ログイン 新規登録
言語:

WEKO3
  • トップ
  • ランキング
To
lat lon distance
To

Field does not validate



インデックスリンク

インデックスツリー

メールアドレスを入力してください。

WEKO

One fine body…

WEKO

One fine body…

アイテム

  1. シンポジウム
  2. シンポジウムシリーズ
  3. コンピュータセキュリティシンポジウム
  4. 2020

シンボル情報が消去されたIoTマルウェアに静的結合されたライブラリ関数の特定

https://ipsj.ixsq.nii.ac.jp/records/208504
https://ipsj.ixsq.nii.ac.jp/records/208504
8f956812-8bb1-42a7-be3c-d8edd392b55a
名前 / ファイル ライセンス アクション
IPSJCSS2020076.pdf IPSJCSS2020076.pdf (897.6 kB)
Copyright (c) 2020 by the Information Processing Society of Japan
オープンアクセス
Item type Symposium(1)
公開日 2020-10-19
タイトル
タイトル シンボル情報が消去されたIoTマルウェアに静的結合されたライブラリ関数の特定
タイトル
言語 en
タイトル Identification of Library Functions Statically Linked to Stripped IoT Malware
言語
言語 jpn
キーワード
主題Scheme Other
主題 ライブラリ関数特定,ツールチェイン特定,Linuxマルウェア解析,マルウェア分類,パターンマッチング
資源タイプ
資源タイプ識別子 http://purl.org/coar/resource_type/c_5794
資源タイプ conference paper
著者所属
神奈川工科大学
著者所属
神奈川工科大学
著者所属(英)
en
Kanagawa Institute of Technology
著者所属(英)
en
Kanagawa Institute of Technology
著者名 赤羽, 秀

× 赤羽, 秀

赤羽, 秀
Search repository
岡本, 剛

× 岡本, 剛

岡本, 剛
Search repository
著者名(英) Shu, Akabane

× Shu, Akabane

en Shu, Akabane
Search repository
Takeshi, Okamoto

× Takeshi, Okamoto

en Takeshi, Okamoto
Search repository
論文抄録
内容記述タイプ Other
内容記述 IoT機器を標的としたLinuxマルウェアの増加とともに,ライブラリ関数を静的結合したLinuxマルウェアが多数確認されている.このようなマルウェアの多くにおいて関数などのシンボル情報が消去されているため,関数レベルでのマルウェア解析が困難であることがわかっている.そこで,関数レベルの解析を支援するため,パターンマッチングによりシンボル情報が消去されたIoTマルウェア(Intel 80386のELFファイル)に静的結合されたライブラリ関数の特定を試みた.その結果,収集した2,148検体において各マルウェアが使用する全ライブラリ関数の名前とアドレスを特定できた.ライブラリ関数の特定により,検体のビルドに使用されたツールチェインも特定でき,それらはたったの5種類であり,4種類のツールチェインはWebサイト上で公開されているものであった.VirusTotalの分類結果によれば,分析した検体には2つのファミリ(MiraiとGafgyt)しか存在しなかったが,特定したライブラリ関数の名前リストのSHA2に基づいて検体を分類した結果、およそ263種類の亜種が存在することがわかった.
論文抄録(英)
内容記述タイプ Other
内容記述 Many Linux malware have been found to have statically linked library functions. Much of this malware are stripped of function names and addresses, hindering function-level analysis. For function-level analysis, we identified library functions statically linked to stripped IoT malware with the Intel 80386 architecture by matching patterns. The pattern matching identified all library functions for the 2,148 samples we collected. Only five toolchains had been used to build the samples, and the five toolchains are available on the Internet. The C library used by the malware was uClibc in 98.6% of the samples and musl in 1.4%. VirusTotal classified the samples into only two malware families, i.e., Mirai and Gafgyt, but we found approximately 263 different variants by classifying the samples based on the SHA2 hash of the library function name list.
書誌情報 コンピュータセキュリティシンポジウム2020論文集

p. 543-550, 発行日 2020-10-19
出版者
言語 ja
出版者 情報処理学会
戻る
0
views
See details
Views

Versions

Ver.1 2025-01-19 18:50:12.976647
Show All versions

Share

Mendeley Twitter Facebook Print Addthis

Cite as

エクスポート

OAI-PMH
  • OAI-PMH JPCOAR
  • OAI-PMH DublinCore
  • OAI-PMH DDI
Other Formats
  • JSON
  • BIBTEX

Confirm

Powered by WEKO3

Powered by WEKO3