Comments
Description
Transcript
ダークネットからライブネットへ
ダークネットからライブネットへ サイバーセキュリティ研究最前線 独立行政法人 情報通信研究機構(NICT) ネットワークセキュリティ研究所(NSRI) サイバーセキュリティ研究室 サイバー攻撃対策総合研究センター(CYREC) サイバー防御戦術研究室 井上 大介 1 NICTER Network Incident analysis Center for Tactical Emergency Response ダークネットとライブネット • ダークネット:未使用IPアドレスブロック • ライブネット:使用中IPアドレスブロック IPv4 Usage Map [1] (ヒルベルトマップ) 黒色:ダークネット 赤色:ライブネット(パッシブ観測) 緑色:ライブネット(アクティブ観測) 青色:ライブネット(パッシブ・アクティブ両方で観測) 灰色:Unrouted(経路なし) /24ブロックの46.3%が使用中(ライブネット) →53.7%が未使用(ダークネット)or 経路なし [1] A. Dainotti, K. Benson, A. King, k. claffy, M. Kallitsis, E. Glatz, and X. Dimitropoulos, Estimating Internet address space usage through passive measurements' , ACM SIGCOMM Computer Communication Review (CCR), vol. 44, no. 1, pp. 42--49, Jan 2014. 2 NICTER Network Incident analysis Center for Tactical Emergency Response NICTERとそのスピンオフ技術たち 1. インシデント分析センタ NICTER 2. 対サイバー攻撃アラートシステム DAEDALUS 3. ネットワークリアルタイム可視化システム NIRVANA 4. サイバー攻撃統合分析プラットフォーム NIRVANA改 ダ ー ク ネ ッ ト 観 測 ラ イ ブ ネ ッ ト 観 測 3 NICTER Network Incident analysis Center for Tactical Emergency Response 鳥の目/虫の目 NICTER DAEDALUS NIRVANA NIRVANA改 グローバル観測 ローカル観測 (ダークネット) (ライブネット) 4 NICTER Network Incident analysis Center for Tactical Emergency Response インシデント分析センタ NICTER (Network Incident analysis Center for Tactical Emergency Response) 5 NICTER Network Incident analysis Center for Tactical Emergency Response NICTERの全体像 マクロ解析システム 可視化エンジン ウイルス ネットワーク モニタリング ボット ! 分析エンジン Tiles Cube Atlas ワーム 政府・官公庁 NICTER 21万アドレスからなる ダークネット観測網 現 象 インシデント ハンドリングシステム 相関分析 システム 1日7000検体の マルウェア解析能力 ! インシデント アラート発行 相関分析 エンジン 原 因 Alert ---------------------------------- 30秒∼1 分で マルウェアを推定 分析者ワークベンチ インターネット サービスプロバイダ ミクロ解析システム マルウェア 検体収集 マルウェア 静的解析 ! マルウェア 動的解析 一般ユーザ ハニーポット 6 NICTER Network Incident analysis Center for Tactical Emergency Response NICTERダークネット観測統計 年間 総観測パケット数 年 観測IPアドレス数 1IPアドレス当たりの 年間総観測パケット数 2005 約 3.1億 約1.6万 約19,066 2006 約 8.1億 約10万 約17,231 2007 約 19.9億 約10万 約19,118 2008 約 22.9億 約12万 約22,710 2009 約 35.7億 約12万 約36,190 2010 約 56.5億 約12万 約50,128 2011 約 45.4億 約12万 約40,654 2012 約 77.9億 約19万 約53,085 2013 約128.8億 約21万 約63,655 70,000 60,000 50,000 40,000 30,000 20,000 10,000 0 2005 2006 2007 2008 2009 2010 2011 1IPアドレス当たりの年間総観測パケット数 2012 2013 7 NICTER Network Incident analysis Center for Tactical Emergency Response ダークネットで何が見えているのか? • マルウェアによるスキャン ü ワーム型マルウェアの探索活動 ü マルウェア感染の大局的傾向 ü 感染爆発の前兆 • DDoS攻撃の跳ね返り ü 送信元IPアドレス偽装されたSYN Flood ü 被攻撃サーバからの応答(SYN-ACK) ü DDoS攻撃の早期検知(1パケット目から) Darknet • 設定ミス ü 組織内ダークネット • リフレクション攻撃の準備活動 新 ü DNS Open Resolver探索 ü NTP探索 etc. 8 NICTER Network Incident analysis Center for Tactical Emergency Response 2013年3月 SpamhausへのDDoS攻撃 9 NICTER Network Incident analysis Center for Tactical Emergency Response DNS amp攻撃の概要 キャッシュDNSサーバ (Open Resolver) 攻撃者 権威DNSサーバ DNS要求パケット (アドレスを詐称) DNS要求 (2度目) DNS問合せ DNS応答 (キャッシュ) DNS応答 DNS応答パケット 攻撃先 【増幅例】 要求:26 byte(ripe.net, IN, ANY) 応答:821 byte(DNSSEC署名等含む) 増幅率:約32倍 10 NICTER Network Incident analysis Center for Tactical Emergency Response DNS amp攻撃とダークネット Open Resolverを攻撃に利用するには、 Open Resolverを探す必要があります。 Open Resolver探索のスキャンが来る! (宛先53/UDP) 11 NICTER Network Incident analysis Center for Tactical Emergency Response パケット数(宛先53/UDP) 2013年1月∼10月(/16センサ) 8000000 7000000 6000000 5000000 4000000 3000000 Spamhaus前後に パケット数増加 2000000 1000000 0 12 NICTER Network Incident analysis Center for Tactical Emergency Response ユニークホスト数(宛先53/UDP) 2013年1月∼10月(/16センサ) 500 450 400 350 300 Spamhaus以前から 周期的なホスト数の増加 250 200 150 100 50 0 13 NICTER Network Incident analysis Center for Tactical Emergency Response 2013年6月以降の詳細解析 2013年6月∼10月(/20センサ) 7,000,000 パケット数 6,000,000 5,000,000 baidu.com パケット数 ホスト数 特定アドレスブロック からの定期的なスキャン (8/20を最後に停止) 350 packetdevil.com aa.asd3sc.com 300 250 aa.mmtac1.com 30259.info 200 4,000,000 150 ホスト数 8,000,000 3,000,000 2,000,000 1,000,000 100 aa.10781.info 50 0 0 2013/6/1 2013/6/21 2013/7/11 2013/7/31 2013/8/20 2013/9/9 2013/9/29 2013/10/19 aa3247.com 14 NICTER Network Incident analysis Center for Tactical Emergency Response DNSハニーポットとの比較 • DNSハニーポットとは? ü 横浜国立大学で開発・運用中の囮Open Resolver[2] ü 攻撃者からのDNSクエリを観測・分析(攻撃はフィルタ) Open Resolver 攻撃者 被攻撃サーバ 観測・分析 15 [2] 牧田大佑, 吉岡克成, 松本勉, DNSハニーポットによる不正活動観測, 第62回CSEC研究会, 2013年7月. NICTER Network Incident analysis Center for Tactical Emergency Response DNSハニーポット 受信パケット数 2012年10月∼2013年10月 7000000" 6000000" 5000000" 4000000" YLAB1DNS" YLAB1CHG" 3000000" MKT1DNS" 2000000" 1000000" 20 13 /9 /7 " 20 13 /1 0/ 7" 20 13 /8 /7 " 20 13 /6 /7 " 20 13 /7 /7 " 20 13 /4 /7 " 20 13 /5 /7 " 20 13 /2 /7 " 20 13 /3 /7 " 20 13 /1 /7 " 20 12 /1 1/ 7" 20 12 /1 2/ 7" 20 12 /1 0/ 7" 0" 16 データ提供:横浜国立大学 松本研究室/吉岡研究室 NICTER Network Incident analysis Center for Tactical Emergency Response ダークネットとDNSハニーポットの相関 DNSハニーポットへの 攻撃クエリのピーク 70000 YLAB-DNS Darknet 60000 約3日間 約3日間 約3日間 50000 40000 30000 20000 NICTERダークネットで オープンリゾルバの 探索(スキャン)を観測 横浜国大DNSハニーポット (囮オープンリゾルバ)で 攻撃クエリを観測 国内ISPでDNS amp攻撃を観測 10000 0 Date 17 NICTER Network Incident analysis Center for Tactical Emergency Response 対サイバー攻撃アラートシステム DAEDALUS (Direct Alert Environment for Darknet And Livenet Unified Security) 18 NICTER Network Incident analysis Center for Tactical Emergency Response マルウェア感染対策の現状 ‒ 境界防御の限界 • 突破される従来の防御手法 ‒ 回避される侵入検知システム • USBメモリによるネットワーク内部からの感染 • 標的型メールによる「人」への攻撃 ‒ 完璧ではないアンチウイルスソフト • 膨大な亜種ウイルスの出現により100%の検知は困難 • マルウェア感染リスクのゼロ化は困難 • 事故前提のマルウェア対策が必要 19 NICTER Network Incident analysis Center for Tactical Emergency Response 境界防御技術とDAEDALUS DAEDALUS 境界防御技術 組織外からの攻撃をネットワーク境界で検出 組織内からの攻撃をネットワーク広域で検出 NICTER 相補的 組織内ネットワーク 組織内ネットワーク 20 NICTER Network Incident analysis Center for Tactical Emergency Response DAEDALUS 基本アイデア 登録されたIPアドレスから ダークネットに飛んできたら アラート。 21 NICTER Network Incident analysis Center for Tactical Emergency Response DAEDALUS アラート送信の3ケース 【ケース1】 組織内感染 マルウェア DAEDALUSの仕組み(3ステップ) ① マルウエアや攻撃者が攻撃パケットを送信。 ② nicterがダークネット通信を収集・分析し、 観測対象組織からの攻撃パケット (またはDoS攻撃の跳ね返り)を検出。 ③ 観測対象組織へ攻撃ホストの情報を含む アラートを送信。 ② : ライブネット : ダークネット ③ マルウェア ① ③ ダークネット通信 ① 【ケース2】 組織外への攻撃 ② 【ケース3】 DoS攻撃の跳ね返り 攻撃者 ダークネット通信 ① ① ② ② ③ 22 NICTER Network Incident analysis Center for Tactical Emergency Response DAEDALUS-VIZ 23 NICTER Network Incident analysis Center for Tactical Emergency Response DAEDALUSの成果展開:国内展開 地方自治体へのアラート提供 • 2013年11月1日より、地方自治体に向けてアラート送信開始 ‒ 地方自治情報センター(LASDEC)を窓口として自治体より申込受付 ‒ アラート発生時の対応マニュアルをNICTとLASDECで整備 地方自治体 自治体 自治体 47自治体 (2013年11月時点) 110自治体 LASDEC NICT 情報セキュリティ対策支援 申込申請 平成25年度 サイバー攻撃検知通報 (フィールド実証実験) 観測対象 登録申請 DAEDALUS システム 対応 マニュアル (2014年1月時点) アラート送信 24 NICTER Network Incident analysis Center for Tactical Emergency Response DAEDALUSの成果展開:国際展開 ASEAN諸国へのアラート提供 • サイバー攻撃予知即応プロジェクトPRACTICE及び DAEDALUSから成るセキュリティにおける 技術協力の強化(出典:総務省) JASPER Japan-ASEAN Security Partnership PRACTICE Proactive Response Against Cyber-attacks Through International Collaborative Exchange DAEDALUS Direct Alert Environment for Darknet And Livenet Unified Security 25 NICTER Network Incident analysis Center for Tactical Emergency Response ネットワークリアルタイム可視化システム NIRVANA (nicter real-network visual analyzer) サイバー攻撃統合分析プラットフォーム NIRVANA改 26 NICTER Network Incident analysis Center for Tactical Emergency Response NIRVANA ライブ ネットを 見える化 ネットワーク管理者 の負荷を軽減 管理コスト の軽減 (輻輳・切断等の障害、 設定ミス等を瞬時に発見可能) (管理の迅速化 ・効率化) パケットモード フローモード 27 NICTER Network Incident analysis Center for Tactical Emergency Response 標的型攻撃 • 特定組織を標的にした長期に渡る執拗なサイバー攻撃 • 周到な内容のメールに添付されたマルウェアで組織に侵攻 • 組織内ネットワークに潜伏・浸透し重要情報を収奪 標的型攻撃のKill Chain 諜報 侵攻 潜伏 橋頭堡 確保 索敵 浸透 占領 TECH.ASCII.jp「9.5社に1社が対象に!シマンテックが明かす日本の標的型攻撃」 http://ascii.jp/elem/000/000/652/652712/ (2011-11-30) 収奪 撤収 28 NICTER Network Incident analysis Center for Tactical Emergency Response 入口対策/出口対策 諜報 入口 出口 (境界防御) (境界防御) 侵攻 潜伏 橋頭堡 確保 索敵 浸透 占領 収奪 撤収 ネットワークの内側でも対策を! (組織内ネットワークのリアルタイム観測・分析) 改 NIRVANA = NIRVANA + セキュリティ分析機能 29 NICTER Network Incident analysis Center for Tactical Emergency Response NIRVANA改 • • • • • NIRVANAによるライブネット観測 各種のリアルタイム分析エンジン(新規開発中) 既存セキュリティアプライアンスのアラート集約 各種アラートを基にしたメタ分析 ドリルダウン機能付き可視化エンジン 組織内ネットワークを守る 統合分析プラットフォーム の確立に向けて研究開発中 30 NICTER Network Incident analysis Center for Tactical Emergency Response NIRVANA改 31 NICTER Network Incident analysis Center for Tactical Emergency Response まとめ • ダークネット:広がる応用・高まる効用 ü ü ü ü ワーム型マルウェアの傾向把握・大規模感染検知 DDoS攻撃(Spoofed SYN Flood)の早期検知 リフレクション攻撃の準備活動検知 国内外・産学官へのアラート提供 • ライブネット:入口/出口、次の一手 ü ü ü ü 組織内ネットワークのリアルタイム観測・分析 新規&既存対策技術を統合したメタ分析 Kill Chainの進行途中で攻撃検知 ビッグデータへの挑戦 Made in Japanのサイバーセキュリティ技術を 日本に、そして世界に! 32 NICTER Network Incident analysis Center for Tactical Emergency Response