WEKO3
アイテム
マルウェア動的解析オンラインサービスの脆弱性
https://ipsj.ixsq.nii.ac.jp/records/74923
https://ipsj.ixsq.nii.ac.jp/records/7492307bfccfb-a9a4-4abd-a450-d2d5b564b2c6
| 名前 / ファイル | ライセンス | アクション |
|---|---|---|
IPSJ-CSS2009F51.pdf (271.0 kB)
|
Copyright (c) 2009 by the Information Processing Society of Japan
|
|
| オープンアクセス | ||
| Item type | Symposium(1) | |||||||
|---|---|---|---|---|---|---|---|---|
| 公開日 | 2009-10-19 | |||||||
| タイトル | ||||||||
| タイトル | マルウェア動的解析オンラインサービスの脆弱性 | |||||||
| タイトル | ||||||||
| 言語 | en | |||||||
| タイトル | Vulnerability of Malware Sandbox Analysis as an Online Service | |||||||
| 言語 | ||||||||
| 言語 | jpn | |||||||
| キーワード | ||||||||
| 主題Scheme | Other | |||||||
| 主題 | コンピュータウイルス | |||||||
| 資源タイプ | ||||||||
| 資源タイプ識別子 | http://purl.org/coar/resource_type/c_5794 | |||||||
| 資源タイプ | conference paper | |||||||
| 著者所属 | ||||||||
| 横浜国立大学 | ||||||||
| 著者所属 | ||||||||
| 横浜国立大学 | ||||||||
| 著者所属 | ||||||||
| 横浜国立大学 | ||||||||
| 著者所属 | ||||||||
| 横浜国立大学 | ||||||||
| 著者所属(英) | ||||||||
| en | ||||||||
| Yokohama National University | ||||||||
| 著者所属(英) | ||||||||
| en | ||||||||
| Yokohama National University | ||||||||
| 著者所属(英) | ||||||||
| en | ||||||||
| Yokohama National University;Yokohama National University | ||||||||
| 著者名 |
吉岡, 克成
× 吉岡, 克成
|
|||||||
| 著者名(英) |
Katsunari, Yoshioka
× Katsunari, Yoshioka
|
|||||||
| 論文抄録 | ||||||||
| 内容記述タイプ | Other | |||||||
| 内容記述 | 近年,任意のユーザからの実行ファイル等の検体の提出を受け付け,解析環境 (サンドボックス) 内で実行し,その挙動を解析して結果をユーザに提供するといった 「マルウェア動的解析オンラインサービス」 が人気を集めている.しかし,解析対象の検体が動作中にインターネットにアクセスすることを許す動的解析方法をとる場合,攻撃者は解析サービスに送り込む検体を特別に設計し,検体のアクセス先ホストと連携することで,サンドボックスの IP アドレスなどの,サービスを実施するシステムに関する情報を調べることが可能なはずである.更には,このような情報により,C&C サーバやファイルサーバといった攻撃者が管理するサーバへの,サンドボックス内の検体からのアクセスと,サンドボックス外の検体からのアクセスを区別できるため,動的解析オンラインサービスでは十分にその機能が調べられないようにマルウェアを設計することも可能となるはずである.本報告では,このような脆弱性が現在運用されている多くのマルウェア動的解析オンラインサービスに現実に存在することを示す. | |||||||
| 論文抄録(英) | ||||||||
| 内容記述タイプ | Other | |||||||
| 内容記述 | In recent years, malware sandbox analysis as an online service, which receives online submissions ofpossibly malicious executables from an arbitrary user, analyzes their behavior by actually executing them in atesting environment (i.e., a sandbox), and sends analysis reports back to the user, is becoming popular. However,we point out that an IP address of an Internet-connected sandbox could be discovered by an attacker who submitsa dummy sample designed to connect to a server in attacker’s control. Moreover, in order to disturb or avoid thesandbox analysis, malware authors could design their malware to conceal its behavior if it uses the discovered IPaddress when connecting to their Command and Control (C&C) server or file server. In this paper, we show thatsuch vulnerability actually exists in many existing online analysis services. | |||||||
| 書誌情報 |
コンピュータセキュリティシンポジウム2009 (CSS2009) 論文集 巻 2009, p. 1-6, 発行日 2011-10-12 |
|||||||
| 出版者 | ||||||||
| 言語 | ja | |||||||
| 出版者 | 情報処理学会 | |||||||
