APTで使用されたバイナリの相関解析忍術 by Bhavna Soman

APT で使用されたバイナリの相関解析忍術APT バイナリの起源の識別に関するファジーハッシング技術の効果の評価

ブヘブナ ソマサイバー・アナリスト / 開発者 , インテル@bsoman3, bhavna.soman@ {intel.com, gmail.com}

Copyright © Intel Corporation 2015. All rights reserved.

-George P. Burdell

ここで示された意見は発表者のものであり、彼 / 彼女の雇用者の意見ではありません。

-Legal

インテルの技術の特徴と利点はシステム構成に依存し、使用可能な状態のハードウェア、ソフトウェアまたはサービスを必要とするでしょう。パフォーマンスはシステム構成によって変化します。絶対的に安全なコンピュータシステムは存在しません。あなたのシステムの構築業者または販売業者と相談して下さい。または intel.com でより多くのことを知ることが出来ます。

おことり

Agenda• バックグラウンド

• バイナリをつなぐ方法

• テストデータセットと効果的な検証方法の取得

• 結果

• 発見されたサンプルクラスタ

• 今回の成果と将来の方向

イ ン シ デ ン ト レ ス ポ ン ス に お け る マ ル ウ ェ ア属 性 の 重 要 性

• 法執行機関 (LEA) とは異なるやり方• 攻撃者のプロファイルの作成

• 脅威の元となる攻撃者の動機の理解• ツール , 戦術と手順• 使用されている脆弱性のタイプ

• 防御のための戦略的投資• 対応を洗練させる

悪意あるバイナリの起源を知ることはどんな利点があるか？？

• 過去の動機の解析と勧告の機能を適用することが出来る。• 共通点のない複数のイベントが１つの写真全体につながる。• それで、点をつなぐ最適な方法は何であるか？

類 似 す る バ イ ナ リ を つ な ぐ 最 適 な 方 法 は何 か ？ ？

• Imphash— インポートテーブルの md5 ハッシュ• マルウェア作者は同じ環境を使用している• 同一のバイナリ、コンパイラ、など

• ssdeep— 前後関係をきっかけとした区分的なハッシュ• バイトパターンの類似性の測定• 相同性の識別（場所が異なってもチャンクを識別で

きる）

• SDhash— ブルームフィルター ( 確率的データ構造の一つ )• バイトパターンの統計学的に有意な類似性

手法 :1. ターゲットキャンペーンに関連したバイナリの断片

的でないデータセットの取得

2. 多くのバイナリの静的 / 動的解析を用いない効果的な検証方法の確立

挑戦

データ収集

• 2015 年 1-3 月に発表• 例 : “Project Cobra

Analysis”, “The Desert Falcon Targeted Attacks”

• MD5 値を抽出• ウィルストータル上の悪意あるプログラムの

10% 超

MD5 値 類似性計量

• 各々のバイナリから計算

• Import hash• ssdeep• SDhash

抽出 計算

APT 白書

相関性の評価

これらはマルウェアに関連するの？

{Actor Names, Campaign Name, Malware Families, Aliases}

APT1 APT2

{Actor Names, Campaign Name, Malware Families, Aliases}

相関性の評価

• すべての相関性を見つける方法はなかった

• Imphash は偽陽性が最も高い

• Sdhash は最高の再現率

• ssdeep と SDhashはほぼ 100% の適合率

結果の概要

再現率 適合率

IMPHASHS

• 408 個の正しい相関性• 172 個の偽陽性

• 忠実度の高い真陽性

• 同じ人物による複数のキャンペーンまたがる 2 つの相関性

• 異なるバージョンの同じマルウェアの間に相関性はない

• キャンペーンのキルチェーンのパーツをまたがる相関性はなかった

IMPHASH

SCORE

FREQ

UENC

Y

IMPHASH

• 2011 年頃の SAV サンプル • Waterbug Attack group に使

われた • Turla/Uruboros としてよく知

られている

• ComRAT (Turla Attackers) バージョン 1.5

• 2008 年 3 月 25 日に記録• データ・セット中の RAT の他のバー

ジョンにはつながっていなかった

• Wipbot 2013 のサンプル• Waterbug attack Group に

よって使われた• 2013 年 10 月 15 日に記録• Tavdig/WorldCupSec/Tadj

Makhal として参照された

IMPHASH

IMPHASH

• どちらも ComRAT のサンプル• それぞれ Waterbug Group and

Turla Attackers と関連する

• カーボンマルウェアのサンプル• Project Cobra と The Waterbug

Attack Group に関連している

IMPHASH

IMPHASH

• OP Arid Viper の証明書窃取器とドロッパー

• Syrian Opposition Forces の攻撃者に使われた Vs. ドロッパー

• 知られているリンクや修飾に共通性はない

• 6 つの異なるキャンペーンのバイナリ

• 行為者またはマルウェアファミリーの共通性はない．

• キルチェーンの異なる部品

IMPHASH

IMPHASH

SSDEEP

• 856 個の正しい相関性

• 0 個の偽陽性

• 1 つの相関性が同じ行為者による接続されたキャンペーンを見つけた

• 同じマルウェアでマイナーバージョン間のいくつかの相関性

• キャンペーン中のキルチェーンの部品をまたがる相関性はなかた

SSDEEP

SCORE

FREQ

UENC

Y

SSDEEP

• 2013 年の Wipbot• Waterbug attack group に

よって使われた

• ComRAT のマイナーバージョンにまたがる相関性

• 3 年以上の日々の記録

• SAV/Uruboros のサンプル• Waterbug Attack group に

よって使われた • 2013 年のタイムスタンプ

SSDEEP

SSDEEP

• OP Desert Falcon (Kaspersky) で使われたバックドア

• 630 の相関性。平均はだいたい 35.13 のスコア

• 2009 年に記録された異なるバージョンのカーボンマルウェア

• Pro j e c t C ob r a と Wa te rb u gキ ャ ン ペ ー ン か ら 。

SSDEEP

SSDEEP

SSDEEP

偽陽性なし

SDHASH

• 閾値は 10

• 1412 の正しい相関性• 3 つの偽陽性• 1 つの相関性は同じ行為者のつながったキャンペーンを見つけた • 同じマルウェアのマイナーバージョン間のいくつかの相関性• 1 つの相関性はキャンペーン内のキルチェインの複数の部品にまたがる

SDHASH

SCORE

FREQ

UENC

Y

SDHASH

• C ob r a キャンペーンのドロッパー，ステージ 1 ，ステージ 2 ，インジェクトのライブラリ間の相関性

• Waterbug グループに使われたカーボンツールと高い類似性• ベンダーによってでさえ多様になってしまうアンチウィルスラベ

ル• sdhash によってのみ作られた相関性

• SAV/Uruboros サンプル• 2013 年の 3 か月以上記録された 30

個の異なるバイナリー

SDHASH

SDHASH

• OP Desert Falcon で使われたバックドア• Vs. Scanbox サンプル (Anthem attacks と

Deep Panda に関連していると知られている )• それらの行為者 / キャンペーン / マルウェア

ファミリーの間の未知の相関性

• Anthem attack で使われた“ HttpBrowser” マルウェア

• Carbanak グループによって使われた“ AmmyAdmin” ツール

SDHASH

SDHASH

どこに私たちは立つのか

• Imphash, ssdeep または SDhash?? • 経路探索のような . 接続を構成する工学的システム• APT バイナリはコードを再利用するだろう — それらに対してそれを使う .• あなたの敵を知るのに損にはならない .

謝意 /Q&A/ ありがとう !

@bsoman3, bhavna.soman@ {intel.com, gmail.com}

• スライドの改善を手伝ってくれたクリス・キットとジェフ・ボエリオ• セキュリティ白書を執筆する素晴らしい人々• APTNotes を制作、維持する

@kbandla• 大規模データを提供してくれるウィルストータル