標的型攻撃のシナリオ再現環境の構築
スポンサーリンク
概要
- 論文の詳細を見る
特定組織に狙いを定めたサイバー攻撃,標的型攻撃が社会問題となっている.標的型攻撃にはいくつかのフェーズがあり,攻撃者は複数のツールを駆使して活動することが各種解析レポートで報告されている.解析レポートでは攻撃用ツールやマルウェアの解析結果が個々の事象としてまとめられており,そのつながりは解析者が想定したシナリオで補完されている.これは解析時に既に停止されている C&C サーバを含む攻撃者環境の特定や被害環境に残された痕跡の収集を解析者自身が十分に行えないためである.そこで本研究では,標的型攻撃における攻撃者の活動を正確に把握するために一連の攻撃シナリオを再現できる環境を構築する.シナリオ再現環境はネットワークで接続された被害環境と攻撃環境,解析支援環境で構成される.被害環境には一般的な企業組織を想定した環境を構築し,攻撃環境には模擬 C&C サーバを実装する.解析支援環境には,被害環境・攻撃環境を柔軟に構築し,反復してシナリオを再現しやすくするために用いる.本稿の最後では標的型攻撃のシナリオの一例を実施することで被害環境に残された痕跡を洗い出し,本環境について考察する.
- 2014-05-15
著者
-
中尾 康二
独立行政法人情報通信研究機構
-
宮地 利幸
独立行政法人情報通信研究機構
-
衛藤 将史
独立行政法人 情報通信研究機構
-
津田 侑
独立行政法人情報通信研究機構サイバー攻撃対策総合研究センター
-
神薗 雅紀
独立行政法人情報通信研究機構|株式会社セキュアブレイン
-
井上 大介
独立行政法人 情報通信研究機構
-
衛藤 将史
独立行政法人情報通信研究機構サイバー攻撃対策総合研究センター
-
遠峰 隆史
独立行政法人情報通信研究機構サイバー攻撃対策総合研究センター
-
安田 真悟
独立行政法人情報通信研究機構サイバー攻撃対策総合研究センター
-
三浦 良介
独立行政法人情報通信研究機構サイバー攻撃対策総合研究センター
-
中尾 康二
独立行政法人情報通信研究機構サイバー攻撃対策総合研究センター
-
宮地 利幸
独立行政法人情報通信研究機構サイバー攻撃対策総合研究センター
-
津田 侑
独立行政法人情報通信研究機構
-
遠峰 隆史
独立行政法人情報通信研究機構
-
神薗 雅紀
独立行政法人情報通信研究機構:株式会社セキュアブレイン
-
神薗 雅紀
独立行政法人情報通信研究機構サイバー攻撃対策総合研究センター|株式会社セキュアブレイン先端技術研究所
関連論文
- 状況把握のためのトラヒック振舞い分類システムの構築と評価(ネットワーク管理・オペレーション,システム開発・ソフトウェア開発論文)
- 1.マルウェアって?(マルウェア)
- 確率的依存関係に基づくボットネット検知の検討(高度インシデント分析を支える要素技術,インターネットセキュリティ,一般)
- パッキングされたマルウェアの類似度算出手法とその評価
- 情報埋込機能付データ圧縮ツールIH-ZIPの開発
- パケットヘッダの特徴に基づいたダークネットトラフィックのパケット生成手法の分類
- 迅速な障害対応を支援するトラヒック可視化システムの構築と評価(ネットワーク管理・オペレーション,システム開発・ソフトウェア開発論文)
- インシデント分析のためのホストプロファイリングの検討
- メモリ展開されたマルウェアの特徴抽出とその高速化に関する提案(情報システムセキュリティ,一般,インターネットセキュリティ,一般)
- サーバ情報漏えいに耐性のあるワンタイムパスワード方式について(広域インシデント分析を支える暗号技術,インターネットセキュリティ,一般)
- マルウェアの分類方法とその応用に関する考察(情報システムセキュリティ,一般,インターネットセキュリティ,一般)
- 複数手法によるリアルタイム解析を支援するトラヒックデータ配送システムの実装と評価(セキュリティ技術,セキュアでサステイナブルなインターネットアーキテクチャ論文)
- ネットワーク観測とマルウェア解析の融合に向けて : インシデント分析センターnicterの研究開発
- 独立成分分析を用いたインシデント予測の検討(情報通信基礎サブソサイエティ合同研究会)
- ネットワークトラフィックデータ間の相関に基づくインシデント検知の検討(情報通信基礎サブソサイエティ合同研究会)
- インターネットのエッジノードにおける受信トラフィックを媒体とするステガノグラフィの可能性
- インシデント分析センタnicterの可視化技術
- BS-5-14 インターネットにおける実時間イベント分析の研究開発(BS-5.次世代ネットワーク構築に向けた品質・トラヒック計測技術,シンポジウム)
- NGN/IPv6セキュリティ試験システムの設計と評価(情報システムセキュリティ,一般,インターネットセキュリティ,一般)
- モバイルコードを用いたポート動的変更機能を有するリモートアクセスVPNの評価(ライフログ活用技術,オフィス情報システム,マルチメディアシステム,マルチメディア通信,IP放送/映像伝送,一般)
- モバイルコードを用いたポート動的変更機能を有するリモートアクセスVPNの評価
- モバイルコードを用いたポート動的変更機能を有するリモートアクセスVPNの評価(ネットワークセキュリティ,ライフログ活用技術,オフィス情報システム,マルチメディアシステム,マルチメディア通信,IP放送/映像伝送,一般)
- モバイルコードを用いたポート動的変更機能を有するリモートアクセスVPN方式(広域インシデント分析を支える暗号技術,インターネットセキュリティ,一般)
- インシデント分析センタnicterの可視化技術
- モバイルコードを用いたポート動的変更機能を有するリモートアクセスVPNの評価(ネットワークセキュリティ,ライフログ活用技術,オフィス情報システム,マルチメディアシステム,マルチメディア通信,IP放送/映像伝送,一般)
- 広域分散型インシデント分析システムにおける匿名化手法のモデル化(広域インシデント分析を支える暗号技術,インターネットセキュリティ,一般)
- 広域分散型インシデント分析システムにおける匿名化手法の提案と考察(広域インシデント分析を支える暗号技術,インターネットセキュリティ,一般)
- 広域分散型インシデント分析システムにおける匿名化手法の提案と考察(第2報) (インターネットアーキテクチャ)
- 確率的依存関係に基づくボットネット検知の検討(高度インシデント分析を支える要素技術,インターネットセキュリティ,一般)
- 広域分散型インシデント分析システムにおける匿名化手法の提案と考察(第二報)(匿名化・認証,インターネットセキュリティ,一般)
- 独立成分分析を用いたインシデント予測の検討(情報通信基礎サブソサイエティ合同研究会)
- 独立成分分析を用いたインシデント予測の検討(情報通信基礎サブソサイエティ合同研究会)
- ネットワークトラフィックデータ間の相関に基づくインシデント検知の検討(情報通信基礎サブソサイエティ合同研究会)
- ネットワークトラフィックデータ間の相関に基づくインシデント検知の検討(情報通信基礎サブソサイエティ合同研究会)
- 情報埋込機能付データ圧縮ツールIH-ZIPの開発
- 状況把握のためのトラヒック振舞い分類システムの構築と評価
- 実行時のスレッド単位の機能に着目したマルウェアの関連性解析
- 広域分散型インシデント分析システムにおける匿名化手法の提案と考察(第二報)(匿名化・認証,インターネットセキュリティ,一般)
- nicter によるネットワーク観測および分析レポート-Confickerのの経過観測およマクロとミクロの相関分析の一例-
- nicterによるネットワーク観測および分析レポート(一般)
- 広域分散型インシデント分析システムにおける匿名化手法のモデル化(広域インシデント分析を支える暗号技術,インターネットセキュリティ,一般)
- 広域分散型インシデント分析システムにおける匿名化手法の提案と考察(広域インシデント分析を支える暗号技術,インターネットセキュリティ,一般)
- サーバ情報漏えいに耐性のあるワンタイムパスワード方式について(広域インシデント分析を支える暗号技術,インターネットセキュリティ,一般)
- モバイルコードを用いたポート動的変更機能を有するリモートアクセスVPN方式(広域インシデント分析を支える暗号技術,インターネットセキュリティ,一般)
- マルウェアの分類方法とその応用に関する考察(情報システムセキュリティ,一般,インターネットセキュリティ,一般)
- メモリ展開されたマルウェアの特徴抽出とその高速化に関する提案(情報システムセキュリティ,一般,インターネットセキュリティ,一般)
- CPUエミュレータとDynamic Binary Instrumentationの併用によるシェルコード動的分析手法の提案
- NGN/IPv6セキュリティ試験システムの設計と評価(情報システムセキュリティ,一般,インターネットセキュリティ,一般)
- IP fragmentationとそのDNSSECに与える影響(セッション4)
- シミュレーションによるDNSSECのUDPトラフィック解析
- シミュレーションによるDNSSECのUDPトラフィック解析
- インシデント分析のためのホストプロファイリングの検討
- シミュレーションによるDNSSECのUDPトラフィック解析
- インシデント分析のためのホストプロファイリングの検討
- DNSSECトランスポートオーバヘッド増加に関する解析(セッション9-A : ネットワークセキュリティ(3))
- DNSSECトランスポートオーバヘッド増加に関する解析(セッション9-A : ネットワークセキュリティ(3))
- DNSSECトランスポートオーバヘッド増加に関する解析
- IPv6移行に伴うDNSペイロード長増加に関する解析と考察(DNSシステム)(インターネットアーキテクチャ技術論文特集)
- BOTコードの静的解析によるネットワークアクセス情報抽出について
- マルウェアコードの類似度判定による機能推定
- DoS 攻撃に対する DNS サーバの資源消費解析
- BDK-1-1 nicterの研究開発と実社会への成果展開(BDK-1.多様化するネットワークのための情報セキュリティとは,ソサイエティ特別企画,ソサイエティ企画)
- BDK-1-1 nicterの研究開発と実社会への成果展開(BDK-1.多様化するネットワークのための情報セキュリティとは,ソサイエティ特別企画,ソサイエティ企画)
- BDK-1-1 nicterの研究開発と実社会への成果展開(BDK-1.多様化するネットワークのための情報セキュリティとは,ソサイエティ企画)
- BDK-1-1 nicterの研究開発と実社会への成果展開(BDK-1.多様化するネットワークのための情報セキュリティとは,ソサイエティ特別企画,ソサイエティ企画)
- nicterによるネットワーク観測および分析レポート : 長期ネットワーク観測に基づく攻撃の変遷に関する分析
- 大規模ダークネット観測に基づくアラートシステムの実装と運用
- クラウドコンピューティング技術の検証環境の構築と運用について(トラヒック計測・制御,ポリシー管理,ネットワーク異常検知,信頼性,認証,ID/名前空間,ネットワークセキュリティ,プライバシー,VPN,DDoS及び一般)
- マルウェアコードの類似度判定による機能推定
- スキャンの特徴抽出による攻撃元プロファイリング手法の提案(ネットワーク観測・分析,インターネットセキュリティ,一般)
- スキャンの特徴抽出による攻撃元プロファイリング手法の提案(ネットワーク観測・分析,インターネットセキュリティ,一般)
- 災害時における大規模ダークネット観測網の活用に関する検討(災害対策,インターネットセキュリティ,一般)
- 災害時における大規模ダークネット観測網の活用に関する検討(災害対策,インターネットセキュリティ,一般)
- DoS攻撃に対するDNSサーバの資源消費解析(光ネットワーク構成技術,インターネット関連技術,及び一般)
- DoS攻撃に対するDNSサーバの資源消費解析(光ネットワーク構成技術,インターネット関連技術,及び一般)
- DoS攻撃に対するDNSサーバの資源消費解析(光ネットワーク構成技術,インターネット関連技術,及び一般)
- BOTコードの静的解析によるネットワークアクセス情報抽出について
- 公開DNS通信のセキュリティ確保
- 公開DNS通信のセキュリティ確保
- 公開DNS通信のセキュリティ確保
- インシデント分析センターnicterの研究開発概要 (ネットワークセキュリティ特集) -- (インシデント対策技術)
- バイトコードの出現頻度に着目したマルウェアの類似度判定および機能推定法
- オリジナルコードの一部を利用した自己書き換え型マルウェアに対する類似度判定法
- バイトコードの出現頻度に着目したマルウェアの類似度判定および機能推定法
- マルウェア対策ユーザサポートシステムのフィールド実験と性能評価
- オリジナルコードの一部を利用した自己書き換え型マルウェアに対する類似度判定法
- L-029 マルウェアの部分コードによる類似度判定と機能推定(セキュリティ実装,L分野:ネットワーク・セキュリティ)
- L-028 多段パックされたマルウェアからのコード取得(セキュリティ実装,L分野:ネットワーク・セキュリティ)
- マルチモーダル分析による不正通信の検出(通信セキュリティ,一般)
- 文字出現頻度をパラメータとした機械学習による悪質な難読化JavaScriptの検出
- 文字出現頻度をパラメータとした機械学習による悪質な難読化JavaScriptの検出
- サイバー攻撃のしくみ
- 標的型攻撃のシナリオ再現環境の構築
- 標的型攻撃のシナリオ再現環境の構築
- 電子文書型マルウェアからシェルコードを抽出する方法の提案
- 電子文書型マルウェアからシェルコードを抽出する方法の提案
- Backdoor Shellに着目した不正Webサイトを用いたサイバー攻撃基盤の分析
- Backdoor Shellに着目した不正Webサイトを用いたサイバー攻撃基盤の分析
- L-003 マルウェアの類似度に基づく機能推定(L分野:ネットワーク・セキュリティ,一般論文)
- L-005 マルウェアの発生時系列分布特性(L分野:ネットワーク・セキュリティ,一般論文)