| Item type |
SIG Technical Reports(1) |
| 公開日 |
2022-02-28 |
| タイトル |
|
|
タイトル |
IoT マルウェアによるポート開閉動作の実機を利用した解析 |
| タイトル |
|
|
言語 |
en |
|
タイトル |
Analyzing Network Status of IoT Malware by Dynamic Analysis with Bare-metal Device |
| 言語 |
|
|
言語 |
jpn |
| キーワード |
|
|
主題Scheme |
Other |
|
主題 |
ICSS |
| 資源タイプ |
|
|
資源タイプ識別子 |
http://purl.org/coar/resource_type/c_18gh |
|
資源タイプ |
technical report |
| 著者所属 |
|
|
|
横浜国立大学 |
| 著者所属 |
|
|
|
横浜国立大学先端科学高等研究院 |
| 著者所属 |
|
|
|
横浜国立大学大学院環境情報研究院/先端科学高等研究院 |
| 著者所属 |
|
|
|
横浜国立大学大学院環境情報研究院/先端科学高等研究院 |
| 著者所属(英) |
|
|
|
en |
|
|
Yokohama National University |
| 著者所属(英) |
|
|
|
en |
|
|
Institute of Advanced Sciences, Yokohama National University |
| 著者所属(英) |
|
|
|
en |
|
|
Graduate School of Environment and Information Sciences, Yokohama National University / Institute of Advanced Sciences, Yokohama National University |
| 著者所属(英) |
|
|
|
en |
|
|
Graduate School of Environment and Information Sciences, Yokohama National University / Institute of Advanced Sciences, Yokohama National University |
| 著者名 |
小川, 航汰
田辺, 瑠偉
吉岡, 克成
松本, 勉
|
| 著者名(英) |
Kota, Ogawa
Rui, Tanabe
Katsunari, Yoshioka
Tsutomu, Matsumoto
|
| 論文抄録 |
|
|
内容記述タイプ |
Other |
|
内容記述 |
近年の IoT 機器の増加に伴って,脆弱な機器が侵入され,サイバー攻撃に利用されるという事例が増加している.IoT マルウェアはポートの開閉状態など感染機器のネットワーク状態を変化させることがあることが知られている.しかし,IoT 機器上で実際にどのようなポートが開閉されるかなど,マルウェア感染に伴うネットワーク状態の変化についての情報は少ない.そこで本研究ではまず,IoT ハニーポットで収集されたマルウェア検体を仮想環境上で動的解析しネットワーク状態を変化させる挙動を調査した.調査の結果,約 33% の検体が感染機器のネットワーク状態を変化させ,そのネットワーク状態の変化には多数のパターンが存在することが判明した.次に,仮想環境での動的解析の結果から,特徴的なポート待ち受け状態を引き起こす検体を抽出し, IoT 機器の実機を用いて動的解析を行った.解析の結果,実機においてもポート待ち受け状態の変化が観測され, 外部からのポートスキャンでこの状況を確認できることが分かった.一方で,仮想環境上でのポート待ち受け状態の変化と実機での変化は必ずしも完全には一致しないことが分かった.最後に,実機動的解析で得られたネットワーク状態の変化の情報を利用して,ポートスキャンによって非感染状態との開放ポートの差異から感染状態を推定できる可能性について議論を行う. |
| 論文抄録(英) |
|
|
内容記述タイプ |
Other |
|
内容記述 |
In this study, we first investigate the network state changes caused by IoT malware infection by executing malware samples, collected by IoT honeypots, in a virtual machine. As a result, we found that about 33% of the samples change the network state of infected devices and there are many patterns in the changes of the network state. Next, based on the results of the dynamic analysis in the virtual environment, we extracted samples that made unique changes in the network state and conducted the dynamic analysis using bare-metal IoT devices. As a result of the analysis, we found that changes in the network state were also observed in the actual devices, which can be confirmed by external port scanning. The change of the port listening state in the virtual environment did not always match that in the actual device. Finally, we discuss the possibility of remotely detecting infected devices by checking their port listening status. |
| 書誌レコードID |
|
|
収録物識別子タイプ |
NCID |
|
収録物識別子 |
AA12628305 |
| 書誌情報 |
研究報告セキュリティ心理学とトラスト(SPT)
巻 2022-SPT-46,
号 26,
p. 1-6,
発行日 2022-02-28
|
| ISSN |
|
|
収録物識別子タイプ |
ISSN |
|
収録物識別子 |
2188-8671 |
| Notice |
|
|
|
SIG Technical Reports are nonrefereed and hence may later appear in any journals, conferences, symposia, etc. |
| 出版者 |
|
|
言語 |
ja |
|
出版者 |
情報処理学会 |
IPSJ-SPT22046026.pdf (2.2 MB)
