SCIS 2007 The 2007 Symposium on Cryptography and Information Security Sasebo, Japan, Jan. 23-26, 2007 The Institute of Electronics, Information and Communication Engineers All rights are reserved and copyright of this manuscript belongs to the authors. This manuscript have been published without reviewing and editing as received from the authors: posting the manuscript to SCIS 2007 does not prevent future submissions to any journals or conferences with proceedings. 自己ファイル READ の検出による未知ワームの検知方式の提案(その2) An unknown-worm detection scheme based on capturing self-initiated READ behavior(part2) † 鈴木功一 †† 松本隆明 †† †† † 高見知寛 ††† ††† 馬場達也 前田秀介 水野忠則 西垣正勝 † †† † †† KAAKI M KOICHI SUZUKI TAKAAKI MATSUMOTO TOMOHIRO TAKAMI TATSUYA BABA †† SHUSUKE MAEDA ††† TADANORI MIZUNO ††† MASAKATSU NISHIGAKI あらまし ワームの感染は,ワーム自身を他の PC にネットワーク経由でコピーすることに他ならない. よってワームの感染行動は,OS のファイルシステム上では,自分自身のファイルを READ(コピー)し, これを通信 API に WRITE(ペースト)するという動作として現れる.本稿では,この「ワームの自己フ ァイル READ」を検出することにより,ワームを検知する方式を提案する.原理的にはワームは必ず自 己ファイル READ を行うため,本方式によれば未知ワームや変異型ワームも検知可能であると考えられ る.また本方式は,エンドユーザの PC における各プロセスのファイルアクセスを常時監視することに より実装可能であるため,ワームのリアルタイム検知も実現できる.本稿では本方式のコンセプトを 示した上で,ファイルアクセスを監視するモニタツールを用いて擬似的に本方式の未知ワーム検知能 力を検証する. キーワード ウィルス ワーム 未知ワーム検知 ビヘイビアブロッキング法 ファイルシステム 1 はじめに これまでに様々な未知ワーム検知手法が提案されて きており,その代表的なものが,プログラムの振る舞い における「ワームらしさ」を検出するビヘイビアブロッ キング法[1]である.ワームらしい振る舞いとしては,一 般的に,レジストリの改ざん,システムファイルの書き 換え,外部への感染活動などが規定される[1].ビヘイビ アブロッキング法は,プロセスが発行するシステムコー ルなどを検査することによりコンピュータ上で動作して いるプログラムの動きを監視し,ワームらしい振る舞い をした場合に,それをワームとして検知する. ビヘイビアブロッキング法はワームらしいプログラ ムをすべて検知することができるため,基本的には,亜 種ワームやポリモーフィック/メタモーフィック型ワー ムを含むすべての未知ワームを検知することが可能であ †静岡大学大学院情報学研究科 Graduate School of Informatics, Shizuoka University ††(株)NTTデータ技術開発本部 R&D Headquarters, NTT Data corp. ††† 静岡大学創造科学技術大学院 Graduate School of Science and Technology, Shizuoka University る.しかし,レジストリの改ざんやシステムファイルの 書き換えは,OS のアップデートや正常のアプリケーシ ョンプログラムのインストール時にも発生する振る舞い であり,また,外部への感染活動と正常の通信を確実に 見極めるには限界がある.このため,ビヘイビアブロッ キング法には,ワームと類似した動きをする正常なプロ グラムを誤検知してしまうという大きな問題がある.す なわち,ビヘイビアブロッキング法の効果を高めるため には,真に「ワームらしい振る舞い」を見極めることが 重要となる. そこで本稿では, 「ワームは,感染行動の中で自分の 複製を作成するにあたって,自分自身のファイルを READ する」というワーム特有の振る舞いに着目し,プロセス のファイルアクセスをリアルタイムで監視することによ りワームを検知する方法を提案する.原理的にはワーム は感染行動の際に必ず自己ファイル READ を行うため, 本 方式によれば未知ワームや変異型ワームも検知可能であ ると考えられる. 2 自己ファイルREAD の検出によるワーム検 知 ワームの感染は,ワーム自身を他のPCにネットワーク 経由でコピーすることに他ならない.ファイルのネット ワーク経由のコピーを,コピー元のPCにおけるOS (Windows)の観点で見ると,その処理は 1) コピー元の ファイルを読み出し(READ) ,2) これを通信APIである WINSOCKに引き渡す(WRITE) ,という動作により実行され る.よってワームが感染活動を行うにあたっては,メモ リにて稼動しているワームのプロセスがファイルシステ ム上にある自分自身の実行ファイル(ワーム本体のファ イル)をREADするという動作が発生する☆.正規のプロ グラムの中にも自分自身の本体のファイルをREADするプ ログラムが存在するが,著者らが確認した限りでは,ワ ームのように自分自身のファイルからそのデータのほぼ 「すべて」をREADする正規プログラムは現在のところ発 見されていない.以降,本稿では上記のようなワームが 自分自身のファイルの大部分をREADするという動作を 「自己ファイルREAD」と呼ぶことにする. 本稿では,この「ワームの自己ファイル READ」を,ビ ヘイビアブロッキング法におけるワームらしい振る舞い として利用する.具体的には, OS のファイルシステム をフックすることにより, エンドユーザの PC における全 プロセスのファイルアクセスを常時監視し,自己ファイ ル READ を行ったプロセスをリアルタイム検知する. よっ て,ワームが感染活動を開始した瞬間にこれを発見する ことが可能である. 本方式の特長として,本方式は従来の方法では検知が 困難であった変異型ワームに対しても有効に検出が可能 である点が挙げられる.変異型ワームは感染の度に自分 自身を暗号化(ポリモーフィック型)または難読化(メ タモーフィック型)により自己改変するが,それらの処 理は 1) 自分自身のコードを READ してメモリに展開し, 2) コードの自己改変を行い, 3) これを他の PC に送信す る,という手順で行われる.すなわち,原理的には変異 型ワームも必ず自己ファイル READ を行う. よって本方式 は,変異型ワームを含むすべての未知ワームを確実に検 知することが可能であると期待される. ただし本方式は,ワーム本体のファイルが OS のファ イルシステム内に格納されないタイプのワームは検知対 象外となる.例えば,PC のメモリ上でのみ動作し,ファ イルシステムの中にワーム本体のデータを書き込むこと がない CodeRed[2]のようなワームは, 自己ファイル READ のイベントが発生しないため検知不可能である. しかし, このようなメモリ常駐型のワームは,コンピュータがリ ブートされた際に自分自身を再起動させることができな いため,基本的には電源が切られることのないサーバマ シンを狙ったものがほとんどである. このため本方式は, エンドユーザの PC に対しては実用的に使用可能なので はないかと考えられる. 3 3.1 非常に多くのワームに共通して見られる「OSのシス テム管理下のフォルダに自身のコピーの書き込む」とい う挙動も,コピー元のファイル(ワーム自身の実行ファ イル)を読み出してコピー先(システムフォルダ)に書 き込むという動作によって実行されるため,やはり,自 己ファイルREADが検出されることになる. 自己ファイル READ の検出機構 本方式では,ワームの自己ファイル READ をリアルタ イムで捉えるために,OS のファイルシステムを監視する 必要がある.これは,Windows のファイルシステムをフ ックすることにより, エンドユーザの PC におけるファイ ルアクセスを常時モニタリングすることで達成される. 具体的には,PC 内で実行中の全プロセスのファイルアク セスを監視し,自分自身の本体のファイルの大部分を READ したプロセスが発見された時点でアラートを上げ る. ファイルシステムのフックを行うにあたっては,フィ ルタドライバに手を加えることで比較的容易に実装が可 能である.また,ファイルシステムのフックは,動的ヒ ューリスティック法[3]のように PC 上で常駐的に仮想環 境を用いるような方法より低負荷であるため,エンドユ ーザの PC の性能を鑑みてもリアルタイム検知が十分可 能であると考えられる.ただし本稿は,本方式の基本設 計仕様の提案と試実験による本方式の有効性の報告に注 力しているため,現時点では実システムによるオーバヘ ッドの測定は行っていない. 3.2 実装指針 本方式における実装指針を示す.本方式は,ファイル システムフィルタドライバを用い,以下の手順で行う. Step1. PC 内で発生したすべてのファイルアクセスを フックする. Step2. ファイルアクセスの中で READ に関するものの みを検出する. Step3. Step2 で検出したファイルアクセスを発生さ せたプロセスのパスと,アクセスするファイルのパ スの相関をチェックする.具体的には,パス名 A の ファイルを実行することによって生起されたプロ セスが,パス名 A のファイルを READ した場合,こ れを検出する. Step4. Step3 で検出したプロセスがプロセス自身の ファイルの(大部分)を READ していた時,そのフ ァイルをワームの疑いありと判断する. ただし,本稿の現時点では,ファイルシステムのフッ クの代わりに,OS のファイルアクセスをリアルタイムに 監視可能なモニタツールである FileMon[4]を用いて,試 験的に自己 READ の検出を行っている. 3.3 ☆ 検知能力に関する検証 正検知実験 本方式によって実際に未知ワーム検知が可能である かの実験を行った.ただし,未知ワームの入手が困難で あるため,ここでは代表的な既知ワームのファイルアク セスを見ることで仮想的に未知ワーム検知が可能である かを確認することとした.表 1 に本実験で用いたワーム の種類を示す. 本実験は,本学の LAN から物理的に隔離されたネット ワーク上で行った. 隔離されたネットワーク上の PC でワ ームを実行し,FileMon でワームのファイルアクセスを 観測する.なお, 実験に使用した PC の OS はセキュリテ ィパッチの当たっていない Windows2000 である.表 1 に は,実験の結果も併記してある. 表 1: 検査対象ワームおよび検知結果 シーケンシャル ブロック READ READ ワーム 型 Sasser.C 脆弱性悪用型 ○ × Blaster.C 脆弱性悪用型 ○ × Beagle.X メール送信型 ○ × Netsky.B メール送信型 × ○ Netsky.D メール送信型 ○ × × ○ ○ × ○ ○ Netsky.Z Beagle.AG Mimail.Q メール送信型 Zip 圧縮型 メール送信型 鍵付き Zip 圧縮型 メール送信型 自己変異型 シーケンシャル READ Beagle.X,NetSky.D ,Blaster.C,Sasser.C, Mimail.Q においては,自分自身のファイル(ワー ム本体)のファイルサイズなどを調べた上で,フ ァイルの中身全体をシーケンシャルにコピーする という動作が捕らえられた.「Open Sequential Access」オプション付きのファイル OPEN,ファイ ル CREATE,ファイル WRITE の処理の中で自分自身 がシーケンシャルに READ されている.Filemon に よるファイルアクセスの観測結果(の一部)を図 1 に示す.今回の実験に用いたワームにおいては, シーケンシャル READ により, 自分自身のファイル をシステム管理下のフォルダにコピーする挙動が 見られた. z 3.4 誤検知実験 本方式によって正規のプロセスがワームとして誤検 知されることがないかを調べる実験を行った.表 2 に本 実験で用いた正規プロセスと実験結果を示す. 多くのワームがプロセスを起動した途端に感染活動 を行うことを鑑み,MS WORD,MS EXCEL においては,プ ロセスを起動させた後,しばらくの間のファイルアクセ スをモニタリングしたが, 自己ファイル READ は観測され なかった. 表 2: 検査対象ワームおよび検知結果 ワームのファイルアクセスを観測した結果を解析し たところ,2 種類の方法で自己ファイル READ を行ってい ることが確認された. 以下, それぞれについて説明する. z モリ領域に読み出す挙動が見られた. 以上のように,今回の試実験では,すべてのワームに おいて,自分自身のファイル(ワーム本体)の全データ が READ されていることが確認された. なお,NetSky.Z は感染の際に自分自身を Zip 圧縮した ものを相手に送りつけるメール送信型ワームである.同 じく,Beagle.AG は自分自身を鍵付き Zip 圧縮したもの を送る(鍵は常に変化する) .Mimail.Q は感染の度に自 分自身を変異させる.本実験を通じ,本方式がこれら変 異型ワームに対しても有効であることが確認された. ブロック READ NetSky.B,NetSky.Z,Mimail.Q においては,自 分自身のファイル(ワーム本体)をブロック(例 えば NetSky.Z では 1024 バイト)ごとに次々と READ していることがわかった.Filemon によるフ ァイルアクセスの観測結果(の一部)を図 2 に示 す.今回の実験に用いたワームにおいては,ブロ ック READ により, 自分自身のファイルをシステム 管理下のフォルダにコピーする挙動や,自分自身 のファイルを(WINSOCK 等へ引き渡すために)メ 正規プロセス 自己ファイル READ MS WORD × MS EXCEL × インストーラ (sinst1-4-7-0.exe) △ Internet Explorer △ インストーラ(sinst1-4-7-0.exe [5])においては, 稼動(インストール実行)中に自分自身のファイルを READ するイベントが観測された.しかし,一般的なイン ストーラは,インストールされるプログラム群が格納さ れているデータ領域とインストールを制御するプログラ ム領域から成っていることが一般的であるため,基本的 には, 自己ファイル READ の対象はデータ領域内のデータ のみとなる.よって,自己ファイル READ が検知された際 に,READ されたデータがファイル全体のどれくらいの割 合であるかということをチェックすることにより,ワー ムとインストーラを切り分けることが可能であると考え られる. また,Internet Explorer においても,プロセスを起 動させた直後に, 自分自身のファイルを READ するイベン トが観測された.READ されたデータのサイズはファイル 全体の 1%にも満たないものであった. Internet Explorer のソースファイルが公開されていないため推測の域を出 ないが,これは,自身のコードの中に書き込まれている バージョン情報などを読み込んでいるのではないかと思 われる.いずれにせよ,READ されたデータがファイル全 体のどれくらいの割合であるかをチェックすることでワ OPEN QUERY INFORMATION QUERY INFORMATION QUERY INFORMATION QUERY INFORMATION QUERY INFORMATION QUERY INFORMATION CREATE SET INFORMATION QUERY INFORMATION WRITE SET INFORMATION CLOSE C:\avserve2.exe C:\avserve2.exe C:\avserve2.exe C:\avserve2.exe C:\avserve2.exe C:\avserve2.exe C:\avserve2.exe C:\WINNT\avserve2.exe C:\WINNT\avserve2.exe C:\avserve2.exe C:\WINNT\avserve2.exe C:\WINNT\avserve2.exe C:\avserve2.exe SUCCESS SUCCESS SUCCESS SUCCESS SUCCESS SUCCESS SUCCESS SUCCESS SUCCESS SUCCESS SUCCESS SUCCESS SUCCESS Options: Open Sequential Access: All FileAttributeTagInformation Length: 15872 Attributes: RA FileStreamInformation Attributes: RA FileEaInformation Options: OverwriteIf Sequential Access: All Length: 15872 Length: 15872 Offset: 0 Length: 15872 FileBasicInformation 図 1 シーケンシャル READ を行うワーム(Sasser.C)の観測結果の一部 READ READ READ READ C:\Informations.txt(大量のスペース)*.exe C:\Informations.txt(大量のスペース)*.exe C:\Informations.txt(大量のスペース)*.exe C:\Informations.txt(大量のスペース)*.exe SUCCESS SUCCESS SUCCESS SUCCESS Offset: Offset: Offset: Offset: 0 Length: 1024 1024 Length: 1024 2048 Length: 1024 3072 Length: 1024 : : : : READ READ READ C:\Informations.txt(大量のスペース)*.exe C:\Informations.txt(大量のスペース)*.exe C:\Informations.txt(大量のスペース)*.exe SUCCESS SUCCESS END OF FILE Offset: 20480 Length: 1024 Offset: 21504 Length: 1024 Offset: 22016 Length: 1024 * NetSky.Z は,プログラム名に大量のスペースが含まれるが,図では(大量のスペース)と表した 図 2 ブロック READ を行うワーム(NetSky.Z)の観測結果の一部 ームとの切り分けが可能であると考えられる. ただし,本方式が公知のものとなった場合には,ある 程度のサイズのジャンクコードをワーム本体に付加する ことにより, 「ファイル全体の中の一部に本体が隠されて いる」というワームが作成されるようになるかもしれな い.このようなワームは,1) ファイル全体の中からワー ム本体の部分のみを READ し,2) 新たなジャンクコード を生成した上で,3) 1 のワーム本体と 2 のジャンクコー ドを合わせたものを他の PC に感染させる, という行動を とることにより,インストーラの振る舞いを装うことが できる.このようなワームをも検知するためには,READ されるデータの属性を検査する必要があるだろう.すな わち, 自分自身のファイルのデータ領域のみを READ する プログラムはインストーラであり,自分自身のファイル のプログラム領域をも READ するプログラムはワームで あると判断する.簡易的には,プログラム領域内の特徴 的な箇所 (例えばプログラムのエントリーポイントなど) が READ されたか否かのみを検査してやってもほぼ同様 のチェックが可能であると思われる. 3.5 評価に際し,用意したアプリケーションは,常駐型ア プリケーションのインストーラ(memcl[6]),メーラ (Edmax) ,FTPクライアント(Smart FTP) ,ブラウ ザ(Internet Explorer) ,Ethereal,アンチウイルスソ フト☆(Norton AntiVirus)のインストーラである.こ れらに対し,既存のビヘイビアブロッキング法で規定さ れている「ワームらしい振る舞い」と本方式による検知 を実際に行い,評価を行った. 本実験では,既存のビヘイビアブロッキング法で規定 されている「ワームらしい振る舞い」としては以下の 6 つを取り上げた.それぞれの説明と具体的な監視方法, および,誤検知,検知漏れの評価結果を以下に示す. 1. OS 起動時の自動実行[7] 【振る舞い】 :ワームはできるだけ長い期間,ク ライアントに感染し続けようとするため,再起動後 にも自身が自動実行されるようにする. 【監視対象】 :OS の自動実行に関わるレジストリ や,スタートアップへの書き込み. (タイプ 1) 【評価】 :常駐型のプログラムは OS 起動時に自 動実行されるようにするため,インストーラによる インストールの際にレジストリへの追記が行われ た.よって,インストーラをワームであると誤検知 既存研究との比較 本方式の目的は,ビヘイビアブロッキング法の効果を 高めるというものである.そこで,本方式と既存のビヘ イビアブロッキング法について,検知漏れと誤検知の発 生状況を検証することにより,その評価を行う. ☆ アンチウイルスソフトも常駐型アプリケーションの カテゴリに含まれるが,ここでは特に個別に評価した. 表 3: 誤検知および検知漏れの評価表 ウイルスらしい振る舞い(監視対象) タイプ 1 タイプ 2 タイプ 3 タイプ 4 タイプ 5 本方式 誤検知 誤検知 × × × × メーラ × × × × × × FTP × × × 誤検知 × × ブラウザ × × 誤検知 × × × Ethereal × × × × 誤検知 × 誤検知 誤検知 誤検知 誤検知 × × ○ ○ 検知漏 検知漏 検知漏 ○ インストーラ (常駐型) インストーラ (アンチウイルス) ワーム してしまう. 2. 起動直後のファイルコピー[8] 【振る舞い】 :ワームは OS のシステムフォルダ 以下に自身のコピーの書き込みを試みる. 【監視対象】 :システムフォルダ以下への書き込 み. (タイプ 2) 【評価】 :インストーラは起動直後に OS のシス テムフォルダ以下にファイルコピーを行った.よっ て,インストーラをワームであると誤検知してしま う. 3. 別プロセスの起動[9] 【振る舞い】 :ワームは別のプロセスを起動する ことによって自身の行動を隠そうとする.また,感 染などの目的のために別のプロセスを起動する. 【監視対象】 :ユーザが起動していないプロセス の追加. (タイプ 3) 【評価】 :ブラウザとアンチウイルスソフトのイ ンストーラは別プロセスを起動した.よって,これ らをワームであると誤検知してしまう.一方,ワー ムの中に別プロセスを起動しないものが存在した. このようなワームに対しては検知漏れが生じる. 4. トラフィック量の上昇[10] 【振る舞い】 :ワームは他の多数の PC への自己 複製を行う. 【監視対象】 :PC の送信トラフィック量の上昇. (タイプ 4) 【評価】 :FTPクライアントでは,FTP通信時に トラフィックが上昇した.ネットワークを利用する アプリケーションは,実行時に少なからずトラフィ ックが上昇する☆☆. このようなアプリケーションに 対して,トラフィックがどれくらい増加したらワー ☆☆ メーラにおいては,送受信を行ったメールの本数や ファイルサイズが多大ではなかったため,誤検知には至 らなかった. ムであるかの閾値を適切に求めることは一般的に 難しいため,閾値を低く設定してしまうと誤検知が, 閾値を高く設定してしまうと検知漏れが発生する 可能性がある. 5. CPU 利用率の上昇[11] 【振る舞い】 :ワームは侵入,発病,感染の動作 をなるべく速く行おうとする. 【監視対象】 :プロセスの CPU 利用率の上昇. (タ イプ 5) 【評価】 :Ethereal の実行時には CPU 利用率が 上昇した.多大な計算処理をともなうアプリケーシ ョンにおいては,CPU が寡占されることも多い. このようなアプリケーションに対して,CPU 利用 率がどれくらい増加したらワームであるかの閾値 を適切に求めることは一般的に難しいため,閾値を 低く設定してしまうと誤検知が,閾値を高く設定し てしまうと検知漏れが発生する可能性がある. 6. 本方式 【振る舞い】 :ワームは自己複製のため,自分自 身のファイルの READ を行う. 【監視対象】 :実行プログラムのパスとそのプロ グラムが稼働中に READ するファイルのパスの一 致. 【評価】 :インストーラやブラウザ等,自分自身 のファイルの一部を READ する正規アプリケーシ ョンは存在するが, 3.3 節でも述べたように, READ されるデータの割合を検査してやることにより誤 検知を回避することができる.なお本実験では経験 的に,プロセスが自分自身のファイルに対し,全デ ータの 90%以上を READ した場合にワームである と検知するようにした. 以上の結果をまとめたものが表 3 である.表 3 より, それぞれの「ワームらしい振る舞い」を個別に見た場合 に,本方式は,他の方法と比べて,検知漏れが起こりに くく,かつ,誤検知が少ない方法であるということが分 かる. 4 まとめ 自分自身のファイルを再び READ して自己複製を行う というワーム特有の振る舞いに着目し,プロセスのファ イルアクセスを監視することにより未知ワームの検知を 行う方法を提案した.本方式は変異型ワームの検知に対 しても効果的であると考えられる. OS のファイルアクセスを観測するモニタツールを用い た基礎実験から,本方式の可能性が確認できた.今後は 本方式を実装した上で各種のワームに対する実証実験を 行うことにより,実際の検知率,誤検知率,リアルタイ ム検知を行うにあたってのオーバヘッドなどを計測して いく.また,自己ファイル READ をワームらしい振る舞い として追加することにより,ビヘイビアブロッキング法 の性能がどれくらい改善できるか確かめていきたい. 参考文献 [1] 情報処理推進機構,“未知ウイルス検出技術に 関する調査”, http://www.ipa.go.jp/security/fy15/reports/ uvd/index.html [2] アットマーク・アイティ,“Code Redワーム の正体とその対策[改訂版]”, http://www.atmarkit.co.jp/fwin2k/insiderseye/2001080 3codered/codered.html [3] Computer Associates /Taras Malivanchuk, ”The Win32 worms: classification and possibility of heuristic detection”, http://www.virusbtn.com/conference/vb2002/abstracts/ heuristic.xml [4] FileMon,http://www.sysinternals.com/ [5] サクラエディタ, http://sakura_editor.at.infoseek.co.jp/ [6] メモリの掃除屋さん, http://www6.plala.or.jp/amasoft/soft/soft1/memcl.html [7] シ マ ン テ ッ ク Carey Nachenberg , ”Behavior Blocking :The Next Step in Anti-Virus Protection/ ビ ヘイビアブロッキング”, http://www.securityfocus.com/infocus/1557 [8] クワンタム・リープ・イノヴェーションズ・インコ ーポレーテッド/シュヌラー, 「コンピュータ・ウィルス・ トラップ装置」 ,特表平 10-501354,1998 [9] Japan Network Security Association Dynamic Defense Working Group, “ホストベースの IDS の概要 と適用について” , http://www.jnsa.org/active/houkoku/IDSBasic.pdf [10] 株式会社東芝/高橋俊成, ”コンピュータウィルス発 生 検 出 装 置 , 方 法 , お よ び プ ロ グ ラ ム ”, 特 開 2003-241989, 2003 [11] 東日本電信電話株式会社/鈴木晃, ”電子メール中継 システム及び電子メール中継方法” ,特開 2002-314614, 2002
© Copyright 2024 Paperzz
