静的解析検知エンジン改良のためのマルウェア研究

琉球大学主催 工学部情報工学科 卒業研究中間発表会
静的解析検知エンジン改良のためのマルウェア研究
075729C 高山和則 指導教員 : 長田智和
序論
1
ンを解析するまで無力であるため,即座に検知することが
困難である.
1.1
はじめに
近年,Gumbler に代表されるように Web ブラウザやプラ
2.2
ヒューリスティック手法
グインの脆弱性を利用した Web 感染型マルウェアによる被
害が拡大している.攻撃者によって改ざんされた Web サイ
ヒューリスティック手法とは,実行ファイルの構造,動作,
トは,閲覧するだけでマルウェアを埋め込めこんだサイト
その他の属性からマルウェアを検知する方法である.マル
に強制的に誘導されるため,改ざんされた Web サイトを早
ウェアの特徴に基づいた複数の評価項目を設け,それぞれ
期発見することが重要である.
の結果から算出された評価値によりマルウェアかどうか判
また,亜種も含め新種のマルウェアは 1 日に数万種生み
出されており,従来のパターンマッチングでは,0-day 攻撃
断する.そのため,新種のマルウェアに対しても有効であ
る.しかし,誤検知や見落としが発生するなど課題もある.
に対応できない状況が起きている.そのため,セキュリティ
の世界では単純なパターンマッチングに加え,ヒューリス
ティック手法が研究・開発されている.ヒューリスティック
手法の場合,マルウェアの振る舞いを検知ロジックとして組
2.3
Web 感染型マルウェア
Web 感染型マルウェアとは,Web ブラウザやプラグイン
み込んでいるため,新種のマルウェア検知にも有効である. の脆弱性を利用して感染するマルウェアである.その特徴と
今回,共同研究先として協力する FFR(Fourteenforty Re- して,Web サイトを閲覧するだけで感染するため,従来のマ
search) 社もまた,上記のような観点から Origma+を開発
した.Origma+のヒューリスティックエンジンは,新種の
ルウェアよりもユーザー自ら感染を防ぐことが難しいこと.
また,大企業やネットショップ,SNS などのサイトが改ざ
マルウェアの検知にも成功し,この手法の有効性を示した. んされた場合,多くの利用者に被害が出ることが挙げられる.
一方で,検知できなかったマルウェアも存在する.
1.2
研究目的
本研究では,Orgma+の検知エンジンの一つである,Static
分析エンジンでは検知できなかったマルウェアを解析する
&'()*+
,-./01
D=&'(
$%#
@=AB
ことで,検知ロジックとして利用可能な特徴を抽出し,静
C=!"
的解析検知エンジンとして新たなをエンジン作成すること
を目的とする.
また,未検知マルウェアの割合を新旧のエンジンで比較
<=>?
し,新たに組み込んだマルウェア検知ロジックの有効性を
確認する.
技術概要
2
2.1
パターンマッチング
パターンマッチングとは,データベースに登録されたマ
23456789
:(;,-./01
!"#
図 1: マルウェア感染の流れ
図 1 に Web 感染型マルウェアが感染するまでの流れを示
す.攻撃者が何らかの方法により,一般的な Web サイトを
改ざんし,マルウェアを埋め込んだサイトに誘導するよう
ルウェアのコードパターンを,検索対象のファイル内容と
仕掛けを行う.仕掛けには,iframe タグなどが利用される.
照合することでマルウェアを検知する技術である.既知の
その後,閲覧者が改ざんされた Web サイトを閲覧すると,
マルウェアに対しては,高い精度で検知でき,誤検知も少
強制的に誘導され,マルウェアに感染する.
ない.一方,新種のマルウェアに対しては,コードパター
2.4
• セクション部
Origma+
Origma+とは,FFR 社が開発した人柱型アクティブ・ハ
セクションヘッダと,コードセクションやインポート
ニーポットである.図 2 のように,仮想マシン上に構築さ
セクション,デバッグセクションなどから構成される
れたハニーポットが,Web ブラウザ経由で自動巡回するこ
セクション部は,実行ファイルの実部である.プログ
とにより,改ざんされたサイトや,強制誘導先の Web 感染
ラムの動作,IAT(Import Address Table),グローバル
型マルウェアを発見することができる.
変数領域などが定義されており,ここから実行ファイ
ルの特徴を読み出すことができる.
UVPWXY123RST
研究概要
3
3.1
解析環境
解析は,ネットワークを通じて他のコンピュータに感染
CDEF
?@AB
する危険性があるため,ネットワークから切り離した環境
にて行う.マルウェアの多くが Windows を対象としている
ため,OS は Windows とする.また,中には仮想マシンを
検知して通常と異なる振る舞い見せるものがあるため,物
789:
;<=>
理マシン上に環境を構築する.ソフトウェアについては,脆
GH
1234056
&'()*+,-./0
!"#$%
#I5JKLMN
OPQ123RST
弱性のある環境が求められるため,Adobe Flash や Adobe
Reader の古いバージョンを用意する.
解 析 ツ ー ル に は ,逆 ア セ ン ブ ラ と デ バッガ と し て
IDA(Interactive DisAssembler),Visual Stadio を使用する.
図 2: Origma+の動作
3.2
解析手順
Origma+の検知エンジンには,同社の開発した Yarai エ
FFR 社より提供された未検知マルウェアリストの中から,
ンジンが流用されており,4 つのヒューリスティックエンジ
亜種の多い検体を選び,実際に実行させて動作を確認する.
ンから成り立っている.今回改良を目指す Static 分析エン
確認後,バックアップデータから解析マシンの状態を復旧
ジンは,PE 構造分析,リンカー分析,パッカー分析,想定
させる.見慣れない関数はないか,通常と異なる領域に実
オペレーション分析などの手法により,マルウェアを検知
行権がないか,ネットワークや権限の変更など,マルウェア
する.
特有の動作を中心に静的解析を行う.解析結果,抽出され
た特徴を検知ロジックとして新エンジンに反映させる.
2.5
PE(Portable Executable)
PE とは,Windows 上で用いられる実行ファイルのフォー 3.3 評価
マットであり,MS-DOS 互換部,PE ヘッダ部,セクション
新旧の静的検知エンジンにて,通常の実行ファイルや未
部から成り立つ.
検知マルウェアリストを含む実行ファイル群を検査し,誤
• MS-DOS 互換部
検知や未検知の割合,その数を比較することで有効性を評
シグネチャ「MZ」からはじまる MS-DOS 互換部には, 価する.
PE ヘッダ部の位置と MS-DOS 用プログラムが格納さ
れている.MS-DOS 上で実行すると,
「This program is
cannot be run DOS mode.」というメッセージを表示
し,終了する.
• PE ヘッダ部
4
今後について
今後は,FFR 社より提供された静的解析資料から,現在
の検知エンジンの評価項目や抽出されたマルウェアの特徴
シグネチャ「PE00」からはじまる PE ヘッダ部には, を把握し,実際に逆アセンブルした状態で確認する.静的
ターゲットマシン,アライメント,セクション管理,メ 解析資料を参考に検体の解析を始め,検知ロジックとして
モリサイズなど実行ファイルに関するの情報が格納さ
利用可能な特徴を抽出し,同様の資料を作成する.この資
れている.Windows は,PE ヘッダ部の情報をもとに
料に基づき,複数のマルウェアに共通の特徴を発見し,検
セクション部を読み込み,実行する.
知エンジンの改良に用いる.