TOP > 研究成果 > 特徴的なTCP/IPヘッダによるパケット検知ツール「tkiwa」
tkiwaはOSの通信機能を使用せずに独自のネットワークスタックによって通信を行うマルウェアやツールを検知するCUIツールです。 本ツールは情報処理学会主催コンピュータセキュリティシンポジウム 2014への投稿論文(参考文献[1])で提案された手法を実装したものです。
検知手法:
OSの通信機能を用いた場合、通常パケット送信ごとに異なる値が設定されるシーケンス番号やIPヘッダのID値などの通信プロトコルの各ヘッダフィールドに着目し、固定値や一定のパターンが設定されているといった特徴を持つヘッダパターンをシグネチャとすることで、送信元のマルウェアやツールを特定します。
ZMapによるTCPスキャンパケット
$ tkiwa –r zmap_tcp.pcap
<< [TCP S] 192.168.11.3:1234 -> 192.168.11.1:80 >>
|
| date = 2014-10-22 12:02:51.021105
| signature = Zmap_tcp
| parameters = 54321(ipid):255(ttl):0(ipoff):3414890210(seq):0(ack):65535(win)
|
---
<< [TCP S] 192.168.11.3:4321 -> 192.168.11.2:80 >>
|
| date = 2014-10-22 12:02:51.021107
| signature = Zmap_tcp
| parameters = 54321(ipid):255(ttl):0(ipoff):1611778721(seq):0(ack):65535(win)
|
---
マルウェアMortoによる3389/tcp宛通信(簡易表示)
$ tkiwa -r morto.pcap -lt
2014-10-22 09:55:41.192224 [TCP S] 192.168.11.3:4935 -> 192.168.11.1:3389 [Morto_scan]
2014-10-22 09:55:42.123476 [TCP S] 192.168.11.3:4935 -> 192.168.11.2:3389 [Morto_scan]
最新リリース:
version2.1 : tkiwa-2.1.tar.gz
インストール・使用方法:
最新シグネチャデータ:
signature.json(version 3 最終更新日:2014/12/11)
masscanUDPシグネチャ(DNS,NetBIOS,SNMP)に対応しました