| Item type |
Symposium(1) |
| 公開日 |
2023-10-23 |
| タイトル |
|
|
タイトル |
スクリプト実行環境に対する新たなコードインジェクション攻撃と対策 |
| タイトル |
|
|
言語 |
en |
|
タイトル |
A New Code Injection Attack against Script Engines and Its Countermeasures |
| 言語 |
|
|
言語 |
jpn |
| キーワード |
|
|
主題Scheme |
Other |
|
主題 |
悪性スクリプト,コードインジェクション,動的解析 |
| 資源タイプ |
|
|
資源タイプ識別子 |
http://purl.org/coar/resource_type/c_5794 |
|
資源タイプ |
conference paper |
| 著者所属 |
|
|
|
NTTセキュリティ・ジャパン株式会社 |
| 著者所属 |
|
|
|
NTTセキュリティ・ジャパン株式会社 |
| 著者所属 |
|
|
|
NTTセキュリティ・ジャパン株式会社 |
| 著者所属 |
|
|
|
NTTセキュリティ・ジャパン株式会社 |
| 著者所属 |
|
|
|
東京大学生産技術研究所 |
| 著者所属(英) |
|
|
|
en |
|
|
NTT Security (Japan) KK |
| 著者所属(英) |
|
|
|
en |
|
|
NTT Security (Japan) KK |
| 著者所属(英) |
|
|
|
en |
|
|
NTT Security (Japan) KK |
| 著者所属(英) |
|
|
|
en |
|
|
NTT Security (Japan) KK |
| 著者所属(英) |
|
|
|
en |
|
|
Institute of Industrial Science, The University of Tokyo |
| 著者名 |
碓井, 利宣
大月, 勇人
川古谷, 裕平
岩村, 誠
松浦, 幹太
|
| 著者名(英) |
Toshinori, Usui
Yuto, Otsuki
Yuhei, Kawakoya
Makoto, Iwamura
Kanta, Matsuura
|
| 論文抄録 |
|
|
内容記述タイプ |
Other |
|
内容記述 |
本論文では,良性スクリプトを実行中のスクリプトエンジンに対して悪性バイトコードを注入する,新たなコードインジェクション攻撃手法の脅威を示す.この攻撃は,注入先のメモリ領域の実行権限やスレッドを起動する挙動などの,従来の攻撃で見られた特徴を有さないため,既存の対策では検出が難しい.一方で,攻撃の成立には,バイトコードとそれが参照する値を管理する記号表を的確に注入する必要があり,これらの内部構造はスクリプトエンジンに独自なため,技術的に実現が困難であった.そこで,攻撃の実現可能性を示すために,スクリプトエンジンのバイナリを解析し,バイトコードの格納先と記号表の構造を解明する手法を提案する.さらに,解析結果に基づいて,悪性スクリプトを実行してバイトコードと記号表を抽出し,標的端末上でスクリプトエンジンに注入することで当該攻撃を成立させる方法を示す.実験を通し,この攻撃が実現可能な上,既存のセキュリティ技術の多くを回避し,解析を難化させることを実証した.その上で,既存技術で実現可能な対策と,今後の対策研究の方向性を提示する. |
| 論文抄録(英) |
|
|
内容記述タイプ |
Other |
|
内容記述 |
We present a new code injection attack that injects malicious bytecode into a script engine executing a benign script. This attack is resistant to existing detection techniques because it does not have the characteristics of conventional attacks, such as execution permissions in the injected memory region and thread creation behavior. The attack requires the precise injection of bytecode and symbol tables managing the data referenced by the bytecode, which is technically challenging to achieve because they are unique to each script engine. To demonstrate the attack feasibility, we propose a technique to analyze script engine binaries to determine the bytecode cache location and the structure of the symbol table. Based on the analysis results, the technique executes a malicious script to extract the bytecode and symbol table and inject them into the script engine on the target endpoint. Through experiments, we have demonstrated that this attack is feasible, bypasses many existing security technologies, and makes analysis difficult. We then present countermeasures feasible with existing security technologies and directions for future research on countermeasures. |
| 書誌情報 |
コンピュータセキュリティシンポジウム2023論文集
p. 1373-1380,
発行日 2023-10-23
|
| 出版者 |
|
|
言語 |
ja |
|
出版者 |
情報処理学会 |
IPSJ-CSS2023187.pdf (1.1 MB)
