11
MWS 2015 ポストイベント MWS Cup 課題1振り返り MWS 2015 企画委員 高田 雄太、秋山 満昭、笠間 貴弘、神薗 雅紀 2016年1月14日

MWS 2015 ポストイベント - IWSEC

  • Upload
    others

  • View
    1

  • Download
    0

Embed Size (px)

Citation preview

Page 1: MWS 2015 ポストイベント - IWSEC

MWS 2015 ポストイベント MWS Cup 課題1振り返り

MWS 2015 企画委員

高田 雄太、秋山 満昭、笠間 貴弘、神薗 雅紀

2016年1月14日

Page 2: MWS 2015 ポストイベント - IWSEC

1

目次

• 課題内容と意図

• 結果の振り返り

• 回答の紹介

• 今後に向けて

Page 3: MWS 2015 ポストイベント - IWSEC

2

事前準備

悪性 Web サイトへリダイレクトする 改ざんされた一般 Web サイトの発見

• 当日までに以下の分析を実施

─ どのような攻撃を仕掛けるか?

─ アクセスする環境によりWeb サイトの挙動* は変化するか? ▪ (*) 転送先URLや攻撃コード、マルウェアの変化等を指す

MWS Cup 2015 当日までにドライブバイダウンロード 攻撃を仕掛ける悪性 Web サイトへ誘導する改ざんされた一般 Web サイトを発見し、根拠情報として発見したWebサイト情報(pcap ファイル)を入手せよ。

Page 4: MWS 2015 ポストイベント - IWSEC

3

当日課題:課題1−1

発見したWebサイトについて

• 課題1−1−1

─ 発見したWebサイトに関連する入口サイト、踏台サイト、 攻撃サイト、マルウェア配布サイトのURLを答えよ

• 課題1−1−2

─ 悪用された脆弱性のCVE番号を答えよ

• 課題1−1−3

─ ブラウザフィンガープリンティングによるWebサイトの挙動 変化ついて、Webサイトの挙動が変化したURL、変化条件と 変化した挙動、挙動変化させたコードを答えよ

入口サイト

(改ざんサイト) 攻撃サイト 踏台サイト マルウェア配布

サイト

踏台サイト

無害サイト

環境依存

Page 5: MWS 2015 ポストイベント - IWSEC

4

当日課題:課題1−2

改ざんされた Web サイトの発見と分析について

• 改ざんされた Web サイトを発見したチームは、 発見までの過程やアプローチを工夫点とともに 1,000文字以内で述べよ

or

• 改ざんされた Web サイトを発見できなかったチームは、事前準備に対する試行やアプローチを工夫点とともに1,000文字以内で述べよ

クローラ 悪性判定

コンテンツ

Page 6: MWS 2015 ポストイベント - IWSEC

5

D3M データセットとの関連性

• ドライブバイダウンロード攻撃に関連する悪性 URL を 高対話型ハニークライアント Marionette で巡回し、 自動的に発生する一連の Web 通信を収録

─ D3M に収録された悪性情報を悪性 URL へのリダイレクトや マルウェアダウンロード検知に活用

D3M に収録された悪性通信を参考に技術創出・検証

高対話型 ハニークライアント (Marionette)

脆弱な環境による攻撃・ マルウェアの収集 悪性サイト (攻撃サイト)

アクセス

攻撃通信データ (pcap形式)

スイッチ

Cupで 検証評価

D3Mで 技術創出

Page 7: MWS 2015 ポストイベント - IWSEC

6

課題の意図 1/2

• 大量データの自動解析 ─ Web サイト巡回、悪性コンテンツ検知・蓄積の自動化

▪ 今後の研究にも活用可能!MWS データセットとして共有可能!

─ “怪しい” Web 空間のみを巡回するには?(巡回の効率化) ▪ 脆弱なフレームワークや CMS 等の特徴に基づく Google Dork

▪ 改ざんキャンペーン情報やスパムメール等の活用

▪ など

Page 8: MWS 2015 ポストイベント - IWSEC

7

課題の意図 2/2

• いかに高速にウェブサイトを巡回・解析するか

─ 段階的に解析の粒度を細かくしていき、 怪しいウェブサイトのみ手動解析

─ たとえば、以下のような構成

巡回URL リスト

悪性コンテンツのシグネチャマッチング

実環境ブラウザやエミュレータ

による検知

マッチしなかったURL ブラウザでは 検知しなかったURL

怪しい URL を手動解析

Page 9: MWS 2015 ポストイベント - IWSEC

8

結果の振り返り

• 当日の様子

─ 改ざんされたウェブサイトを発見する事前準備が山場であったが、多くのチームが見つけ出し、当日各々の pcap を解析していた

• 採点プロセス

─ 答案を回収した後、課題1にご協力いただいた企画委員 (笠間さん、秋山さん)で分担し、各チームが収集した pcap をひたすら解析(もうやりたくない)

発見できた URL チーム数

入口 8

踏台 4

攻撃 2

マルウェア配布 2

URLを発見できたチームおよび惜しかったチーム

の発見方法を紹介

Page 10: MWS 2015 ポストイベント - IWSEC

9

回答の紹介

• 各チームの改ざんウェブサイト発見方法を一部抜粋

巡回URL リスト

悪性コンテンツのシグネチャマッチング

実環境ブラウザやエミュレータ

による検知

マッチしなかったURL ブラウザでは 検知しなかったURL

怪しい URL を手動解析

悪性ウェブサイト探索の方針 • 脆弱な CMS のみを対象

• “index of” inurl:wp-content/

• SNS による改ざん情報の活用

巡回方法 • Capture-HPC や Thug による巡回 • Selenium を用いた Firefox による巡回 • HtmlUnit による巡回

Exploit Kit の特徴を活用 • 特徴的な文字列を含む URL “052F” • カラーコード 改ざんらしさの活用 • ブラウザの画面からはみ出るHTMLタグ • 難読化 JavaScript の検知

検知ログの活用 • Windows Defender ログ • Fiddler/Capture-HPC ログ • pcap データ

Page 11: MWS 2015 ポストイベント - IWSEC

10

今後に向けて

• ツールの共有

─ シードURL選定スクリプトや巡回スクリプト等

─ 似たようなことは再度やる必要はない

• 短命な悪性 URL と観測環境の網羅

─ 攻撃を検知した際に関連する URL を共有する 仕組み/コミュニティが必要

─ さまざまな環境(IP アドレス、OS、ブラウザ、 プラグイン、言語設定等)でウェブ空間を観測する 必要有り


MWS Corporate Presentation

MWS Corporate Presentation

Documents
MWS Media's Video Basics

MWS Media's Video Basics

Marketing
Mws Gen Nle Txt Bisection

Mws Gen Nle Txt Bisection

Documents
25285 mws gen_int_ppt_trapcontinuous

25285 mws gen_int_ppt_trapcontinuous

Documents
PROFIEL - Leeuwendaal€¦ · mws.), Functioneel Beheer (4 mws.) en financiën (3 mws.). Momenteel wordt de functie van manager bedrijfsvoering op interim basis ingevuld. 2.4 Cultuur

PROFIEL - Leeuwendaal€¦ · mws.), Functioneel Beheer (4 mws.) en financiën (3 mws.). Momenteel wordt de functie van manager bedrijfsvoering op interim basis ingevuld. 2.4 Cultuur

Documents
Mws Gen Sle Ppt Gaussian

Mws Gen Sle Ppt Gaussian

Documents
LON Center 2000 Multitronik 592 GW 399 MWS 906 MWS 903 GWA 2000 … Measuring/Ados.pdf · LON® Center 2000 Multitronik 592 GW 399 MWS 906 MWS 903 GWA 2000 Biogas 401 Biogas 905 MeasureMent,

LON Center 2000 Multitronik 592 GW 399 MWS 906 MWS 903 GWA 2000 … Measuring/Ados.pdf · LON® Center 2000 Multitronik 592 GW 399 MWS 906 MWS 903 GWA 2000 Biogas 401 Biogas 905 MeasureMent,

Documents
Mws gen nle_ppt_bisection

Mws gen nle_ppt_bisection

Documents
Debrif mws 2015

Debrif mws 2015

Business
An Independent Power Producer with 33 MWs of Awarded ...wattswind.com/wp-content/uploads/2015/02/Watts-Wind-Inc-Investor... · An Independent Power Producer with 33 MWs of Awarded

An Independent Power Producer with 33 MWs of Awarded ...wattswind.com/wp-content/uploads/2015/02/Watts-Wind-Inc-Investor... · An Independent Power Producer with 33 MWs of Awarded

Documents
Pepco | Pepco - Green Power Connection™ · 2017. 10. 18. · • 4 kV 0.5 MWs • 12 – 13.8 kV 3 MWs • 23 – 25 kV 6 MWs • 33.26 – 34.5 kV 10 MWs After these limits are

Pepco | Pepco - Green Power Connection™ · 2017. 10. 18. · • 4 kV 0.5 MWs • 12 – 13.8 kV 3 MWs • 23 – 25 kV 6 MWs • 33.26 – 34.5 kV 10 MWs After these limits are

Documents
Mws Gen Int Ppt Simpson3by8

Mws Gen Int Ppt Simpson3by8

Documents
SCE Smart Grid · 2019-09-02 · SCE Smart Grid Vision. SM ... Lg Rooftop Solar PV Program • 500 MWs by 2015 • 250 MWs by SCE & 250 MWs by IPP ... California is pushing beyond

SCE Smart Grid · 2019-09-02 · SCE Smart Grid Vision. SM ... Lg Rooftop Solar PV Program • 500 MWs by 2015 • 250 MWs by SCE & 250 MWs by IPP ... California is pushing beyond

Documents
MWS for CSR

MWS for CSR

Documents
2015 3M Corporate & Foundation Cash Giving: Communitymultimedia.3m.com/mws/media/1192758O/2015-3m... · 2015 3M Corporate & Foundation Cash Giving: Community ... This report lists

2015 3M Corporate & Foundation Cash Giving: Communitymultimedia.3m.com/mws/media/1192758O/2015-3m... · 2015 3M Corporate & Foundation Cash Giving: Community ... This report lists

Documents
Mws Content Coaching V4.3

Mws Content Coaching V4.3

Documents
Willkommen zum Workshop: Grundlagen des MWS. Schwerpunkte: 1.Warum MWS einsetzen? 2.Grundgedanken des MWS 3.Aufbau des MWS 4.Ablauf des MWS

Willkommen zum Workshop: Grundlagen des MWS. Schwerpunkte: 1.Warum MWS einsetzen? 2.Grundgedanken des MWS 3.Aufbau des MWS 4.Ablauf des MWS

Documents
Mws drapery, _inc_power_point_new_3

Mws drapery, _inc_power_point_new_3

Business
Smart Cities Dsr Mws 2013

Smart Cities Dsr Mws 2013

Documents
MWS Newsletter 2012 02

MWS Newsletter 2012 02

Documents
Frequently Asked Questions @MWS

Frequently Asked Questions @MWS

Documents
MWS Tutorials

MWS Tutorials

Documents
BCA Program Information Package 2015 MWS

BCA Program Information Package 2015 MWS

Documents
MWS+UV+4 Low0ed3

MWS+UV+4 Low0ed3

Documents
MWS Update

MWS Update

Documents
Mws drapery, _inc_power_point_5

Mws drapery, _inc_power_point_5

Documents
Gatecrash MWS cards list

Gatecrash MWS cards list

Documents
Mws Gen Ode Ppt Runge4th

Mws Gen Ode Ppt Runge4th

Documents
SECURITY AND DEFENSE MANTA DIR CM - Inicio | indra · 2015. 7. 6. · Missile Warning System (MWS). The operation is as follows: the MWS detects the incoming missile threats, communicates

SECURITY AND DEFENSE MANTA DIR CM - Inicio | indra · 2015. 7. 6. · Missile Warning System (MWS). The operation is as follows: the MWS detects the incoming missile threats, communicates

Documents
MWS Schweiz

MWS Schweiz

Documents