BotTrace:大規模ネットワーク観測によるIoTマルウェアのボットネット検知と判定

IoTマルウェアによるボットネットが構成され，DDoS攻撃を中心とする悪性活動が大きな脅威となっている．DDoS攻撃の手法やターゲットは日々変化するため，攻撃の元となっているボットネットの対策が必要である．ボットネットの観測には，実際に悪性活動が展開されている大規模ネットワークの分析が有効であると考えられる．本稿では大規模ネットワークで収集している ネットワークフローデータに対し，IoTマルウェアの通信特徴に着目したグラフ分析を適用し，IoTマルウェアのボットネット検知する手法を提案する．また検知した被疑C2サーバについて，マルウェア共有サイトを用いた受動的判定手法および被疑C2サーバに対してマルウェア模擬通信を行うことによる能動的判定手法を提案する．大規模ネットワークで6ヶ月間の検知実験を行った結果，受動的判定手法によりIoTボットネットのC2サーバを130IPアドレス特定し，生存期間，ボット再利用などの傾向分析を行った．また，30%以上のC2サーバはマルウェア共有サイトに該当の検体が登録されるよりも早期に検知できていた．ただし，それらは「今見れば先行検知していた」というものであり，検知時点での即時性のある判定手法として，能動的判定手法による判定を実施したところ，マルウェア共有サイトに関連する検体が登録されてない状態において，IoTボットネットのC2サーバを特定できるケースがあることを示した．

IoT malware botnets have become a significant threat, primarily engaging in malicious activities such as DDoS attacks. As the targets and the methods of DDoS attacks evolves rapidly, it is crucial to tackle the source of such attacks - the botnet itself. Analyzing large-scale networks where botnets operate malicious activities can be highly effective for their detection. This paper proposes a method to detect IoT malware botnets by applying graph analysis to network flow data collected from large-scale networks, focusing on the communication characteristics of IoT malware. We also propose both passive and active validation methods to analyze suspected C2 servers. In a six-month detection experiment on a large-scale network, the passive method identified 130 IP addresses as IoT botnet C2 servers, and we performed trend analysis on their lifetime and bot reuse. We found that over 30% of the C2 servers were detected earlier than being registered on malware-sharing sites, although they were recognized retroactively. We also found that active validation could identify C2 servers that were not yet registered on such sites, indicating the effectiveness of our approach in near real-time.