| Item type |
SIG Technical Reports(1) |
| 公開日 |
2021-05-06 |
| タイトル |
|
|
タイトル |
ライブラリ関数が静的結合されたIoTマルウェアのビルドに使用されたツールチェインの特定 |
| タイトル |
|
|
言語 |
en |
|
タイトル |
Identification of toolchains used to build IoT malware with statically linked libraries |
| 言語 |
|
|
言語 |
jpn |
| キーワード |
|
|
主題Scheme |
Other |
|
主題 |
CSEC |
| 資源タイプ |
|
|
資源タイプ識別子 |
http://purl.org/coar/resource_type/c_18gh |
|
資源タイプ |
technical report |
| 著者所属 |
|
|
|
神奈川工科大学 |
| 著者所属 |
|
|
|
神奈川工科大学 |
| 著者所属(英) |
|
|
|
en |
|
|
Kanagawa Institute of Technology |
| 著者所属(英) |
|
|
|
en |
|
|
Kanagawa Institute of Technology |
| 著者名 |
赤羽, 秀
岡本, 剛
|
| 著者名(英) |
Shu, Akabane
Takeshi, Okamoto
|
| 論文抄録 |
|
|
内容記述タイプ |
Other |
|
内容記述 |
IoT 機器の増加とともに,IoT 機器に感染するマルウェアが増加している.多くの IoT マルウェアにおいて,ライブラリ関数が静的結合され,関数などのシンボル情報が消去されているため,関数レベルでのマルウェア解析が困難であることがわかっている.我々の先行研究により,パターンマッチングにより Intel 80386 の IoT マルウェアに静的結合されたすべてのライブラリ関数とツールチェインを特定できることがわかったが,Intel 80386 以外の IoT マルウェアに対して我々の手法が有効であるかが明らかでなかった.そこで,我々の先行研究の手法を Intel 80386 以外の IoT マルウェアに適用する手法を明らかにする.さらに,提案手法が Intel 80386 以外の IoT マルウェアに対してツールチェインの特定に有効であるかを評価した.その結果,提案手法を用いて解析を行った 3,991 検体においてすべての検体のビルドに使用されたツールチェインを特定できることを確認した.検体のビルドに使用されたツールチェインは 14 種類であり,すべてのツールチェインが Web サイト上で公開されているものであった.Intel 80386 以外の 91.4% の検体が Mirai のインストールガイドで紹介されていたツールチェインでビルドされており,Intel 80386 と同様の結果であった.本研究の成果をマルウェア対策コミュニティと共有するため,各検体のツールチェイン名と各検体に結合されたライブラリ関数の名前とそのアドレスのリストを GitHub に公開した. |
| 論文抄録(英) |
|
|
内容記述タイプ |
Other |
|
内容記述 |
With the increase in IoT devices, there is an increase in malware infecting IoT devices. Much of IoT malware are built with static linking of library functions and all symbols such as function names and addresses are stripped, hindering function-level analysis. Our previous study showed that pattern matching can identify all library functions statically linked to Intel 80386 IoT malware and all toolchains used to build them, but it was not clear whether our method is effectively applied to IoT malware other than Intel 80386. Therefore, we propose a method to apply our previous method to IoT malware other than Intel 80386. In addition, we evaluated the effectiveness of our proposed method for identifying the toolchains used to build IoT malware other than Intel 80386. Our proposed method identified all toolchains used to build the 3,991 samples we collected. Only 14 toolchains had been used to build the samples, and the all toolchains are available on the Web sites. We found that 91.4% of the samples other than Intel 80386 were built with the toolchain described in the installation guide of Mirai, and this result was similar to that of Intel 80386. In order to share the results of this study with the anti-malware community, we published a list of the toolchain names of each sample and the names and addresses of the library functions linked to each sample on GitHub. |
| 書誌レコードID |
|
|
収録物識別子タイプ |
NCID |
|
収録物識別子 |
AA12326962 |
| 書誌情報 |
研究報告インターネットと運用技術(IOT)
巻 2021-IOT-53,
号 13,
p. 1-8,
発行日 2021-05-06
|
| ISSN |
|
|
収録物識別子タイプ |
ISSN |
|
収録物識別子 |
2188-8787 |
| Notice |
|
|
|
SIG Technical Reports are nonrefereed and hence may later appear in any journals, conferences, symposia, etc. |
| 出版者 |
|
|
言語 |
ja |
|
出版者 |
情報処理学会 |
IPSJ-IOT21053013.pdf (932.9 kB)
