Information and Physical Security Research Group: How to Visualize DNS Traffic to Detect Malware-Infected Hosts

TOP > 研究成果 > 攻撃者によるRAT遠隔操作をリアルタイム監視

研究成果

攻撃者によるRAT遠隔操作をリアルタイム監視する手法について

コンテンツ

  1. 概要
  2. 監視手法
  3. 監視例
    1. PoisonIvy
  4. 参考文献

 本ページは,情報処理学会主催コンピュータセキュリティシンポジウム 2013・マルウェア対策研究人材育成ワークショップ 2013への投稿論文(参考文献[1])の一部を加筆,修正したものです.詳細は該当論文をご参照ください.


概要

 我々のグループでは,標的型攻撃対策について研究を行なっています.標的型攻撃への対策が重要であることは広く認知されていますが,インシデントが多発している原因の1つに攻撃者の活動に関する情報不足が挙げられます.そこで我々は,標的型攻撃に利用されるRAT(Remote Administration Tool, Remote Access Trojan)が攻撃者に遠隔操作される様子を監視する手法について検討しています.


監視手法

 本手法は何らかの手法でRAT感染ホストを検知した後,攻撃者がどのように遠隔操作を行うのかを監視する手法です.
 本手法は図のように,監視対象ホスト,監視用ホスト群,プロキシ用ホストで構成されます.監視対象ホストはRATサーバに感染しており,攻撃者により遠隔操作されているものとします.この遠隔操作の様子を監視用ホスト群で監視します.
 まず,監視対象ホスト上で動作するRATサーバからRATクライアントとの接続に必要な認証情報を抽出します.監視用ホスト上で監視用RATクライアントを実行し,抽出した認証情報を適用し,接続待機状態にします.監視対象ホストでRATサーバを実行し,プロキシ用ホストで解析対象ホストから攻撃者へ送信される通信を観測,同様の通信を監視対象ホスト群へと送信することで,攻撃者の挙動を監視します.


図1. 監視手法の概要

監視の前処理

 RATサーバは起動されると,作成時に設定されたIPアドレス(またはドメイン),ポート番号に接続を試みます.また,RATクライアントはパスワードを入力し,待ち受けるポート番号を設定することで接続待機状態となります.RATサーバとRATクライアントのセッションが確立されると,RATサーバに設定されたパスワードとRATクライアントで入力したパスワードが一致しているかの認証が行われます.一致していない場合はRATクライアントに接続成功の表示がされず,遠隔操作を行なうことができません.
 監視を行なうためには,上記の認証情報(IPアドレス,ポート,パスワード)を事前に把握しておく必要があります.そのため,RATサーバを実行する前に解析し,認証情報を取得します.


監視例

 本手法による監視例を紹介します.以下は,RATの一種であるPoisonIvyを本手法で監視した様子を撮影した動画です.PoisonIvyのRATクライアントは,1つのウィンドウ内で操作項目を切り替え,操作する仕様です.複数の項目における操作を監視するためには,項目ごとに監視用ホストが必要です.今回は2つの操作項目を観測するために監視用ホストを2つ用意し,監視実験を行いました.


以下の動画をブラウザ上で再生するには,videoタグをサポートしたブラウザか,Flashに対応したブラウザが必要です.(IE10で再生確認済み)


動画1. PoisonIvy

解像度が低く,申し訳ありません.高解像度版を準備中です.
高解像度版を用意いたしました.


ダウンロードはこちら


参考文献

  • [1] 髙橋 佑典,小林 大朗,陳 悦庭,米持 一樹,吉岡 克成,松本 勉,"RATサーバの動作を遠隔操作者と同じ操作画面で観測する方法,"コンピュータセキュリティシンポジウム(CSS) 2013.