17. 実例1 (1/2):スパムメール
Copyright 2017 FUJITSU SYSTEM INTEGRATION LABORATORIES LIMITED
Hi xxxxxx,
Congratulations!
You have access to your free
trading cash!
The money is sitting and waiting
in your account now.
Access Here Now
Thanks again
Dennis Mcclain
http://sectorservices[.]com[.]br/
components/com_tz_portfolio/v
iews/gallery/tmpl/
187.17.111[.]105
DNS
16
33. 検知指標の重みづけ
複数のサブグループ間で IP アドレスとドメインを比較
Contrast Set Mining [Bay et.al 2001]
Emerging Patterns [Dong and Li 1999]
Copyright 2017 FUJITSU SYSTEM INTEGRATION LABORATORIES LIMITED
itemset A
32
DB 1 DB 2
同定可能
itemset A
出現なし
IP,ドメイン
マルウェア,
キャンペーン
攻撃者の傾向が表れている特別な検知指標による先回り防御について検討中の内容について紹介.
この例では,2014 年から 2015 年にかけて,複数のマルウェアの CTI に出現した IP アドレスについて紹介.
四角は具体的な IP アドレス (今回はデータを利用させてもらっているベンダーに配慮して値は出さない)
四角の中の色付きのエリアはその IP が CTI に出現したことを表す
この IP のように,過去複数のマルウェアの活動で観察されてきた IP は,
またほかの活動でも観察される可能性があるのでは,と監視する.
ちなみに,この資料を作成している段階で,
FireEye のあるアナリストの分析で明らかになったことによると,
この IP は2014年あたりには既にシンクホールになっていたと推定され,
直接攻撃インフラに利用されていたわけではなさそうだが,
様々な悪性活動に反応する IP となっていた模様.
前のスライドにおいて説明した IP アドレスに関連づいているドメインの数を
パッシブDNSサービスである PassiveTotal を利用して検証.
左は各四半期の最終日の登録ドメイン数をプロットしたもの.
右は2016年の6月の日別の登録ドメイン数をプロットしたもの.
2015年までの学習で明らかにできていた IP を
2016年に監視できていたとしたら,
2016年6月のロッキースパムによる初動をとらえることができていた