水曜日, 11月 19, 2014

【研究情報】 ELFマルウェアの研究について

Windowsマルウェア研究の内容はインターネットで沢山公開されていますが、ELFマルウェアのリファレンスは少ないですね。
最近はほぼ「Microsoft Word」マルウェアと同じ数のELF/Linuxマルウェアが発見されていて、VirusTotalのデータでは”11月上旬の1週間だけでも、3万5000件超の疑わしいELFファイルがVirusTotalに提出された。これは、疑わしい「Microsoft Word」ファイルのアップロード件数である4万4000件をわずかに下回る数だ”と発表されております。

その情報が分かった上で、私は最近の研究で国内「0day.jp」と海外「malwaremustdie.org/チームリーダーとして」でもELFマルウェアの研究を中心に活動しています。新規ELFマルウェアとELFマルウェアの新しい感染仕組みの感染/発見実績をしました。
例えば2013年の「Darkleechの国内幹線事件 」から、今年の「Mayhemボットネット  」、「色んなDDoSとバックドアー@Shellshockの脆弱性出た時」そして中国のDDOS+バックドアーのボットネット攻撃の件ですね。
どうにかELFマルウェアの検知率が上がるように何とかしようという目的でした。やった事としては下記の動きです↓

1)ELFマルウェアのアンチウイルス検知率が非常に低いです。アンチウイルスのエンジンはELFスキャナーの技術が古い(パターンマッチンッグ仕組み)のが原因ですね。アンチウイルス会社から見るとELFマルウェアの数は少ないという認識で、優先順位が低いままELF/Linuxマルウェアのデータベースとスキャナー方法の提供を続けています。
このが間違いで、新しい検知仕組みを考えるべき。
私はVirusTotalその他研究環境すべての最新版ELFマルウェアをアンチウイルス製品にシェアするレポシトリを作り、サンプルをアンチウイルス会社に送りました。

2)ELFマルウェアのチェックについて、VirusTotalのAPIが少なかったね。もっとAPIを増やすように連携の研究を行い、APIを増やすように開発の提案をしました。現在やっと出来上がりました

3)ELF/Linuxサーバ経由のマルウェアスキャナー製品の比較研究を今やっていますので、AV-TEST.ORGとの連携で準備を行っています( )。

まだ途中ですが、海外ではELF研究について認識されており、ELFのサンプル、テスト環境、分析ツール開発、メディアの記事まで沢山協力も頂きました。
日本国内からもセキュリティ研究者の皆さんからご協力を頂き、有難うございます。
実際のELFマルウェアの勝負はまだまだこれからなので、もっと頑張りたいと思います。よろしくお願いします。

ELF研究のリンクとリファレンスについて↓
http://blog.virustotal.com/2014/11/virustotal-detailed-elf-information.html
http://www.zdnet.com/googles-virustotal-puts-linux-malware-under-the-spotlight-7000035719/
http://japan.zdnet.com/security/sp/35056503/
http://blog.malwaremustdie.org

ELF研究についてのニューススナップショット↓

他ののニュースリンク(shellshockの時)



ELFマルウェア研究プロジェクト実績についての証拠ビデオ↓


MAYHEM ELFバイナリーの調査ビデオ↓


ELF DDoSマルウェアのリバース分析調査ビデオ↓


中国ELFマルウェア・ビルダー「FULL DISCLOSURE」ビデオ↓


ELFマルウェア感染via SSHハッキング、liveデモ(kippo)ビデオ↓

0 件のコメント:

コメントを投稿