2026-05-14T04:36:30Z https://ipsj.ixsq.nii.ac.jp/oai

oai:ipsj.ixsq.nii.ac.jp:00240999 2025-03-06T06:12:21Z 6164:6165:6462:11854

ファイル操作ログの取得による永続化マルウェアの追跡手法 Tracking Method for Persistent Malware by Capturing File Operation Logs 荒木, 辰哉 高橋, 佑典 木津, 由也 細見, 格 毛利, 公一 Tatsuya, Araki Yusuke, Takahashi Yoshiya, Kizu Itaru, Hosomi Koich, Mouri マルウェア，永続化，スタートアップフォルダ，プロセス追跡 マルウェアが引き起こすインシデントへの対応では，マルウェアの影響範囲を明らかにするために，自動化されたログ解析ツールを用いて端末に残されたログ同士を関連付けながら解析することが多い．既存のログ解析ツールでは，一般的にマルウェアの影響範囲をプロセス間の親子関係で不審なプロセスのプロセス生成の流れを遡ることができる．しかし，手口が高度化したマルウェアの中にはOSの自動実行機能を悪用するものが存在し，再起動によりプロセス間の親子関係が途切れてしまう．既存のログ解析ツールは自動実行機能によるプロセス生成の流れを追跡する機能を持たないため，解析者がある程度手作業で探る必要があり，困難で手間がかかる作業が求められる．本論文では自動実行機能の中でも，指定のフォルダに対しファイルを配置するだけで利用できるスタートアップフォルダに焦点を当て，プロセスのファイル操作ログを用いることで自動実行機能に登録したプロセスから再起動後に生成されたプロセスを自動で追跡する手法について述べる．これによって，スタートアップフォルダによるプロセス生成の流れを容易に追跡可能にした． In the event of malware incidents, automated log analysis tools are employed to ascertain the impact of the malware in question by analyzing system logs. Most tools employ a method of tracing the creation flow of suspicious processes, utilizing parent-child relationships. However, some malware exploits the operating system's auto-execution function, thereby breaking these relationships by restarting processes. The current tools cannot trace this flow, necessitating manual, time-consuming analysis. This paper focuses on the startup folder, which allows process tracking by placing files in a specific folder. We propose a method to automatically track processes created after a restart using file operation logs, thereby simplifying the process tracking in the startup folder. conference paper 情報処理学会 2024-10-15 application/pdf コンピュータセキュリティシンポジウム2024論文集 1888 1895 https://ipsj.ixsq.nii.ac.jp/record/240999/files/IPSJ-CSS2024253.pdf jpn