An Investigation of Life Cycle of Exploits Observed by Honeypots

近年，インターネット上の機器やサービスの脆弱性を狙ったサイバー攻撃やマルウェア活動が問題視されており，これらの脅威の傾向の把握及び対策を行うためハニーポットの設置やダークネット上の通信監視によるサイバー攻撃の観測が行われている．一方で，脆弱性が発見された後，どのような過程を経てサイバー攻撃やマルウェアへの組み込みが行われるのかというエクスプロイトのライフサイクルについては未だ不明瞭な点が多い．そこで本研究では，我々が設置しているハニーポットで観測した攻撃に対し標的とされた脆弱性情報のラベリングを行うことにより，攻撃元ホストの傾向の推移や捕獲したマルウェア検体の動的解析結果との関連について，攻撃対象となった脆弱性別の分析を行った．その結果，攻撃は複数のフェーズに分かれており，小規模なホスト群から攻撃が行われる初期段階と，マルウェア内に組み込まれることにより攻撃数が爆発的に増加する拡大段階が存在することを明らかにした．また，GitHub 等における脆弱性の PoC (概念実証) の公開状況と当該脆弱性を標的とした攻撃観測数の推移を突合することにより，PoC の公開が攻撃急増のトリガとなった複数の事例を明らかにした．

In recent years, cyber-attacks and malware activities targeting vulnerabilities of Internet-connected devices have increased. Observation of cyber-attacks by honeypots and darknet traffic monitoring is useful for recognizing trends and taking action against these threats. However, the lifecycle of exploits (i.e., the process from discovery of vulnerabilities to cyber-attacks and malware infection) is still unknown. In this study, we analyzed the attacks observed by our honeypots and investigated how they related to the trends of attacker hosts and the trends of the dynamic analysis of the captured malware samples. As a result, we found multiple phases of attacks: an initial phase in which only small groups of hosts attack and an expansion phase in which the number of attacks rapidly increases after the exploit is built into malware. Also, we show multiple examples in which the release of PoC (Proof of Concept) triggered an increase in attacks targeting the vulnerability by comparing the availability of PoC with the number of attacks targeting the vulnerability.