| Item type |
Symposium(1) |
| 公開日 |
2023-10-23 |
| タイトル |
|
|
タイトル |
疑似ボットスクリプトにより収集される攻撃命令に基づくIoTボットネットの活動分析 |
| タイトル |
|
|
言語 |
en |
|
タイトル |
Analysis of IoT Botnet Activities Based on Attack Commands Collected via Botnet Milker Scripts |
| 言語 |
|
|
言語 |
jpn |
| キーワード |
|
|
主題Scheme |
Other |
|
主題 |
C&C通信,IoTボットネット |
| 資源タイプ |
|
|
資源タイプ識別子 |
http://purl.org/coar/resource_type/c_5794 |
|
資源タイプ |
conference paper |
| 著者所属 |
|
|
|
横浜国立大学 大学院環境情報学府 |
| 著者所属 |
|
|
|
横浜国立大学 大学院環境情報学府/NTTコミュニケーションズ株式会社 |
| 著者所属 |
|
|
|
横浜国立大学 先端科学高等研究院 |
| 著者所属 |
|
|
|
横浜国立大学 先端科学高等研究院/大学院環境情報研究院 |
| 著者所属 |
|
|
|
横浜国立大学 先端科学高等研究院/大学院環境情報研究院 |
| 著者所属(英) |
|
|
|
en |
|
|
Graduate School of Environment and Information Sciences, Yokohama National University |
| 著者所属(英) |
|
|
|
en |
|
|
Graduate School of Environment and Information Sciences, Yokohama National University / NTT Communications Corporation |
| 著者所属(英) |
|
|
|
en |
|
|
Institute of Advanced Sciences, Yokohama National University |
| 著者所属(英) |
|
|
|
en |
|
|
Institute of Advanced Sciences / Faculty of Environment and Information Sciences, Yokohama National University |
| 著者所属(英) |
|
|
|
en |
|
|
Institute of Advanced Sciences / Faculty of Environment and Information Sciences, Yokohama National University |
| 著者名 |
遠藤, 祐輝
鮫嶋, 海地
田辺, 瑠偉
吉岡, 克成
松本, 勉
|
| 著者名(英) |
Yuki, Endo
Kaichi, Sameshima
Rui, Tanabe
Katsunari, Yoshioka
Tsutomu, Matsumoto
|
| 論文抄録 |
|
|
内容記述タイプ |
Other |
|
内容記述 |
IoT マルウェアに感染した機器群によって構築されたIoT ボットネットが大きな脅威となっており,その活動実態の把握が対策を行う上で重要となっている.これまでに,マルウェアダウンロードサーバやC&C サーバなどの攻撃インフラを分析した研究が行われているが,それらの攻撃インフラがどのような攻撃活動を行っているかは十分に調査されていない.そこで本研究では,疑似ボットスクリプトによって収集した攻撃コマンドや,ハニーポットによって収集したIoT マルウェアのダウンロードサーバ情報,IoTマルウェアの短期動的解析によって収集したドメイン情報やC&C サーバのIP アドレス情報を用いて攻撃インフラのグルーピングを行い,IoT ボットネットの攻撃インフラの実態,活動期間や攻撃対象といった攻撃活動の実態を分析する.2022 年5 月から2023 年4 月までにハニーポットで観測されたマルウェアダウンロードサーバ4,141 件,17,067 個のマルウェア検体から抽出されたC&C サーバ1,586 件の情報に基づいて攻撃インフラのIP アドレスのグルーピングを行い,1,960 個のグループに分類した.攻撃グループには,同じIP アドレスでC&C サーバを長期間運用するケースや複数のIP アドレスやドメインを用いてC&C サーバを長期間運用するケースが確認された.また,疑似ボットスクリプトをC&C サーバに接続することで収集された攻撃命令339,040 件の情報に基づいて攻撃コマンドの同時性を分析することで,異なるグループに分類されたC&C サーバ同士のつながりを明らかにした. |
| 論文抄録(英) |
|
|
内容記述タイプ |
Other |
|
内容記述 |
IoT botnets have been significant threats over the years, and monitoring their activities is a fundamental step for efficient mitigation. Studies partly revealed how the attack infrastructures are located and managed. However, it remains unclear about their actual attack activities. This study analyzes observations, which consist of malware download servers, C&C servers extracted from malware binaries captured by honeypot, and commands received by botnet milker scripts. We grouped IP addresses of the attack infrastructures and analyzed their attack activities.The attack groups included cases where the same IP address was used for a long period of time and cases where multiple IP addresses or domains were used for a long period of time to operate their C&C servers. The linkages between the C&C servers servers classified into the different groups were clarified by analysing the concurrency of attack commands based on the information collected by botnet milker scripts. |
| 書誌情報 |
コンピュータセキュリティシンポジウム2023論文集
p. 909-915,
発行日 2023-10-23
|
| 出版者 |
|
|
言語 |
ja |
|
出版者 |
情報処理学会 |
IPSJ-CSS2023124.pdf (530.4 kB)
