2021 Fiscal Year Research-status Report
パケットモニタリングを用いた感染端末検出のためのトラフィック分析に関する研究
| Project/Area Number |
21K11889
|
|---|
| Research Institution | Kyushu Institute of Technology |
|---|
Principal Investigator |
中村 豊 九州工業大学, 情報基盤センター, 教授 (40346317)
|
|---|
| Project Period (FY) |
2021-04-01 – 2024-03-31
|
| Keywords | パケットキャプチャ / ラテラルムーブメント |
|---|
| Outline of Annual Research Achievements |
多くの企業・組織においてセキュリティ対策は喫緊の課題となっている.Emotetの様なウイルスに組織内部の端末が感染すると,機微情報の漏洩,ランサムウェアの感染,他の内部端末への感染の伝搬,組織外へのウイルスメールの送信といった深刻な問題を発生させる.こうしたウイルスの主な侵入経路は標的型攻撃であるため,完全に防止することは不可能である.この様なウイルスでは内部への展開のために様々なボットをダウンロードし,ラテラルムーブメントと呼ばれる内部ネットワークの探索を行う.多くの組織では外部と内部の境界においてUTMやセキュリティ検知装置を用いて防御を行っている。入り口対策は重点を置いて対策するが,内部対策にはセキュリティのリソースをあまり割いていないと言える.したがって一度組織内部へ侵入されると,これらの検知システムを通過しない範囲でウイルスの拡散活動が行われるため,異常通信の検知は難しくなる.
そこで本研究では標的型攻撃を受けた一次被害端末の防御を100%実施できないことを前提に,ウイルス感染後通信挙動,具体的にはC&C通信,ボットダウンロード,ラテラルムー ブメント等に着目し,それらを検出,分析するための手法を提案する.本手法の特徴は既存システムで検知可能な被害を受けた一次被害端末の特定ではなく,一次被害端末が生成する通信の特徴を分析することで二次被害端末の検出を可能とする,という点にある.また、分析の汎用性・可用性を高めるために,過去に蓄積したトラフィックデータも分析対象とする.これにより,自組織だけでなく様々な組織におけるトラフィックデータの分析が可能となりセキュリティ対策に寄与すると考えられる.
令和3年度では主に組織内のラテラルムーブメント通信を検出するためのシステム構築および計測環境の構築を進めた.
|
| Current Status of Research Progress |
Current Status of Research Progress
2: Research has progressed on the whole more than it was originally planned.
Reason
令和3年度ではネットワークフォレンジックシステムを内部キャンパスネットワークにも適用し,キャンパス内部ネットワークを計測するためのシステムを構築した.本学戸畑キャンパスおよび飯塚キャンパスのコアスイッチからミラーポートを出力し、Arkimeがインストールされたサーバを用いて,パケットキャプチャ環境を構築した.そしてArkimeが管理しているセッション情報を取得し,キャンパス内部ネットワークにおいてラテラルムーブメント通信が発生しているかどうかの分析を行った.
実際に構築された環境においていくつかの異常通信を検出することができた.arkimeを用いて詳細を分析したところ,学内のサーバに対して脆弱性診断システムが実際にスキャンを実施している通信をarkimeが検出していることが確認できた.また,arkimeではWeb APIを用いて例えば「1時間以内に送受信されたパケットが1つで、そのプロトコルはTCPである」といった記述が可能である.この機能を用いることでスクリプトを用いた定期的な情報取得が可能であることが確認できた.
現段階では目視での確認に留まっているため,今後はこれらの自動取得や自動検知についてのシステム構築およびアルゴリズムの開発を進める予定である.
|
| Strategy for Future Research Activity |
令和3年度での分析に基づいて令和4年度ではラテラルムーブメントを受診した端末が2次被害を受けて侵害されているかどうかの分析を進めていく.
一次被害端末が生成するスキャン通信には,以下の3つのパターンが考えられる。(a) 二次被害端末にサービスが立ち上がっていないため,SYNパケットのみの場合 「スキャンの検出」と呼ぶ。(b) 二次被害端末にサービスは立ち上がっているが,接続に失敗している場合「サービスの検出」と呼ぶ。(c) 二次被害端末にサービスが立ち上がっていて,接続に成功している場合「端末への侵害」と呼ぶ.通常の通信およびラテラルムーブメントに成功した通信は(c)であるため,セッション単体での識別は困難である.従って,(a)から(c)へ状態遷移した場合が一時被害端末から二次被害端末へ拡散が成功していると考えられ,CSIRTによる二次被害端末の分析対象ホストとなると考えられる.
令和3年度での構築されたシステムではデータの自動取得は自動検知システムについての構築が行われていないため,上記のアルゴリズムを実装した異常検知システムの構築を進めていく予定である.
|
