| Item type |
Symposium(1) |
| 公開日 |
2021-10-19 |
| タイトル |
|
|
タイトル |
IoTマルウェアにおける関数の依存関係と結合の順序関係に基づくライブラリ関数名の特定 |
| タイトル |
|
|
言語 |
en |
|
タイトル |
Identifying Library Function Names Based on Function Dependencies and Linking Ordering in IoT Malware |
| 言語 |
|
|
言語 |
jpn |
| キーワード |
|
|
主題Scheme |
Other |
|
主題 |
関数名特定,ライブラリ関数特定,パターンマッチング,Linuxマルウェア解析,マルウェア分類 |
| 資源タイプ |
|
|
資源タイプ識別子 |
http://purl.org/coar/resource_type/c_5794 |
|
資源タイプ |
conference paper |
| 著者所属 |
|
|
|
神奈川工科大学 |
| 著者所属 |
|
|
|
NTT社会情報研究所 |
| 著者所属 |
|
|
|
NTT社会情報研究所 |
| 著者所属 |
|
|
|
神奈川工科大学 |
| 著者所属(英) |
|
|
|
en |
|
|
Kanagawa Institute of Technology |
| 著者所属(英) |
|
|
|
en |
|
|
NTT Social Informatics Laboratories |
| 著者所属(英) |
|
|
|
en |
|
|
NTT Social Informatics Laboratories |
| 著者所属(英) |
|
|
|
en |
|
|
Kanagawa Institute of Technology |
| 著者名 |
赤羽, 秀
川古谷, 裕平
岩村, 誠
岡本, 剛
|
| 著者名(英) |
Shu, Akabane
Yuhei, Kawakoya
Makoto, Iwamura
Takeshi, Okamoto
|
| 論文抄録 |
|
|
内容記述タイプ |
Other |
|
内容記述 |
IoT 機器を標的とした攻撃の増加に伴い,IoT 機器で動作するマルウェアが増加している.多くの IoT マルウェアはライブラリ関数を静的に結合し,シンボル情報を消去しているため,関数名による解析が困難である.我々の先行研究では,パターンマッチングにより,10 種類のアーキテクチャの IoT マルウェアの構築に使用されたすべてのツールチェインと静的結合されたライブラリ関数の 91.7 %を特定した.残り 8.3 %の関数は関数の候補を特定したが,これらの候補から関数を特定するには静的解析が必要であった.特に解析者にとって馴染みのないアーキテクチャの検体を静的解析する負担は大きい.そこで,本研究ではライブラリ関数の依存関係と結合の順序関係を手がかりにして関数の候補から関数を特定する手法を提案する.実験では提案手法による関数の特定精度の評価を行い,マルウェアに静的結合された 99.8 %のライブラリ関数の名前を特定した.さらに,他の手法と比較し,提案手法の特定精度が他の手法より高いことを確認した.最後に特定した関数名のリストを使ってマルウェアの分布を可視化し,関数名リストでマルウェアを分類できる可能性を示した. |
| 論文抄録(英) |
|
|
内容記述タイプ |
Other |
|
内容記述 |
Much IoT malware includes static linking of library functions, and their symbols such as function names are stripped hindering function-level analysis. We previously showed that pattern matching could identify 91.7% of library functions statically linked to IoT malware. For the remaining 8.3% of library functions, we identified their candidates, but static malware analysis was required to identify functions from these candidates. In particular, static malware analysis of an architecture with which the analyst is unfamiliar is a heavy burden. In this paper, we propose a method to identify a function from candidate functions based on the dependency relationship of functions and the order of their linking. In experiments, our method identified 99.8% of the names of all library functions in 3,983 samples. Furthermore, we compared the accuracy of our method with other methods and confirmed that the accuracy of our method is higher than other methods. |
| 書誌情報 |
コンピュータセキュリティシンポジウム2021論文集
p. 786-793,
発行日 2021-10-19
|
| 出版者 |
|
|
言語 |
ja |
|
出版者 |
情報処理学会 |
IPSJCSS2021106.pdf (1.3 MB)
