| Item type |
Journal(1) |
| 公開日 |
2015-03-15 |
| タイトル |
|
|
タイトル |
文書型マルウェアに対するエントロピーとエミュレーションを用いたシェルコード特定方法 |
| タイトル |
|
|
言語 |
en |
|
タイトル |
The Method for Shellcode Extraction from Malicious Document File Using Entropy and Emulation |
| 言語 |
|
|
言語 |
jpn |
| キーワード |
|
|
主題Scheme |
Other |
|
主題 |
[特集:学生・若手研究者論文] マルウェア,シェルコード,エントロピー,動的解析,脆弱性 |
| 資源タイプ |
|
|
資源タイプ識別子 |
http://purl.org/coar/resource_type/c_6501 |
|
資源タイプ |
journal article |
| 著者所属 |
|
|
|
株式会社セキュアブレイン先端技術研究所/信州大学大学院総合工学系研究科 |
| 著者所属 |
|
|
|
信州大学大学院総合工学系研究科 |
| 著者所属(英) |
|
|
|
en |
|
|
Advanced Research Laboratory, SecureBrain Corporation / Interdisciplinary Graduate School of Science and Technology, Shinshu University |
| 著者所属(英) |
|
|
|
en |
|
|
Interdisciplinary Graduate School of Science and Technology, Shinshu University |
| 著者名 |
岩本, 一樹
和﨑, 克己
|
| 著者名(英) |
Kazuki, Iwamoto
Katsumi, Wasaki
|
| 論文抄録 |
|
|
内容記述タイプ |
Other |
|
内容記述 |
アプリケーションの脆弱性を攻撃する文書型マルウェアを動的に解析するためには,該当する脆弱性を持つアプリケーションを準備する必要がある.しかし脆弱性の種類を特定することは困難な場合があり,またアプリケーションが入手できない可能性もある.一方,脆弱性を攻撃した後に動作する不正なプログラム(シェルコード)は脆弱性やアプリケーションに関係なく独立して動作することが多い.そこで本研究では脆弱性の種類を特定することなく,またアプリケーションがなくても文書型マルウェアの動的解析が行えるようにするために,文書型マルウェアに含まれるシェルコードを特定して実行する方法を提案する.提案手法では文書ファイルのエントロピーから算出したシェルコードの候補の優先順位に基づいて,文書ファイル内のバイト列をエミュレータで実行し,シェルコードの特徴を観測することで特定を行う.我々が作成したシステムに88種類の文書型マルウェアを投入した結果,74種類でシェルコードを特定できた.また74種類のシェルコードを動的解析したところ,51種類でマルウェアとしての動作を確認できた. |
| 論文抄録(英) |
|
|
内容記述タイプ |
Other |
|
内容記述 |
The following document is an analysis of malicious documents which exploit vulnerability in applications dynamically, the application must have appropriate vulnerability. Therefore, we have to analyze the document statically to identify the type of vulnerability. Moreover it is difficult to identify unknown vulnerability, and the application may not be available even if we could identify the type of vulnerability. However malicious code which is executed after exploiting does not have relation with vulnerability in many cases. In this paper, we propose a method to extract and execute shellcode for analyzing malicious documents without identification of vulnerability and application. Our system extracts shellcode by executing byte sequence to observe the features in document file in order of priority decided on the basis of entropy. When 88 malware samples were analyzed by our system, it extracted shellcode from 74 samples. And 51 of extracted shellcodes behaved as malicious software in dynamic analysis. |
| 書誌レコードID |
|
|
収録物識別子タイプ |
NCID |
|
収録物識別子 |
AN00116647 |
| 書誌情報 |
情報処理学会論文誌
巻 56,
号 3,
p. 892-902,
発行日 2015-03-15
|
| ISSN |
|
|
収録物識別子タイプ |
ISSN |
|
収録物識別子 |
1882-7764 |
IPSJ-JNL5603020.pdf (690.9 kB)
