| Item type |
Symposium(1) |
| 公開日 |
2018-10-15 |
| タイトル |
|
|
タイトル |
スクリプト実行環境に対する解析機能の自動付与手法 |
| タイトル |
|
|
言語 |
en |
|
タイトル |
Automatic Enhancement of Script Engines by Appending Behavior Analysis Capabilities |
| 言語 |
|
|
言語 |
jpn |
| キーワード |
|
|
主題Scheme |
Other |
|
主題 |
悪性スクリプト,動的解析,機能拡張 |
| 資源タイプ |
|
|
資源タイプ識別子 |
http://purl.org/coar/resource_type/c_5794 |
|
資源タイプ |
conference paper |
| 著者所属 |
|
|
|
NTTセキュアプラットフォーム研究所 |
| 著者所属 |
|
|
|
NTTセキュアプラットフォーム研究所 |
| 著者所属 |
|
|
|
NTTセキュアプラットフォーム研究所 |
| 著者所属 |
|
|
|
NTTセキュアプラットフォーム研究所 |
| 著者所属 |
|
|
|
NTTセキュアプラットフォーム研究所 |
| 著者所属(英) |
|
|
|
en |
|
|
NTT Secure Platform Laboratories |
| 著者所属(英) |
|
|
|
en |
|
|
NTT Secure Platform Laboratories |
| 著者所属(英) |
|
|
|
en |
|
|
NTT Secure Platform Laboratories |
| 著者所属(英) |
|
|
|
en |
|
|
NTT Secure Platform Laboratories |
| 著者所属(英) |
|
|
|
en |
|
|
NTT Secure Platform Laboratories |
| 著者名 |
碓井, 利宣
大月, 勇人
川古谷, 裕平
岩村, 誠
三好, 潤
|
| 著者名(英) |
Toshinori, Usui
Yuto, Otsuki
Yuhei, Kawakoya
Makoto, Iwamura
Jun, Miyoshi
|
| 論文抄録 |
|
|
内容記述タイプ |
Other |
|
内容記述 |
マルスパムやファイルレスマルウェアなど,悪性スクリプトを用いた攻撃が拡大している.こうした悪性スクリプトは一般に難読化が施されており,コードの静的解析で挙動の詳細を知るのは困難であるため,動的解析が主に用いられる.しかしながら,動的解析においても,独自の実行基盤を用いた解析では,実スクリプトエンジンとの実装の差異が課題となり,システム API の監視による解析では,スクリプトとの間に生じるセマンティックギャップの課題が残る. そこで,本研究では,スクリプトエンジンバイナリに対して,実行中のスクリプトを解析する機構を自動的に付与する手法を提案する.スクリプト固有の言語仕様を考慮した監視により,スクリプトとの間に生じるギャップを解消する.あらかじめ用意したテストスクリプトを,スクリプトエンジンを監視しながら実行させることで,その内部挙動を解析する.それに基づき,解析用のコードを挿入するポイントと,ログ出力するメモリを参照するポイントとを特定する.これにより,任意のスクリプトエンジンに対する解析機能の付与を可能とし,悪性スクリプト解析ツールを構成する. |
| 論文抄録(英) |
|
|
内容記述タイプ |
Other |
|
内容記述 |
Malicious scripts have been a crucial attack vector in the recent attacks such as malware spams (malspams) and fileless malware. Since malicious scripts are generally obfuscated, statically analyzing them is difficult. Therefore, dynamic analysis, which is not affected by the obfuscation, is essentially used. However, despite its wide adoption, some problems remain unsolved in dynamic analysis. For emulator-based approach, implementation differences between real script engines and the emulators cause an incorrect execution problem. For system level hook approach, semantic gaps occur between executed scripts and observed system Application Programming Interfaces (APIs). In this paper, for narrowing down the semantic gaps, we propose a method for automatically enhancing script engines by appending behavior analysis capabilities to their binaries. We reduces the semantic gaps by considering language elements that are specific to observing scripts. Our method conducts dynamic analysis on script engines using predefined test scripts. Through the analysis, we mine the knowledge of script engine internals that are required to append behavior analysis capabilities. This enables to add analysis functionalities to arbitrary script engines. Experimental results showed that we can apply this method for building malicious script analysis tools. |
| 書誌レコードID |
|
|
|
識別子タイプ |
NCID |
|
|
関連識別子 |
ISSN 1882-0840 |
| 書誌情報 |
コンピュータセキュリティシンポジウム2018論文集
巻 2018,
号 2,
p. 1016-1023
|
| 出版者 |
|
|
言語 |
ja |
|
出版者 |
情報処理学会 |
IPSJCSS2018143.pdf (526.5 kB)
