| Item type |
Symposium(1) |
| 公開日 |
2020-10-19 |
| タイトル |
|
|
タイトル |
関数呼び出しシーケンスに着目したIoTマルウェアの機能差分調査 |
| タイトル |
|
|
言語 |
en |
|
タイトル |
A Feasibility Study on Investigating Functional Differences between IoT Malware |
| 言語 |
|
|
言語 |
jpn |
| キーワード |
|
|
主題Scheme |
Other |
|
主題 |
IoTマルウェア,マルウェア解析,静的解析 |
| 資源タイプ |
|
|
資源タイプ識別子 |
http://purl.org/coar/resource_type/c_5794 |
|
資源タイプ |
conference paper |
| 著者所属 |
|
|
|
九州大学 |
| 著者所属 |
|
|
|
九州大学/国立研究開発法人情報通信研究機構 |
| 著者所属 |
|
|
|
国立研究開発法人情報通信研究機構 |
| 著者所属 |
|
|
|
国立研究開発法人情報通信研究機構 |
| 著者所属 |
|
|
|
九州大学 |
| 著者所属(英) |
|
|
|
en |
|
|
Kyushu University |
| 著者所属(英) |
|
|
|
en |
|
|
Kyushu University/National Institute of Information and Communications Technology |
| 著者所属(英) |
|
|
|
en |
|
|
National Institute of Information and Communications Technology |
| 著者所属(英) |
|
|
|
en |
|
|
National Institute of Information and Communications Technology |
| 著者所属(英) |
|
|
|
en |
|
|
Kyushu University |
| 著者名 |
川添, 玲雄
韓, 燦洙
伊沢, 亮一
高橋, 健志
竹内, 純一
|
| 著者名(英) |
Reo, Kawasoe
Chansu, Han
Ryoichi, Isawa
Takeshi, Takahashi
Jun'ichi, Takeuchi
|
| 論文抄録 |
|
|
内容記述タイプ |
Other |
|
内容記述 |
IoT機器に感染するマルウェア(IoTマルウェア)が猛威を奮っている.これらの多くはMiraiやBashliteなどの公開されているソースコードをもとに,機能の追加や変更,削除をすることで作成されている.そのためアンチウイルスソフトなどでマルウェアの科名を得るだけでは,亜種間の機能の差分を捉えることができない.本研究では,単に亜種の流行を確認するだけでなく,機能差分を考慮した上で亜種の実態を調査する目的で,シグネチャを用いたマルウェアの機能判定手法を提案する.ここでシグネチャとはマルウェアが有する各機能に対応する関数のコールシーケンスグラフ(CSG)であり,解析者が半手動で作成する.このシグネチャが対象のマルウェア検体のCSGに対して部分グラフとしてマッチすると,対応する機能を有するものとする.本シグネチャは異なるCPUアーキテクチャ間の亜種に対しても横断的に使用できることを特徴とする.本稿では,24,126検体に対して機能判定を実施し,複数ファミリーの機能を合わせもった混合亜種の存在や,一部の機能に特化した検体の存在をケーススタディとして示す. |
| 論文抄録(英) |
|
|
内容記述タイプ |
Other |
|
内容記述 |
IoT malware is created by editing functions based on publicly available source codes. Therefore, it is not possible to capture the functional differences between variants by simply obtaining the malware family name with antivirus software. In this research, we propose a method of malware function determination using signatures for the purpose of confirming the epidemic of subspecies and investigating the actual status of subspecies in consideration of functional differences. The signature is a call sequence graph (CSG) corresponding to each function and is created manually by an analyst. If this signature matches the CSG of the target sample as a subgraph, it has the corresponding function. This signature can be used across variants of different CPU architectures. In this paper, we performed function determination on 24,126 specimens, and showed the existence of mixed subspecies with functions of multiple families and specimens specialized for some functions as case studies. |
| 書誌情報 |
コンピュータセキュリティシンポジウム2020論文集
p. 535-542,
発行日 2020-10-19
|
| 出版者 |
|
|
言語 |
ja |
|
出版者 |
情報処理学会 |
IPSJCSS2020075.pdf (872.3 kB)
