Embed Size (px)
Citation preview
The Cabin in the Internet~操作者の観測~
目的
SIMS$in$Cyber,Range サイバーレンジ演習環境構築のためのユーザ模倣システムの研究開発
目的
システム
サイバーレンジ演習環境構築において,外部からの動的なwebアクセスを再現し,より実環境に近い環境を構築することが重要な要素のひとつである.そこで,想定する演習環境を構築するためのユーザ模倣システムの研究開発を行っている.
ユーザの挙動を模倣するため,webクローラシステムを開発した.指定したwebページの全てのハイパーリンクを取得し,そのうちひとつのリンクにアクセスし,またそのページの全てのハイパーリンクを取得しアクセスを繰り返す.また,模擬ユーザのwebアクセス状況の可視化する描画システムも構築した.$ リンクの探索とアクセスにはCasperJS,描画はD3.js,全体の通信制御にはNode.jsを使用した.リンクの探索結果はwebsocket通信により即座に描画に反映される.$
国立研究開発法人 情報通信研究機構 サイバー攻撃対策総合研究センター サイバー攻撃検証研究室 湯村 翼
webアクセスに限らず,例えばメールの送受信などのより豊富なバリエーションのユーザアクセスの模倣を実施できるよう,システム開発を継続する. また,模倣ユーザの属性(年齢や職業等)を指定し属性に応じて挙動を変えるなど,より多様で本格的なユーザ模倣システムを構築していきたい.
Future$Works
サイバーレンジ演習環境
server�
ユーザー模擬システム
模擬ユーザ1
模擬ユーザ3
模擬ユーザ2
websocket
CasperJS�
Internet� Node.js�
JavaScript$$�D3.js�
SIMS$in$Cyber,Range サイバーレンジ演習環境構築のためのユーザ模倣システムの研究開発
目的
システム
サイバーレンジ演習環境構築において,外部からの動的なwebアクセスを再現し,より実環境に近い環境を構築することが重要な要素のひとつである.そこで,想定する演習環境を構築するためのユーザ模倣システムの研究開発を行っている.
ユーザの挙動を模倣するため,webクローラシステムを開発した.指定したwebページの全てのハイパーリンクを取得し,そのうちひとつのリンクにアクセスし,またそのページの全てのハイパーリンクを取得しアクセスを繰り返す.また,模擬ユーザのwebアクセス状況の可視化する描画システムも構築した.$ リンクの探索とアクセスにはCasperJS,描画はD3.js,全体の通信制御にはNode.jsを使用した.リンクの探索結果はwebsocket通信により即座に描画に反映される.$
国立研究開発法人 情報通信研究機構 サイバー攻撃対策総合研究センター サイバー攻撃検証研究室 湯村 翼
webアクセスに限らず,例えばメールの送受信などのより豊富なバリエーションのユーザアクセスの模倣を実施できるよう,システム開発を継続する. また,模倣ユーザの属性(年齢や職業等)を指定し属性に応じて挙動を変えるなど,より多様で本格的なユーザ模倣システムを構築していきたい.
Future$Works
サイバーレンジ演習環境
server�
ユーザー模擬システム
模擬ユーザ1
模擬ユーザ3
模擬ユーザ2
websocket
CasperJS�
Internet� Node.js�
JavaScript$$�D3.js�
�RPQjKA�,�g�PQ><��¦±32$TX�PQ�¯ ±��¦±32;bPQ!
��¦±32���n��y��z��~S9���y��z��~ª±�±���¯£���Hs~l32B m�;O�w��n\"U��/u���o32B �;O|�~���n�x�32B �g{�n}�D)�(�*^vr�o:PQ��nB $d���\"G��<V�n0 �_C��s�;`|�o
CTFによる観測
環境の構築
結果(全参加者の実行コマンド)
Futurework
pML���,��1W|�q�st-���n�±¦±�¢± �(�ML�z~CTF²CapturetheFlag³ ����Y�0 �J�L�32Y�z�.u�o
\"G��CTF��Y?�<Vz�s~ok'G����nlAlfonsm�Hs�n¥¡£®±����~<V� 5oAlfons�a�¨��¬�fi%�w�~�n]4�\"G��#6�<V�w�o
#1
CTF トポロジ図
WIDE合宿会場
#5
#4
#3
#2
#1
FW
client
FS DB
10.2.1Y.0/24
Int Srv192.168.2.0/24
DMZ192.168.3.0/24
Client192.168.1.0/24
Win7
ubuntu ubuntuCentOS
.253.254.254
.254 .243 .8.5
.192
Global Router
surfaceWin8
surfaceWin8
surfaceWin8
VLAN:XXXX2351
2331
2352 2353 2354 2355
23322333
2334|
2336 2337|
23392340
|2342
2343|
2345
2356RDP
172.29.1Y.0/24.192
VPN
2357
2358
2359
2360
Y:#Group
.254 .254 .254 .254.254
.254 .254 .254 .254 .254
.192
.192
.192
.192
Node:nXXX
n131
n132
n133
n134
n135
n135
Proxy10.2.1Y.241:8080
VNC = n131:5902
CTF環境をStarBEDで構築
°�0 ¢± (g&hH7��©¯¤#n«�¬�32#³��@e°_C>Z�;`´�±�±(FE)���nhypervisor���(�§�¡£�DPI°\"G���=�°_Cf���n L�\"G���8
Server Server Server Server Server
Server Server Server Server Server
Server Server Server Server Server
RouterFirewall
MailWebProxy
File Server
調
達
(株)○○
!"#
$%&'
潜伏
企業・公官庁等のオフィス
㊙
A
模倣
サーバクラスタ
ACCESSGRANTED
Yeah!malware
図 1 攻撃対象環境の模倣イメージ
Server Server Server Server Server
Server Server Server Server Server
Server Server Server Server Server
RouterFirewall
MailWebProxy
File Server
調
達
(株)○○
!"#
$%&'
潜伏
企業・公官庁等のオフィス
㊙
A
模倣
サーバクラスタ
模倣対象環境
Internet
Mailwww
SIP
外部ユーザ環境
RouterFirewall
MailWebProxy
File Server
調
達
(株)○○
!"#
$%&'
オフィス
㊙
A
RouterFirewall
MailWebProxy
File Server
調
達
(株)○○
!"#
$%&'
取引先B
㊙
A
RouterFirewall
MailWebProxy
File Server
調
達
(株)○○
!"#
$%&'
取引先A
㊙
A
図 2 外部ユーザ環境模倣イメージ
再現する為,各ノードにはユーザやユーザに基づく設定情報,そしてユーザが所有するコンテンツをそれぞれのノードに導入する.そして,構築した環境が構築後もユーザ操作や外部とのインタラクション模倣して環境全体を制御する.3. 2 Avalonの構成要素Avalonでは,解析環境とその動作を模倣する為に,図 3の
イメージ図で示す様な攻撃対象の環境情報とユーザの挙動を時系列で記述するシナリオを定義する.そしてシナリオを基にシナリオコンバータが,環境構築時点での時間より以前のシナリオから,ログや設定情報,各種データファイルなどのコンテンツを生成する.本稿で述べる環境構築ツール Alfonsは図 4示す様に,このコンテンツを環境構築時に個々のノードに導入することで,高詳細な模倣環境を構築する.Alfonsによって作られた検証環境は,シナリオに基づくコン
テンツが導入された模倣環境であるが,環境構築時以降のユーザの挙動が再現されない.Avalonでは,構築後の環境内のユーザ挙動を模倣し,実時間で環境を制御するツールとして,図 5
のイメージ図で示す PappetMasterを用いる.PappetMaster
は構築した環境をシナリオコンバータによって生成された構築後の操作フローに基づいて実時間操作を自動的に行う.Pap-
petMasterにより構築後の解析環境が継続的に動作し,攻撃対象となっている環境を高詳細に模倣した状況を維持する.これらのシナリオとシナリオコンバータ,各制御機構を用い
各ノード内コンテンツ
コンテンツDB
コンテンツデータ
時間軸:ユーザB
メールやログ,操作履歴のデータ
コンテンツデータ
時間軸:ユーザA
メールやログ,操作履歴のデータ
各ノード操作シナリオデータ
制御シナリオDB
コンテンツデータ
時間軸:ユーザB
OS/アプリケーション操作シナリオ
コンテンツデータ
時間軸:ユーザA
OS/アプリケーション操作シナリオ
シナリオコンバータ
指定された時刻に基づき,コンテンツと操作シナリオに分割
RouterFirewall
MailWebProxy
File Server
調
達
(株)○○
!"#
$%&'
オフィス
㊙
A
RouterFirewall
MailWebProxy
File Server
調
達
(株)○○
!"#
$%&'
オフィス
㊙
A
RouterFirewall
MailWebProxy
File Server
調
達
(株)○○
!"#
$%&'
オフィス
㊙
A
時系列のシナリオ
朝 昼 夜
図 3 模倣対象のシナリオとシナリオコンバータ
Alfons
保存・共有
OSディスクイメージ
Configテンプレート群
コンポーネント
定義
Windows
コンポーネントDB
OSディスクイメージ
Configテンプレート群
コンポーネント
定義
Linux
攻撃対象組織環境情報
Global Segment DMZ Segment
Life Segment
Router Firewall Mail Web Proxy File
Client Client
Server Server Server Server Server Server
Internet
NodeBox1
NodeBox2
NodeBox2
NodeBox3
NodeBox3
NodeBo4
NodeBox4 NodeBox5 NodeBox6
サーバクラスタ
HyperVisor
Router(Physical)
Client x 2
HyperVisor
Firewall(Virtual)
HyperVisor
Mail/Web/Proxy
各ノード内コンテンツ
コンテンツDB
コンテンツデータ
時間軸:ユーザB
メールやログ,操作履歴のデータ
コンテンツデータ
時間軸:ユーザA
メールやログ,操作履歴のデータ
テンプレートとなるOSイメージ取得
ノード毎のコンテンツ取得 攻撃対象組織の環境情報の取得
解析用模倣環境の構築
RouterFirewall
MailWebProxy
File Server
調
達
(株)○○
!"#
$%&'
オフィス
㊙
A
論理トポロジ
図 4 Alfons の動作イメージ
RouterFirewall
MailWebProxy
File Server
調
達
(株)○○
!"#
$%&'
㊙
A
NodeBo4
NodeBox4
HyperVisor
Client x 2
各ノード操作シナリオデータ
制御シナリオDB
コンテンツデータ
時間軸:ユーザB
OS/アプリケーション操作シナリオ
コンテンツデータ
時間軸:ユーザA
OS/アプリケーション操作シナリオ
PappetMaster
ノード毎の操作シナリオの取得
ノード実時間遠隔操作
環境挙動再現
図 5 PappetMaster の動作イメージ
て Avalonは動的解析環境の構築と実時間制御を行う.
4. Alfons:高詳細な模倣環境構築システム本章では 3.章で述べた Avalonの中で動的解析環境を構築す
るツールである Alfonsの設計について述べる.4. 1 機 能 要 件シナリオコンバータによって生成された各ノード固有の設定
情報・コンテンツ,ネットワークトポロジを基に解析環境を構築する為には,指定されたユーザ情報やネットワーク識別子の設定を行いながら,実験ノードやネットワーク機器の設定を行える必要が有る.また,マルウェアの中には自身の動作しているノード (以下「インスタンス」)が仮想ノードであるかどうか
— 3 —
�I+�n�IN+
024681012
�©¯¤�c [4
050
100150200250300350400450500
arch
at
dir
gorups
grepelocal
sc
screen
seq sh
sqlite3
strin
gs
sync
tracepath
tracerou
te
view
vipw
which
who
is
cp
dmesg
emacs
file
for
host
icon
vkill la
le
lv
name
parameter
passwd
route
rpm
sasl
ssh-agent
strin
gtty
type
unset
finger
hostname If ss
wget
yum
chmod
date
du
expo
rt
jobs
killall
mailq
mkdir
mysqldu
mp
top
touch
rm
show
mou
nt
who
bg
diff ll
mou
nt
apt-get
dpkg
lsof
mysqld_s…
locate
logout
nmap
dig
exp
grou
ps
mysqld
ssh-add
suspend ip
id
mail fg
w3m
who
ami
arp
nkf
telnet
slogin
mysqladm…
unam
eservice su
ifcon
fig
netstat
grep
w
sudo
more
find ps
df
ld
echo
pw
dssh
man
tail vi
clear
ping
exit
mysql
history
cat
less
cd
ls
�±¦ [�©¯¤# db dm fs
�H�4Top10ls 4402cd3016less 1128cat 921history 432mysql 394exit 379ping 296clear 274vi 260
“TheCabinintheWoods”(2012)DirectedbyDrewGoddard
