4. CODE BLUE Feb.17 (Mon) - 18 (Tue), 2014 Tokyo, Japan
標的型攻撃の増加①
4
1.はじめに
http://www.symantec.com/threatreport/topic.jsp?aid=industrial_espionage&id=malicious_code_trends
5. CODE BLUE Feb.17 (Mon) - 18 (Tue), 2014 Tokyo, Japan
標的型攻撃の増加②
5
政府機関等への標的型メールに関する注意喚起の件数
※GSOC:Government Security Operation Coordination team
政府機関情報セキュリティ横断監視・即応調整チーム
1.はじめに
6. CODE BLUE Feb.17 (Mon) - 18 (Tue), 2014 Tokyo, Japan
標的型攻撃の増加③
6
20112007
5.4% → 33%
出典:経済産業省委託調査(2007年、2011年)
標的型と見られるサイバー攻撃を受けたことがある(企業)
1.はじめに
7. CODE BLUE Feb.17 (Mon) - 18 (Tue), 2014 Tokyo, Japan
標的型攻撃の例
7
1.はじめに
機密
情報
マルウェア付き
メールを送信
添付ファイル
を開く
マルウェア
に感染
特定の企業や個人のネットワーク
攻撃者 受信者
機密情報
の漏えい
①
②
③
④
8. CODE BLUE Feb.17 (Mon) - 18 (Tue), 2014 Tokyo, Japan
標的型メール攻撃の添付ファイル
8
標的型メール攻撃の添付ファイル拡張子の傾向(2013年上半期トレンドマイクロ調べ)
http://is702.jp/special/1431/
実行ファイル形式:59%
文書ファイル形式:41%
1.はじめに
9. CODE BLUE Feb.17 (Mon) - 18 (Tue), 2014 Tokyo, Japan
2.バイナリエディタで見る
悪性文書ファイルの構造
9
26. CODE BLUE Feb.17 (Mon) - 18 (Tue), 2014 Tokyo, Japan
4.O-CHECKERの検知の仕組み
26
27. CODE BLUE Feb.17 (Mon) - 18 (Tue), 2014 Tokyo, Japan
o-checkerの検査項目
27
①EOFの後にデータがついていないか
②ファイルサイズが異常でないか
③FATで参照できない領域が追加されていないか
④ファイル末端がFree Sectorでないか
⑤使途不明のsectorがないか
⑥分類できないセクションがないか
⑦参照されないオブジェクトがないか
⑧偽装されたStreamがないか
Rich Text
CFB
PDF
o-checker
4.o-checkerの検知の仕組み
28. CODE BLUE Feb.17 (Mon) - 18 (Tue), 2014 Tokyo, Japan
Rich Text形式のファイルの基本構造
28
{¥rtf
Hello!¥par
This is some {¥b bold} text.¥par
}
RTFのデータはテキスト形式を用いており、プレーンテキストに装飾やレイ
アウトのための制御用の文字列を付加した形式となっている※
※:wikipediaより引用
図:Rich Text形式のファイルの例
RTFファイルであるこ
とを示すシグネチャ
最初の`{`に対応する`}`がファイルの最後(EOF)
4.o-checkerの検知の仕組み
29. CODE BLUE Feb.17 (Mon) - 18 (Tue), 2014 Tokyo, Japan
①EOFの後にデータがついていないか
29
{¥rtf
Hello!¥par
This is some {¥b bold} text.¥par
}
MZ・
ク
・ コ エ ヘ!ク
L!This program cannot be run in
DOS mode.$ 猝t讀ォオ、ォオ、ォオュモ
招ヲォオュモ楫喚オ、ォオ0ェオュモ卸・オュモ匏ウォ
Rich、ォオ
PE d・ ヤノ[J ・ "
表示に影響を
与えないファ
イル末尾に実
行ファイルを
挿入
図:実行ファイルを埋め込まれたRich Text形式のファイルの例
EOFの後にデータが存在
4.o-checkerの検知の仕組み
30. CODE BLUE Feb.17 (Mon) - 18 (Tue), 2014 Tokyo, Japan
CFB形式のファイル(doc、xls、ppt、 jtd/jtdc )
30
Root Storage
Storage 1 Storage 2
Storage 3
Stream A
Stream B Stream C
引用:[MS-CFB] – v20130118 Compound File Binary Format (http://msdn.microsoft.com/en-us/library/dd942138.aspx)
ファイルシステムでいうと
Stream → ファイル
Storage → フォルダ
CFB:Compound File Binary
複数のデータを階層構造で1つのファイルに格納できる
Microsoft社が作成したアーカイブ形式
Micrsoft Word等で使用されている
doc,ppt,xls,jtd/jtdc※
4.o-checkerの検知の仕組み
※:Justsystem社が開発した日本語ワープロソフト
で使用する拡張子
31. CODE BLUE Feb.17 (Mon) - 18 (Tue), 2014 Tokyo, Japan
CFB(doc、xls、ppt、jtd/jtdc)のファイル構造
31
header
FAT0
Directory Entry
Stream A
Stream A
Free Sector
Stream B
1
2
3
4
5
Physical Structure
-2
-2
3
-2
-1
-2
Directory Entry
index
sector
4.o-checkerの検知の仕組み
Stream Name:a.txt
Size:696 Index:2
Stream Name:b.txt
Size:318 Index:5
Storage Name:root
Size:- Index:-
FAT
(File Allocation Table)
32. CODE BLUE Feb.17 (Mon) - 18 (Tue), 2014 Tokyo, Japan
CFB(doc、xls、ppt、jtd/jtdc)のファイル構造
32
header
FAT0
Directory Entry
Stream A
Stream A
Free Sector
Stream B
1
2
3
4
5
Physical Structure
512 Byte
(512 or 4096) x N Byte
FileSize = 512 + (512 or 4096) x N
= 512 x M
正規のCFBファイルのファイルサイズは必ず512の
倍数
4.o-checkerの検知の仕組み