マルウェアのバイナリに関する知識と識別は、マルウェアの検知とインシデントへの対応の極めて重要な部分です。MD5 値のみを用いれば、バイナリの同一性を示すのに充分と言われていた時代がありました。かつて行われていたリバースエンジニアリングの解析では、2 つの異なるマルウェアから同じ MD5 値が算出されれば、それらは同一と見なして問題無かったのです。しかし、この数年の間に事態は急速に変化しました。ポリモーフィック型ウイルスの出現により、攻撃者は同じマルウェアのハッシュ値 (MD5 や SHA 系) を簡単に変えることができるようになったのです。サイバー犯罪者や高度な技術を持つ攻撃者は、コードを再利用することで新型のマルウェアを生み出しハッシュ値を変更することによって、防御者が過去の結果を利用してマルウェアを解析することができないようにしました。これにより攻撃者たちが優勢となりました。 近年、2 つのマルウェアのバイナリに類似性があるかどうかを調べる手法として、「類似性計量」の研究が行われています。Imphash、ssdeep、sdhash などがその例です。今回の講演では、解析したデータを用いることにより、APT に関連する検体のコードの類似性を評価するために適した様々な手法を紹介します。本講演では、2015 年 1 月～ 3 月に発生した APT の事案で用いられた検体のバイナリについて考察を行い、3 つの類似性計量のそれぞれを基にしているバイナリのクラスタを作成します。クラスタの正確性を評価し、その結果が示唆する内容から APT と関連するバイナリの起源を特定するために用いる技術の有効性を試験します。本講演の内容は、インシデントに対して効果的な対応を指揮できるように、自身の環境への異なる感染が単一のグループによるものかどうかを特定することを支援し、攻撃者の技術力と動機の過去の解析結果を分析に適用することを可能とします。

1. APTで使用されたバイナリの
相関解析忍術
APTバイナリの起源の識別に関するファジーハッシング技術の効果の評価
ブヘブナ ソマ
サイバー・アナリスト / 開発者, インテル
@bsoman3, bhavna.soman@ {intel.com, gmail.com}
Copyright © Intel Corporation 2015. All rights reserved.

2. -George P. Burdell
ここで示された意見は発表者のものであり、彼/彼
女の雇用者の意見ではありません。
-Legal
インテルの技術の特徴と利点はシステム構成に依存し、使用可能な状態
のハードウェア、ソフトウェアまたはサービスを必要とするでしょう。
パフォーマンスはシステム構成によって変化します。絶対的に安全なコ
ンピュータシステムは存在しません。あなたのシステムの構築業者また
は販売業者と相談して下さい。またはintel.comでより多くのことを知る
ことが出来ます。
おことり

3. Agenda
• バックグラウンド
• バイナリをつなぐ方法
• テストデータセットと効果的
な検証方法の取得
• 結果
• 発見されたサンプルクラスタ
• 今回の成果と将来の方向

4. イ ン シ デ ン ト レ ス ポ ン ス に お け る マ ル ウ ェ ア
属 性 の 重 要 性
• 法執行機関(LEA)とは異なるやり方
• 攻撃者のプロファイルの作成
• 脅威の元となる攻撃者の動機の理解
• ツール, 戦術と手順
• 使用されている脆弱性のタイプ
• 防御のための戦略的投資
• 対応を洗練させる

5. 悪意あるバイナリの起源を知ることはどんな利点
があるか？？
• 過去の動機の解析と勧告の機能を適用することが出来る。
• 共通点のない複数のイベントが１つの写真全体につながる。
• それで、点をつなぐ最適な方法は何であるか？

6. 類 似 す る バ イ ナ リ を つ な ぐ 最 適 な 方 法 は
何 か ？ ？
• Imphash— インポートテーブルのmd5 ハッシュ
• マルウェア作者は同じ環境を使用している
• 同一のバイナリ、コンパイラ、など
• ssdeep— 前後関係をきっかけとした区分的なハッシュ
• バイトパターンの類似性の測定
• 相同性の識別（場所が異なってもチャンクを識別でき
る）
• SDhash—ブルームフィルター(確率的データ構造の一つ)
• バイトパターンの統計学的に有意な類似性

7. 手法 :
1. ターゲットキャンペーンに関連したバイナリの断片
的でないデータセットの取得
2. 多くのバイナリの静的/動的解析を用いない効果的な
検証方法の確立
挑戦

8. データ収集
• 2015年1-3月に発表
• 例: “Project Cobra
Analysis”, “The Desert
Falcon Targeted
Attacks”
• MD5値を抽出
• ウィルストータル上の
悪意あるプログラムの
10%超
MD5値 類似性計量
• 各々のバイナリから計
算
• Import hash
• ssdeep
• SDhash
抽出
計算
APT 白書

9. 相関性の評価
これらはマルウェアに関連するの？

10. {Actor Names, Campaign
Name, Malware Families,
Aliases}
APT1 APT2
{Actor Names, Campaign
Name, Malware Families,
Aliases}
相関性の評価

11. • すべての相関性を見つ
ける方法はなかった
• Imphashは偽陽性が最
も高い
• Sdhashは最高の再現
率
• ssdeepとSDhashはほ
ぼ100%の適合率
結果の概要
再現率 適合率

12. IMPHASHS

13. • 408個の正しい相関性
• 172個の偽陽性
• 忠実度の高い真陽性
• 同じ人物による複数のキャンペーンまたがる2つの相関性
• 異なるバージョンの同じマルウェアの間に相関性はない
• キャンペーンのキルチェーンのパーツをまたがる相関性はなかった
IMPHASH
SCORE
FREQUENCY

14. IMPHASH

15. • 2011年頃のSAVサンプル
• Waterbug Attack groupに使わ
れた
• Turla/Uruborosとしてよく知ら
れている
• ComRAT (Turla Attackers) バージョン
1.5
• 2008年3月25日に記録
• データ・セット中のRATの他のバー
ジョンにはつながっていなかった
• Wipbot 2013のサンプル
• Waterbug attack Groupによっ
て使われた
• 2013年10月15日に記録
• Tavdig/WorldCupSec/Tadj
Makhal として参照された
IMPHASH

16. IMPHASH

17. • どちらもComRATのサンプル
• それぞれWaterbug Group and Turla
Attackersと関連する
• カーボンマルウェアのサンプル
• Project CobraとThe Waterbug Attack
Groupに関連している
IMPHASH

18. IMPHASH

19. • OP Arid Viperの証明書窃取器とド
ロッパー
• Syrian Opposition Forcesの攻撃者
に使われたVs.ドロッパー
• 知られているリンクや修飾に共通性
はない
• 6つの異なるキャンペーンのバイナ
リ
• 行為者またはマルウェアファミリー
の共通性はない．
• キルチェーンの異なる部品
IMPHASH

20. IMPHASH

21. SSDEEP

22. • 856個の正しい相関性
• 0個の偽陽性
• 1つの相関性が同じ行為者による接続されたキャンペーンを
見つけた
• 同じマルウェアでマイナーバージョン間のいくつかの相関
性
• キャンペーン中のキルチェーンの部品をまたがる相関性は
なかた
SSDEEP
SCORE
FREQUENCY

23. SSDEEP

24. • 2013年のWipbot
• Waterbug attack groupによっ
て使われた
• ComRATのマイナーバージョ
ンにまたがる相関性
• 3年以上の日々の記録
• SAV/Uruborosのサンプル
• Waterbug Attack groupによっ
て使われた
• 2013年のタイムスタンプ
SSDEEP

25. SSDEEP

26. • OP Desert Falcon (Kaspersky)
で使われたバックドア
• 630の相関性。平均はだいたい
35.13のスコア
• 2009年に記録された異なるバージョ
ンのカーボンマルウェア
• P r o j e c t C o b r a と Wa t e r b u g
キ ャ ン ペ ー ン か ら 。
SSDEEP

27. SSDEEP

28. SSDEEP
偽陽性なし

29. SDHASH

30. • 閾値は10
• 1412の正しい相関性
• 3つの偽陽性
• 1つの相関性は同じ行為者のつながったキャンペーンを見つけた
• 同じマルウェアのマイナーバージョン間のいくつかの相関性
• 1つの相関性はキャンペーン内のキルチェインの複数の部品にまたが
る
SDHASH
SCORE
FREQUENCY

31. SDHASH

32. • C o b r a キャンペーンのドロッパー，ステージ1，ステージ2，イン
ジェクトのライブラリ間の相関性
• Waterbugグループに使われたカーボンツールと高い類似性
• ベンダーによってでさえ多様になってしまうアンチウィルスラベ
ル
• sdhashによってのみ作られた相関性
• SAV/Uruborosサンプル
• 2013年の3か月以上記録された30個
の異なるバイナリー
SDHASH

33. SDHASH

34. • OP Desert Falconで使われたバックドア
• Vs. Scanboxサンプル (Anthem attacksとDeep
Pandaに関連していると知られている)
• それらの行為者/キャンペーン/マルウェアファミ
リーの間の未知の相関性
• Anthem attackで使われた
“HttpBrowser”マルウェア
• Carbanakグループによっ
て使われた“AmmyAdmin”
ツール
SDHASH

35. SDHASH

36. どこに私たちは立つのか
• Imphash, ssdeepまたはSDhash??
• 経路探索のような. 接続を構成する工学的システム
• APTバイナリはコードを再利用するだろう — それら
に対してそれを使う.
• あなたの敵を知るのに損にはならない.

37. 謝意/Q&A/ありがとう!
@bsoman3, bhavna.soman@ {intel.com, gmail.com}
• スライドの改善を手伝ってく
れたクリス・キットとジェフ
・ボエリオ
• セキュリティ白書を執筆する
素晴らしい人々
• APTNotesを制作、維持する
@kbandla
• 大規模データを提供してくれ
るウィルストータル