| Item type |
SIG Technical Reports(1) |
| 公開日 |
2020-11-18 |
| タイトル |
|
|
タイトル |
Linuxゲスト向けCuckoo Sandboxへのファイル保存機能の実現 |
| タイトル |
|
|
言語 |
en |
|
タイトル |
Implementation of file saving mechanism for Linux guests of Cuckoo Sandbox |
| 言語 |
|
|
言語 |
jpn |
| キーワード |
|
|
主題Scheme |
Other |
|
主題 |
CSEC一般講演5 |
| 資源タイプ |
|
|
資源タイプ識別子 |
http://purl.org/coar/resource_type/c_18gh |
|
資源タイプ |
technical report |
| 著者所属 |
|
|
|
立命館大学 |
| 著者所属 |
|
|
|
立命館大学 |
| 著者所属 |
|
|
|
立命館大学 |
| 著者所属(英) |
|
|
|
en |
|
|
Ritsumeikan University |
| 著者所属(英) |
|
|
|
en |
|
|
Ritsumeikan University |
| 著者所属(英) |
|
|
|
en |
|
|
Ritsumeikan University |
| 著者名 |
原田, 隆成
鄭, 俊俊
毛利, 公一
|
| 著者名(英) |
Ryusei, Harada
Junjun, Zheng
Koichi, Mouri
|
| 論文抄録 |
|
|
内容記述タイプ |
Other |
|
内容記述 |
マルウェアの動的解析において,マルウェアによってダウンロードされたり書き込まれたファイル,および削除されたファイルを取得することで一連の攻撃の流れを解析することができるようになる.攻撃対象としては,Windows だけでなく,Linux を標的としたマルウェアも重要であるが,Linux マルウェアの動的解析システムにおいて,十分な解析能力を有し,かつファイルの保存機能を備えたものは存在しない.そこで我々は,広く使われているオープンソースの動的解析システムである Cuckoo Sandbox の Linux ゲストに対し,既に実装されているカーネル空間でのシステムコールトレースを拡張する形で新たにファイル保存機能を実装した.これにより,Linuxマルウェアがダウンロードや書き込みを行ったファイル,永続化のために書き換えられた設定ファイル,攻撃の証拠隠滅のために削除されたファイルを取得できることを確認した.また,HiddenWasp を用いた動作検証により実際のマルウェア解析における提案手法の有効性についても確認した. |
| 論文抄録(英) |
|
|
内容記述タイプ |
Other |
|
内容記述 |
In the dynamic analysis of malware, it is possible to analyze a series of attacks by obtaining the files that are downloaded, written or deleted by the malware. Like Windows, Linux also becomes a common attack target of malware so that the analysis of Linux malware is important. However, the existing dynamic analysis systems for Linux malware have no sufficient analysis capability and in particular a file saving function. Therefore, in this paper, we have implemented a new file saving mechanism for Linux guests of Cuckoo Sandbox, which is a widely used open-source dynamic analysis system, by extending the already-implemented system call trace in the kernel space. We confirmed that it is possible to obtain the files that were downloaded or written by Linux malware, the configuration files that were modified to persist, and the files that were deleted to destroy evidence of the attack. In addition, the effectiveness of the proposed approach in actual malware analysis was validated through operational verification with HiddenWasp. |
| 書誌レコードID |
|
|
収録物識別子タイプ |
NCID |
|
収録物識別子 |
AA11235941 |
| 書誌情報 |
研究報告コンピュータセキュリティ(CSEC)
巻 2020-CSEC-91,
号 19,
p. 1-8,
発行日 2020-11-18
|
| ISSN |
|
|
収録物識別子タイプ |
ISSN |
|
収録物識別子 |
2188-8655 |
| Notice |
|
|
|
SIG Technical Reports are nonrefereed and hence may later appear in any journals, conferences, symposia, etc. |
| 出版者 |
|
|
言語 |
ja |
|
出版者 |
情報処理学会 |
IPSJ-CSEC20091019.pdf (1.5 MB)
