Proposal of Continuous Monitoring System for C2 Servers through Mutual Cooperation

IPSJ

Bibliographic Information

Other Title
  • C2サーバを対象とした相互協力による継続的観測システムの提案

Description

標的型攻撃に使用される C2 サーバの情報は,サイバー攻撃対策における不正接続先情報として共有されている.その一方で,通知後の不正接続先の活動状況の確認は組織毎に独自で実施しており,組織間での相互協力は行われていないのが現状である.本研究では,運用面での効率化及び誤検知低減のため,通知された不正接続先を対象とした相互協力による継続的観測システムを提案する.提案システムでは,複数観測点での観測,並びに脅威情報の識別番号を利用した不正接続先の観測結果の共有を特徴としている.また,提案システムの試行運用として公的機関かは配信された不正接続先を継続観測したところ,半年以上経過しても約 30% の割合で HTTP サーバとして応答する場合があることを確認した.

The information of C2 servers used in targeted attacks is shared as the information of unauthorized access points in cyberattack countermeasures. On the other hand, each organization independently checks the activity status of the malicious destination after notification, and there is no mutual cooperation among organizations. In this study, we propose a continuous monitoring system for the notified unauthorized access points by mutual cooperation in order to improve operational efficiency and reduce false positives. The proposed system is characterized by multiple monitoring agents and the sharing of the monitoring results of the unauthorized accesses by using the identification number of the threat information. In addition, as a trial operation of the proposed system, we continuously monitored the malicious destinations distributed by public organizations, and confirmed that about 30% of the malicious destinations still respond as HTTP servers even after more than half a year.

Journal

Keywords

Details 詳細情報について

Report a problem

Back to top