PowerPoint

ボットネットの国別マルウェア活動時間
なぜインドからの攻撃は日本時間で行われるか？
東海大学松尾峻治菊池浩明
日立製作所寺田真敏藤原将志
ボットネットの問題
不正者
C&Cサーバ
マルウェア
ダウンロード
サーバ
一般PC
2
研究背景
• 人とマルウェアの活動には深い関連があるの
ではないか？
朝7:00
昼14:00
夜23:30
人
ＰＣ
MW
3
ボットネットの活動時間について
ダウンロード数・インターネット利用率
50
45
インターネット利用率
40
出典：インターネット白書2010(アンケート調査)
マルウェアダウンロード
35
CCCDataset2010攻撃元データ
30
25
20
15
10
5
0
0
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
時間 h
4
活動時間
日本の活動時間
イタリアの活動時間
1 2 3 4 5 6 7 8 9 101112131415161718192021222324
1 2 3 4 5 6 7 8 9 101112131415161718192021222324
ポーランドの活動時間
ルーマニアの活動時間
1 2 3 4 5 6 7 8 9 101112131415161718192021222324
1 2 3 4 5 6 7 8 9 101112131415161718192021222324
5
L群-日本とは活動時間が違う国
0.12
ブラジル
イタリア
ニュージーランド
ポーランド
ルーマニア
日本
ダウンロード数 di(t)
0.1
0.08
0.06
0.04
0.02
0
1
2
3
4
5
6
7
8
9
10
11
12
13
時間 t
14
15
16
17
18
19
20
21
22
23
24
6
L群-時差を考慮した場合
0.12
ブラジル
イタリア
0.1
ダウンロード数 di(t)
ニュージーランド
ポーランド
0.08
ルーマニア
日本
0.06
0.04
0.02
0
0
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
時間 t
7
J群-日本と活動時間が同じ
0.08
カナダ
インド
セルビア
ウクライナ
アメリカ
日本
0.07
ダウンロード数di(t)
0.06
0.05
0.04
0.03
0.02
0.01
0
1
2
3
4
5
6
7
8
9
10
11
12
13
時間 t
14
15
16
17
18
19
20
21
22
23
24
8
日本との相関について
• 日本のマルウェア活動時間を基とするとき，
各国iとどのくらい違うのか明確にするため相
関係数を用いた．
• 国iの時刻tの時のダウンロード数をdi(t)とする
とき，国iの日本との相関係数Si,jは次のように
求める．pは時間のずれ、位相を示す
 d (t  p)  d d
23
Si , j  p  
t 0
i
i
j
(t  p)  d j
 d (t  p)  d   d
2
23
t 0
i
i

2
23
t 0

j
(t  p)  d j
9
相関係数と位相の関係-L群について
ブラジル最適値(p*=11時間）ブラジル時差 (p’=12時間）
1.2
1
0.8
相関係数Si,j
0.6
0.4
0.2
0
-0.2
-0.4
-0.6
ブラジル
-0.8
イタリア
ニュージーランド
ポーランド
ルーマニア
日本
-1
0
1
2
3
4
5
6
7
8
9
10
11
位相 p
12
13
14
15
16
17
18
19
20
21
22
23
10
ダウンロード活動の最適な位相
国名
カナダ
アメリカ
J群ウクライナ
セルビア
インド
ブラジル
イタリア
L群ニュージーランド
ポーランド
ルーマニア
日本との時差p'
最適な位相p*
15
16
7
8
3
12
8
-3
8
7
p'-p*
0
0
0
20
22
11
6
19
6
5
Si,j(t)
Si,j(t-p*)
15
0.993
0.993
16
0.816
0.816
7
0.959
0.959
12
0.45
0.789
5
0.785
0.809
1 -0.429
0.847
2 -0.073
0.765
2
0.058
0.881
2
0.008
0.831
2
0.219
0.773
• 国の時差を位相p’とおく．
• 相関係数Si,jが最大なるときの位相をp*とおく．
11
時差と位相の差はなぜか?
PM22:00
AM04:00
ダウンロードサーバ B
攻撃ホストＡ
②マルウェアダウンロード
リクエスト
①脆弱性を狙った攻撃
PM22:00
③マルウェアダウンロード
ハニーポット C
仮説1)攻撃ホストAに依存している．
仮説2)ダウンロードサーバBに依存している．
12
攻撃パターン
パターン攻撃ホスト
1
*
2a
日本
2b
J群
2c
L群
3a
日本
3b
J群
3c
L群
ハニーポットC
日本
日本
日本
日本
日本
日本
日本
DLサーバ
日本
J群
J群
J群
L群
L群
L群
活動時間
日本時間
日本時間
現地時間
13
実験
• 2010年3月5日から11日のCCCDateset2010の攻撃通信
データを使用した．
実験1）通信の失敗
L,J の両群についてsyn-ack の通信が失敗している割合を
調べる．
実験2）攻撃ホスト常時オンライン数
2010 年9 月1 日～4 日かけて，各攻撃ホストに毎時
ping(ICMP Echo パケット)を行い，オンラインの攻撃ホストの
割合を調べる．
実験3）攻撃ホストAとダウンロードサーバBの国分布
攻撃ホストAとダウンロードサーバBの各国の割合を調べ
る．
14
CCCDataset2010
• 攻撃元データ
– マルウェアをダウンロードした時のログデータ
– おもに日時，攻撃IP，マルウェアの情報がある．
• 攻撃通信データ
– 設置したハニーポットの実際に攻撃を受け感染し
，感染活動するまでの動作をパケットキャプチャ
したもの．
15
実験1
syn-ackの通信が失敗している割合
• 攻撃ホスト1164件中syn-ackに失敗している
IPアドレスはは39件あった．
IP
123.205.xxx.xxx
122.18.xxx.xxx
189.84.xxx.xxx
124.86.xxx.xxx
66.2.xxx.xxx
89.106.xxx.xxx
122.21.xxx.xxx
114.145.xxx.xxx
66.60.xxx.xxx
118.15.xxx.xxx
FQDN
xxxadsl.dynamic.seed.net.tw.
xxxmarunouchi.tokyo.ocn.ne.jp.
xxx.projesom.com.br.
xxxhodogaya.kanagawa.ocn.ne.jp.
xxx.sf-01.cvx.algx.net.
xxx.optilinkbg.com.
xxxmarunouchi.tokyo.ocn.ne.jp.
xxxmarunouchi.tokyo.ocn.ne.jp.
xxx.skyonline.net.
xxxsapodori.hokkaido.ocn.ne.jp.
国名
Taiwan
Japan
Brazil
Japan
United States
Bulgaria
Japan
Japan
Argentina
Japan
失敗しているＩＰアドレスのほとんどが
一般ホストのFQDN
16
実験2
J群-アメリカの常時オンライン数
35
オンラインホスト数
30
25
20
一日目
二日目
三日目
15
10
5
0
0
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
時間[H]
17
実験2
L群-イタリアの常時オンライン数
14
一日目
二日目
オンラインホスト数
12
三日目
10
8
6
4
2
0
0
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
時間[H]
18
実験3
攻撃通信データの国の割合
JP
US
攻撃ホストA
RU
DE
CN
TW
BR
RO
ダウンロードサーバB
IT
L群
J群
0
0.1
0.2
0.3
0.4
0.5
0.6
Other
0.7
0.8
0.9
1
19
考察
• アメリカや日本の攻撃ホストは24時間動いて
いることから，日本の攻撃ホストがダウンロー
ドを引き起こしている．
• イタリアやブラジルは現地時間で活動してお
り，攻撃の起点となっている．
• 以上より，
仮説１：攻撃ホストに依存している．
20
まとめ
• マルウェアと一般ユーザの活動時間深い関
わりがあり，攻撃ホストの属するタイムゾーン
に依存している．
• 攻撃ホストが多いほど，現地時刻に近くなる
ので，各国活動時間との相関を取るころによ
り，不正ホストの中で攻撃ホストの割合が多
いか判定できる可能性がある．
21
22
syn-ackの失敗について
synパケット
ハニーポット C
攻撃ホストＡ
ackパケット
syn-ackパケット
23
攻撃通信データのユニークIP数順位
順位
1
2
3
4
5
6
7
8
9
10
11
攻撃ホスト
国名ユニークIP数
JP
138
CN
116
US
50
TW
45
RU
43
BR
38
IN
25
RO
19
DE
18
IT
17
Other
215
ダウンロードサーバ
国名ユニークIP数
US
26
JP
24
RU
21
DE
17
TW
13
RO
13
BR
13
IT
7
CN
6
BG
6
Other
66
24
ダウンロードサーバオンライン数
50
45
40
ホスト数
35
30
25
1stDay
20
2ndDay
3thDay
4thDay
15
10
5
0
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
時刻
25
相関係数と位相の関係-J群について
1.2
カナダ
1
インド
セルビア
ウクライナ
アメリカ
日本
0.8
相関係数Si,j
0.6
0.4
0.2
0
-0.2
-0.4
-0.6
-0.8
-1
0
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
位相 p
26
活動時間について
• 日本とほぼ同じ時間で活動しているJ(Japan
Time) 群と，現地時間で活動していると思わ
れるL(Local Time) 群の二つに分けられた．
• 通常，各国の時差があるため，活動時間は
異なっているはず．
27
時差について
• 観測時刻から位相pずれる場合di(t-p)と置く．
• 位相pずれている場合の相関係数Si,j(p)を次
にのように置く．
 d (t  p)  d d
23
Si , j  p  
t 0
i
i
j
(t  p)  d j
 d (t  p)  d   d
2
23
t 0
i
i

2
23
t 0

j
(t  p)  d j
28
ご静聴ありがとうございました．
29

Download Report