| Item type |
Journal(1) |
| 公開日 |
2017-05-15 |
| タイトル |
|
|
タイトル |
BinGrep:制御フローグラフの比較を用いた関数の検索によるマルウェア解析の効率化の提案 |
| タイトル |
|
|
言語 |
en |
|
タイトル |
BinGrep: Proposing the Efficient Static Analysis Method by Searching for the Function Comparing Control Flow Graphs |
| 言語 |
|
|
言語 |
jpn |
| キーワード |
|
|
主題Scheme |
Other |
|
主題 |
[一般論文] フォレンジック,マルウェア解析,静的解析 |
| 資源タイプ |
|
|
資源タイプ識別子 |
http://purl.org/coar/resource_type/c_6501 |
|
資源タイプ |
journal article |
| 著者所属 |
|
|
|
情報セキュリティ大学院大学/NTTセキュリティ・ジャパン株式会社 |
| 著者所属 |
|
|
|
情報セキュリティ大学院大学 |
| 著者所属(英) |
|
|
|
en |
|
|
Institute of Information Security / NTT Security (Japan) KK |
| 著者所属(英) |
|
|
|
en |
|
|
Institute of Information Security |
| 著者名 |
羽田, 大樹
後藤, 厚宏
|
| 著者名(英) |
Hiroki, Hada
Atsuhiro, Goto
|
| 論文抄録 |
|
|
内容記述タイプ |
Other |
|
内容記述 |
近年,日本においてもAPT攻撃による大規模な被害を経験し,インシデント対応の重要性が再認識された.インシデントにおいてマルウェアの亜種が共通的に使用された場合,過去に解析したマルウェアの関数に相当するコードの場所を特定できると速やかに解析が行える.このコード特定のために,BinDiffに代表されるパッチ解析用のコード「比較」ツールを利用できるが,貪欲アルゴリズムにより対応付けを連鎖的に間違えてしまう場合や,間違えた場合に利用できる情報がないという課題があった.マルウェア解析に適したコード比較アルゴリズムとして,関数における制御フローグラフの編集距離と命令列の最長共通部分列を用いて関数を「検索」するBinGrepを提案する.BinGrepは,GNU bashとbinutilsでは11,049個の関数のうち90.3%について正解を出力できた.実際にAPT攻撃で使用されたマルウェアで評価したところ,Emdiviの11検体の評価では,インシデント対応において重要であった27個の関数の85%について正解を出力できた.また,EmdiviとPlugXのそれぞれ2検体の全関数について評価を実施し,マルウェア解析において提案方式が有効であることを示した. |
| 論文抄録(英) |
|
|
内容記述タイプ |
Other |
|
内容記述 |
In recent years, many Japanese organizations suffered a large-scale damage caused by APT activities. Prompt and appropriate incident responses are indispensable. When resemble malware is used in some attacks commonly, the analyst can proceed to static analysis immediately specifying the position of function previously analyzed. We can use code “comparison” tools such as BinDiff to specify this program code, but there are some problems that the method mistakes the matching continuously because of the greedy algorithm, and there are no information against such functions. As the algorithm which is suitable for malware analysis, we propose BinGrep method that “searches” for function using both the edit distance of control flow graph of functions and longest common substrings of instructions. We evaluated that 90.3% of the 11,049 functions of the GNU bash and binutils as normal program and 85% of the 27 functions of Emdivi as malware can be output correctly. Furthermore, we evaluated all functions of two samples of Emdivi and PlugX, and show proposal method is available for malware analysis. |
| 書誌レコードID |
|
|
収録物識別子タイプ |
NCID |
|
収録物識別子 |
AN00116647 |
| 書誌情報 |
情報処理学会論文誌
巻 58,
号 5,
p. 1151-1162,
発行日 2017-05-15
|
| ISSN |
|
|
収録物識別子タイプ |
ISSN |
|
収録物識別子 |
1882-7764 |
IPSJ-JNL5805024.pdf (3.1 MB)
