)
0[]0[]--ee--ee
今後の予定
n広域化n複数拠点での展開
nブラックリストの構築n統計手法の検討n視覚化
nレイティングn得られた情報の共有
0[]0[]--ee--ee
Q&A
0[]0[]--ee--ee
おねがい
n 未使用アドレス空間をハニーポット用にルーティングしてもいいという方n (and 計測に箱を置いてもいい)n 統計情報のみ公開n IPアドレスはいつでも返却
n ぜひ白畑 ([email protected]) までご連絡ください!