Item type |
Symposium(1) |
公開日 |
2024-10-15 |
タイトル |
|
|
タイトル |
ファイルの侵害をフックすることによるランサムウェアからのデータ保護システム |
タイトル |
|
|
言語 |
en |
|
タイトル |
Data Protection System from Ransomware by Hooking File Compromise Actions |
言語 |
|
|
言語 |
jpn |
キーワード |
|
|
主題Scheme |
Other |
|
主題 |
ランサムウェア,eBPF |
資源タイプ |
|
|
資源タイプ識別子 |
http://purl.org/coar/resource_type/c_5794 |
|
資源タイプ |
conference paper |
著者所属 |
|
|
|
東京大学 |
著者所属 |
|
|
|
東京大学 |
著者所属 |
|
|
|
東京大学 |
著者所属 |
|
|
|
東京大学 |
著者所属(英) |
|
|
|
en |
|
|
The University of Tokyo |
著者所属(英) |
|
|
|
en |
|
|
The University of Tokyo |
著者所属(英) |
|
|
|
en |
|
|
The University of Tokyo |
著者所属(英) |
|
|
|
en |
|
|
The University of Tokyo |
著者名 |
手塚, 尚哉
宮本, 大輔
明石, 邦夫
落合, 秀也
|
著者名(英) |
Naoya, Tezuka
Daisuke, Miyamoto
Kunio, Akashi
Hideya, Ochiai
|
論文抄録 |
|
|
内容記述タイプ |
Other |
|
内容記述 |
本研究ではランサムウェア被害からファイルのデータを保護するための一般的なシステムを提案する.このシステムはランサムウェアよるファイルの暗号化や上書きなどの振る舞いを監視し,対象ファイルのコンテンツデータをランサムウェアから隔離された領域に退避させる.OpenSSL を利用して暗号化を行うランサムウェアを対象として実装した Proof of Concept (PoC) では,eBPF を用いて暗号化関数をフックし,関数に渡される平文データをキャプチャすることでデータを保護する.評価の結果,PoC 実装は 1MB 以下のファイルは完全に保護できるが,それより大きいファイルについてはデータの一部が欠落する問題が確認された.追加実験により ring bufffer のサイズより小さいファイルは保護できるという結果が得られ,ring buffer からのデータ読み出しとファイルへの書き込みがボトルネックである可能性が示された. |
論文抄録(英) |
|
|
内容記述タイプ |
Other |
|
内容記述 |
In this study, we propose a general system for protecting file data from ransomware attacks. This system monitors ransomware behaviors such as file encryption and overwriting, and moves the content data of targeted files to an isolated area, safeguarding it from the ransomware. In the Proof of Concept (PoC) implementation, targeting ransomware that uses OpenSSL for encryption, we use eBPF to hook the encryption functions and capture the plaintext data passed to these functions to protect the data. The evaluation results show that the PoC implementation can fully protect files smaller than 1MB, but for larger files, there is an issue where some data may be lost. Additional experiments revealed that files smaller than the ring buffer size can be protected, suggesting that reading data from the ring buffer and writing to a file may be bottlenecks. |
書誌情報 |
コンピュータセキュリティシンポジウム2024論文集
p. 1117-1124,
発行日 2024-10-15
|
出版者 |
|
|
言語 |
ja |
|
出版者 |
情報処理学会 |