琉球大学主催工学部情報工学科卒業研究中間発表会静的解析検知エンジン改良のためのマルウェア研究 075729C 高山和則指導教員 : 長田智和序論 1 ンを解析するまで無力であるため，即座に検知することが困難である． 1.1 はじめに近年，Gumbler に代表されるように Web ブラウザやプラ 2.2 ヒューリスティック手法グインの脆弱性を利用した Web 感染型マルウェアによる被害が拡大している．攻撃者によって改ざんされた Web サイヒューリスティック手法とは，実行ファイルの構造，動作，トは，閲覧するだけでマルウェアを埋め込めこんだサイトその他の属性からマルウェアを検知する方法である．マルに強制的に誘導されるため，改ざんされた Web サイトを早ウェアの特徴に基づいた複数の評価項目を設け，それぞれ期発見することが重要である．の結果から算出された評価値によりマルウェアかどうか判また，亜種も含め新種のマルウェアは 1 日に数万種生み出されており，従来のパターンマッチングでは，0-day 攻撃断する．そのため，新種のマルウェアに対しても有効である．しかし，誤検知や見落としが発生するなど課題もある．に対応できない状況が起きている．そのため，セキュリティの世界では単純なパターンマッチングに加え，ヒューリスティック手法が研究・開発されている．ヒューリスティック手法の場合，マルウェアの振る舞いを検知ロジックとして組 2.3 Web 感染型マルウェア Web 感染型マルウェアとは，Web ブラウザやプラグインみ込んでいるため，新種のマルウェア検知にも有効である．の脆弱性を利用して感染するマルウェアである．その特徴と今回，共同研究先として協力する FFR(Fourteenforty Re- して，Web サイトを閲覧するだけで感染するため，従来のマ search) 社もまた，上記のような観点から Origma+を開発した．Origma+のヒューリスティックエンジンは，新種のルウェアよりもユーザー自ら感染を防ぐことが難しいこと．また，大企業やネットショップ，SNS などのサイトが改ざマルウェアの検知にも成功し，この手法の有効性を示した．んされた場合，多くの利用者に被害が出ることが挙げられる．一方で，検知できなかったマルウェアも存在する． 1.2 研究目的本研究では，Orgma+の検知エンジンの一つである，Static 分析エンジンでは検知できなかったマルウェアを解析する &'()*+ ,-./01 D=&'( $%# @=AB ことで，検知ロジックとして利用可能な特徴を抽出し，静 C=!" 的解析検知エンジンとして新たなをエンジン作成することを目的とする．また，未検知マルウェアの割合を新旧のエンジンで比較 <=>? し，新たに組み込んだマルウェア検知ロジックの有効性を確認する．技術概要 2 2.1 パターンマッチングパターンマッチングとは，データベースに登録されたマ 23456789 :(;,-./01 !"# 図 1: マルウェア感染の流れ図 1 に Web 感染型マルウェアが感染するまでの流れを示す．攻撃者が何らかの方法により，一般的な Web サイトを改ざんし，マルウェアを埋め込んだサイトに誘導するようルウェアのコードパターンを，検索対象のファイル内容と仕掛けを行う．仕掛けには，iframe タグなどが利用される．照合することでマルウェアを検知する技術である．既知のその後，閲覧者が改ざんされた Web サイトを閲覧すると，マルウェアに対しては，高い精度で検知でき，誤検知も少強制的に誘導され，マルウェアに感染する．ない．一方，新種のマルウェアに対しては，コードパター 2.4 • セクション部 Origma+ Origma+とは，FFR 社が開発した人柱型アクティブ・ハセクションヘッダと，コードセクションやインポートニーポットである．図 2 のように，仮想マシン上に構築さセクション，デバッグセクションなどから構成されるれたハニーポットが，Web ブラウザ経由で自動巡回するこセクション部は，実行ファイルの実部である．プログとにより，改ざんされたサイトや，強制誘導先の Web 感染ラムの動作，IAT(Import Address Table)，グローバル型マルウェアを発見することができる．変数領域などが定義されており，ここから実行ファイルの特徴を読み出すことができる． UVPWXY123RST 研究概要 3 3.1 解析環境解析は，ネットワークを通じて他のコンピュータに感染 CDEF ?@AB する危険性があるため，ネットワークから切り離した環境にて行う．マルウェアの多くが Windows を対象としているため，OS は Windows とする．また，中には仮想マシンを検知して通常と異なる振る舞い見せるものがあるため，物 789: ;<=> 理マシン上に環境を構築する．ソフトウェアについては，脆 GH 1234056 &'()*+,-./0 !"#$% #I5JKLMN OPQ123RST 弱性のある環境が求められるため，Adobe Flash や Adobe Reader の古いバージョンを用意する．解析ツールには，逆アセンブラとデバッガとして IDA(Interactive DisAssembler)，Visual Stadio を使用する．図 2: Origma+の動作 3.2 解析手順 Origma+の検知エンジンには，同社の開発した Yarai エ FFR 社より提供された未検知マルウェアリストの中から，ンジンが流用されており，4 つのヒューリスティックエンジ亜種の多い検体を選び，実際に実行させて動作を確認する．ンから成り立っている．今回改良を目指す Static 分析エン確認後，バックアップデータから解析マシンの状態を復旧ジンは，PE 構造分析，リンカー分析，パッカー分析，想定させる．見慣れない関数はないか，通常と異なる領域に実オペレーション分析などの手法により，マルウェアを検知行権がないか，ネットワークや権限の変更など，マルウェアする．特有の動作を中心に静的解析を行う．解析結果，抽出された特徴を検知ロジックとして新エンジンに反映させる． 2.5 PE(Portable Executable) PE とは，Windows 上で用いられる実行ファイルのフォー 3.3 評価マットであり，MS-DOS 互換部，PE ヘッダ部，セクション新旧の静的検知エンジンにて，通常の実行ファイルや未部から成り立つ．検知マルウェアリストを含む実行ファイル群を検査し，誤 • MS-DOS 互換部検知や未検知の割合，その数を比較することで有効性を評シグネチャ「MZ」からはじまる MS-DOS 互換部には，価する． PE ヘッダ部の位置と MS-DOS 用プログラムが格納されている．MS-DOS 上で実行すると，「This program is cannot be run DOS mode.」というメッセージを表示し，終了する． • PE ヘッダ部 4 今後について今後は，FFR 社より提供された静的解析資料から，現在の検知エンジンの評価項目や抽出されたマルウェアの特徴シグネチャ「PE00」からはじまる PE ヘッダ部には，を把握し，実際に逆アセンブルした状態で確認する．静的ターゲットマシン，アライメント，セクション管理，メ解析資料を参考に検体の解析を始め，検知ロジックとしてモリサイズなど実行ファイルに関するの情報が格納さ利用可能な特徴を抽出し，同様の資料を作成する．この資れている．Windows は，PE ヘッダ部の情報をもとに料に基づき，複数のマルウェアに共通の特徴を発見し，検セクション部を読み込み，実行する．知エンジンの改良に用いる．