Embed Size (px)
Citation preview
20 11年7月 2日
(神戸大学大学院 工学研究科)
森井教授
第四回愛媛情報セキュリティ勉強会
ウイルスの萌え化と可視化― マルウェアと仲良くなるために―
今日のメニュー• はじめに
– 挨拶• マルウェア研究紹介• ウイルスの萌え化?• ウイルスの可視化• マルウェアと仲良くな
るために
神戸大学大学院 森井昌克 3
今日のメニュー• はじめに
– 挨拶• マルウェア研究紹介• ウイルスの萌え化?• ウイルスの可視化• マルウェアと仲良くな
るために
神戸大学大学院 森井昌克 4
今日のメニュー• はじめに
– 挨拶• マルウェア研究紹介• ウイルスの萌え化?• ウイルスの可視化• マルウェアと仲良くな
るために
神戸大学大学院 森井昌克 9
ウイルスの萌え化と可視化
神戸大学大学院 森井昌克 10
ウイルスの萌え化
11
ウイルスの萌え化
神戸大学大学院 森井昌克 12
ウイルスの萌え化
神戸大学大学院 森井昌克 13
ウイルスの萌え化
14
ウイルスの萌え化
神戸大学大学院 森井昌克 15
ウイルスの萌え化
16
Gumblar
Conficker
今日のメニュー• はじめに
– 挨拶• マルウェア研究紹介• ウイルスの萌え化?• ウイルスの可視化• マルウェアと仲良くな
るために
神戸大学大学院 森井昌克 17
ウイルスの可視化
神戸大学大学院 森井昌克 18
Netsky
問題は造形?
ウイルスの造形
19
そこで参考にしたのが…
宇宙怪獣
宇宙怪獣
20
巣は銀河系の中心に存在し、恒星に卵を産みつけ繁殖しながら人類の文明目指して破壊を伴う進軍を行う。また、バニシングドライブ波(ワープ時に発生する波動)を感知し、ひたすらその方向に向かう習性(走 VDW 性)を持つ。 宇宙怪獣の行動目的は通常の生物とは異なり繁殖ではない。彼らの目的は人類文明の破壊そのものとの分析が為されている。それ故彼らの最終目標は太陽ではなく地球であり、人類の抹殺そのものが彼らの目的である。ヱクセリヲン所属のヨンピル博士は宇宙怪獣を独立した生物ではなく銀河系の免疫抗体とし、人類という銀河に沸いたバクテリアを駆除しようとしているとの仮説を唱えている。 最小単位が「兵隊」であり、宇宙空間では 2 ~ 3 時間が寿命と思われる。また、非戦闘時は「巡洋艦級」内で増殖している。個々の戦力は極めて低いが、その数は全種類中最大である。「巡洋艦級」クラス以上から単体でワープが可能であると思われる。戦闘時は「兵隊」を放出し、形状は円錐型をしている。また亜空間でも正確に敵位 置を捕捉し、攻撃する事が可能。ヱクセリヲン艦隊が太陽系へ向けて超長距離ワープを行った時、そのバニシングドライブ波を感知し、その亜空間へ侵入したこ とがある。 旗艦クラスは基本的に巨大であると思われ、全長約 1000 キロ近い「母艦クラス」の存在も確認されている。その防御力は光子魚雷でさえ歯が立たなかった。 最大の脅威はその数であり、最大で100億を越える宇宙怪獣が同時に確認された。また約 30億という数が冥王星の公転軌道に匹敵する大きさの集団で太陽系の雷王星(架空の第 13番惑星)付近にまで侵攻した事があり、その侵攻を察知した観察員は、視野の七割が敵影に覆われて宇宙の色さえも変わって見えた事を報告している。
宇宙怪獣
21
巣は銀河系の中心に存在し、恒星に卵を産みつけ繁殖しながら人類の文明目指して破壊を伴う進軍を行う。また、バニシングドライブ波(ワープ時に発生する波動)を感知し、ひたすらその方向に向かう習性(走 VDW 性)を持つ。 宇宙怪獣の行動目的は通常の生物とは異なり繁殖ではない。彼らの目的は人類文明の破壊そのものとの分析が為されている。それ故彼らの最終目標は太陽ではなく地球であり、人類の抹殺そのものが彼らの目的である。ヱクセリヲン所属のヨンピル博士は宇宙怪獣を独立した生物ではなく銀河系の免疫抗体とし、人類という銀河に沸いたバクテリアを駆除しようとしているとの仮説を唱えている。 最小単位が「兵隊」であり、宇宙空間では 2 ~ 3 時間が寿命と思われる。また、非戦闘時は「巡洋艦級」内で増殖している。個々の戦力は極めて低いが、その数は全種類中最大である。「巡洋艦級」クラス以上から単体でワープが可能であると思われる。戦闘時は「兵隊」を放出し、形状は円錐型をしている。また亜空間でも正確に敵位 置を捕捉し、攻撃する事が可能。ヱクセリヲン艦隊が太陽系へ向けて超長距離ワープを行った時、そのバニシングドライブ波を感知し、その亜空間へ侵入したこ とがある。 旗艦クラスは基本的に巨大であると思われ、全長約 1000 キロ近い「母艦クラス」の存在も確認されている。その防御力は光子魚雷でさえ歯が立たなかった。 最大の脅威はその数であり、最大で100億を越える宇宙怪獣が同時に確認された。また約 30億という数が冥王星の公転軌道に匹敵する大きさの集団で太陽系の雷王星(架空の第 13番惑星)付近にまで侵攻した事があり、その侵攻を察知した観察員は、視野の七割が敵影に覆われて宇宙の色さえも変わって見えた事を報告している。
ウイルスの可視化
22
個々のマルウェアの直観的類似性の把握
神戸大学大学院工学研究科森井研究室
23
24
可視化による直観的類似性の把握
要点WindowsApi 、ファイルアクセス、レジストリアクセス状況を 時間軸で表現
・半球で表現・時間軸の尺度(縮尺)を自由に選択・緯度に頻度(頻繁にアクセスする対象を90 ° (頂上)へ)・経度に種類(たとえばファイル分類、レジストリ分類、ディレクトリ)
複数のマルウェアを同時表示し、類似性(相違点)を 直感的に把握
25
動画(球形分割 Ver )
26
動画(球形分割 Ver )
27
解析結果から一意に定まる可視化モデルを作成
解析結果 可視化
可視化アルゴリズム
可視化アルゴリズム
解析結果
分類データ
可視化モデル
定義に従って機能を分類
定義に従って形状を付加
ふるまいの時間的推移ではなく、空間的(振る舞い結果)な把握
解析結果→分類データ
28
解析結果 XML 形式および html 形式
動作内容についての記述部分を抜粋
個々の動作内容を判別
各動作を定義に従って分類
分類データ 3Dモデルのデータ形式
分類データ作成
29
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"><html><head><title>W32.Efortune.31384@mm Technical Details | Symantec</title><meta http-equiv="Content-Type" content="text/html; charset=Shift_JIS"/><meta http-equiv="description" content="W32.Efortune.31384@mm remover - Symantec Security Response provides comprehensive internet protection expertise to guard against complex threats, information about latest new computer viruses and spyware."/><meta http-equiv="keywords" content="W32.Efortune.31384@mm remover"/><meta name="robots" content="noindex, nofollow"><meta name="om.site_language" content="en"/><meta name="om.site_country" content="us"/>:::<strong>Systems Affected: </strong>Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP</div><p></p><br>When an infected file is first executed, the virus obtains the filename of the currently open file. If the filename ends in "okie," then the virus randomly chooses one of the following messages and displays it in a message box:<br>
<ul type="disc"><li>it is predictable, but I wouldn't like to predict it myself. - C. Lawson<li>10000 lemmings can't be wrong.<li>A friend in need is a pain in the ass.::: <li>For further information on the terms used in this document, please refer to the <a href="../../business/security_response/glossary.jsp">Security Response glossary</a>.</li>
</ul><p></p><div><strong>Writeup By: </strong>Peter Ferrie</div></div>::
動作内容についての記述部分を抜粋
分類データ作成
30
:::<li>%Temp% is a variable. The worm locates the Windows temporary folder (by default this is C:\Windows\Temp) and copies itself to that location, as described in the next paragraph.</ul><br>In all cases, if the Kernel32.dll is not infected, then the virus will copy %System%\Kernel32.dll to %System%\Kernel32.vll, then create %System%\Cookie.att. If %System%\Cookie.att already exists, then the virus will create %Temp%\Cookie.att instead. This is a .zip file that contains a file named File_id.diz. <br><br>:::
個々の動作内容を判別
1 行ごとに文字列を読み込みタブとの総合判断で前後の行と合わせて1つの動作を表す文章単位で区切る
分類データ作成
31
<li>%Temp% is a variable. The worm locates the Windows temporary folder (by default this is C:\Windows\Temp) and copies itself to that location, as described in the next paragraph.</ul>:::In all cases, if the Kernel32.dll is not infected, then the virus will copy %System%\Kernel32.dll to %System%\Kernel32.vll, then create %System%\Cookie.att. If %System%\Cookie.att already exists, then the virus will create %Temp%\Cookie.att instead. This is a .zip file that contains a file named File_id.diz. <br>:::
各動作を定義に従って分類
各文章内に含まれる特定単語を検出動作内容を推定
その後にファイルやレジストリ名が続く場合その数を認識
W32.Ackpra.A Technical Details Symantec
32
W32.Advegol Technical Details Symantec
33
W32.Agnido.A@mm Technical Details Symantec
34
マルウェア自体とその振る舞いに関する可視化の研究
神戸大学大学院 森井昌克 36
神戸大学大学院 森井昌克 37
神戸大学大学院 森井昌克 38
今日のメニュー• はじめに
– 挨拶• マルウェア研究紹介• ウイルスの萌え化?• ウイルスの可視化• マルウェアと仲良くな
るために
神戸大学大学院 森井昌克 39
ウイルスの萌え化と可視化
神戸大学大学院 森井昌克 40
どれに感染してほしい?
神戸大学大学院 森井昌克 41
マルウェアと仲良くなれそうですか?
むすび
