2026-05-20T00:54:34Z
https://ipsj.ixsq.nii.ac.jp/oai
oai:ipsj.ixsq.nii.ac.jp:00176445
2025-01-20T05:52:20Z
581:8417:8430
暗号アルゴリズムの特徴を利用した軽量な暗号ブロック特定手法
Light Weight Identification of Cryptographic Block Using Features of Cryptographic Algorithm
西川, 弘毅
山本, 匠
河内, 清人
桜井, 鐘治
Hiroki, Nishikawa
Takumi, Yamamoto
Kiyoto, Kawauchi
Shoji, Sakurai
[一般論文(推薦論文)] マルウェア解析,暗号,ネットワークセキュリティ
昨今のマルウェアの中には,暗号技術を用いて通信データを秘匿するものがある.暗号化された通信データのログからでは,マルウェアによってどのような攻撃が行われ,どのような情報が窃取されたかを特定することが困難となる.そのため,マルウェアが暗号処理に用いている暗号アルゴリズムと鍵を特定し,暗号化された通信データを復号することで,通信の内容を明らかにする必要がある.そのような背景の下,マルウェアを実行した際の動作ログである実行トレースから,暗号アルゴリズムが有する特徴を用いて解析し,マルウェアが利用している暗号アルゴリズムを特定する手法が提案されている.しかし,これらの手法は大量の実行トレースに対して解析処理を行っているため,解析に時間を要するという課題を有している.そこで本論文では,暗号アルゴリズムが算術・ビット演算を頻繁に用いるという特徴を利用し,これらの演算が集中している箇所を計算によって特定することで,解析対象とする実行トレースを減らすことが可能である軽量な暗号ブロック特定手法を提案する.さらに実際のマルウェアの検体に対しての評価実験を行い,提案手法によって,マルウェアから暗号ブロックを特定できることを示す.
Recently most of malwares encrypt their communication, which makes it almost impossible to identify their malicious activities and leaked information unless the communication can be decrypted. To decrypt the communication, the encryption algorithm and the key used for the malicious communication have to be identified. So far several techniques employing execution traces have been proposed to identify encryption functions and keys in malware binaries by focusing on characteristics commonly found in cryptographic operations. Those existing techniques, however, have serious drawbacks that they consume huge amount of time and computational resources in the analysis, which makes those techniques impractical. Thus we propose light weight cryptographic function identification method spotting areas where logic operations or arithmetic operations appear with high frequency, which results in elimination of useless execution traces and much faster analysis. Moreover we carried out evaluation experiments with a wild malware to see if the proposed method can identify encryption functions used in the malware in an effective manner.
journal article
2016-12-15
application/pdf
情報処理学会論文誌
12
57
2827
2835
1882-7764
AN00116647
https://ipsj.ixsq.nii.ac.jp/record/176445/files/IPSJ-JNL5712033.pdf
jpn