HTTPプロキシサーバでのCookie挿入によるバックドア通信の検出  [in Japanese] Detection of Backdoor Communication Based on Cookie Insertion by an HTTP Proxy Server  [in Japanese]

Access this Article

Search this Article

Abstract

機密情報窃取を目的とした標的型攻撃が後を絶たない.攻撃者は標的型メールなどを使い,セキュリティ境界内部に侵入し,遠隔操作用バックドアを動作させることにより情報窃取を行う.HTTPを利用し,プロキシサーバに対応するバックドア通信は,通常利用によるブラウザ通信とプロトコル上の差がなく,検出を行うことが困難であり,検出するまでに時間を要する.本論文では,プロキシサーバで任意の情報を挿入し,挿入した情報に対する応答を確認することで,遠隔操作用バックドア通信か,通常のブラウザによる通信かをリアルタイムに判別する方法を提案する.まず,正常通信とバックドア通信で応答が異なるHTTPヘッダの存在を明らかにするとともに,調査結果から判別に使用する情報としてCookieを用いることとした.次に,Cookieを自動挿入するプロキシサーバの実装を行い,標的型攻撃に使用されたバックドアを用いて評価実験を行った.結果として,本方式により検出される遠隔操作用バックドア通信が存在することを確認した.Targeted Attack aiming at confidential information theft of an organization is increasing. An attacker uses targeted e-mail. They intrude the inside of a security boundary, and operates the backdoor by remote control, and steal information. When HTTP is used to control backdoor, it is very difficult to detect the malicious traffic by inspecting protocol validation, and takes much time to find. In this paper, we devised the method of distinguishing the backdoor communication or usual browser communication by inserting arbitrary information to check the real-time response at an HTTP proxy server. We investigate the HTTP header usage differs backdoor communication with a normal communication, and we decided to insert the Cookie. We implemented automatic insertion function of HTTP Cookie at an HTTP proxy server, and evaluate our method by existing backdoor using targeted attack. As a result, we show that the proposed method can detect such suspicious communication in real time.

Journal

  • 情報処理学会論文誌

    情報処理学会論文誌 55(9), 2008-2020, 2014-09-15

Codes

  • NII Article ID (NAID)
    110009822842
  • NII NACSIS-CAT ID (NCID)
    AN00116647
  • Text Lang
    JPN
  • Article Type
    Journal Article
  • ISSN
    1882-7764
  • Data Source
    NII-ELS  IPSJ 
Page Top