Item type |
Symposium(1) |
公開日 |
2024-10-15 |
タイトル |
|
|
タイトル |
ファイル操作ログの取得による永続化マルウェアの追跡手法 |
タイトル |
|
|
言語 |
en |
|
タイトル |
Tracking Method for Persistent Malware by Capturing File Operation Logs |
言語 |
|
|
言語 |
jpn |
キーワード |
|
|
主題Scheme |
Other |
|
主題 |
マルウェア,永続化,スタートアップフォルダ,プロセス追跡 |
資源タイプ |
|
|
資源タイプ識別子 |
http://purl.org/coar/resource_type/c_5794 |
|
資源タイプ |
conference paper |
著者所属 |
|
|
|
立命館大学 |
著者所属 |
|
|
|
日本電気株式会社 |
著者所属 |
|
|
|
日本電気株式会社 |
著者所属 |
|
|
|
日本電気株式会社 |
著者所属 |
|
|
|
立命館大学 |
著者所属(英) |
|
|
|
en |
|
|
Ritsumeikan University |
著者所属(英) |
|
|
|
en |
|
|
NEC Corporation |
著者所属(英) |
|
|
|
en |
|
|
NEC Corporation |
著者所属(英) |
|
|
|
en |
|
|
NEC Corporation |
著者所属(英) |
|
|
|
en |
|
|
Ritsumeikan University |
著者名 |
荒木, 辰哉
高橋, 佑典
木津, 由也
細見, 格
毛利, 公一
|
著者名(英) |
Tatsuya, Araki
Yusuke, Takahashi
Yoshiya, Kizu
Itaru, Hosomi
Koich, Mouri
|
論文抄録 |
|
|
内容記述タイプ |
Other |
|
内容記述 |
マルウェアが引き起こすインシデントへの対応では,マルウェアの影響範囲を明らかにするために,自動化されたログ解析ツールを用いて端末に残されたログ同士を関連付けながら解析することが多い.既存のログ解析ツールでは,一般的にマルウェアの影響範囲をプロセス間の親子関係で不審なプロセスのプロセス生成の流れを遡ることができる.しかし,手口が高度化したマルウェアの中にはOSの自動実行機能を悪用するものが存在し,再起動によりプロセス間の親子関係が途切れてしまう.既存のログ解析ツールは自動実行機能によるプロセス生成の流れを追跡する機能を持たないため,解析者がある程度手作業で探る必要があり,困難で手間がかかる作業が求められる.本論文では自動実行機能の中でも,指定のフォルダに対しファイルを配置するだけで利用できるスタートアップフォルダに焦点を当て,プロセスのファイル操作ログを用いることで自動実行機能に登録したプロセスから再起動後に生成されたプロセスを自動で追跡する手法について述べる.これによって,スタートアップフォルダによるプロセス生成の流れを容易に追跡可能にした. |
論文抄録(英) |
|
|
内容記述タイプ |
Other |
|
内容記述 |
In the event of malware incidents, automated log analysis tools are employed to ascertain the impact of the malware in question by analyzing system logs. Most tools employ a method of tracing the creation flow of suspicious processes, utilizing parent-child relationships. However, some malware exploits the operating system's auto-execution function, thereby breaking these relationships by restarting processes. The current tools cannot trace this flow, necessitating manual, time-consuming analysis. This paper focuses on the startup folder, which allows process tracking by placing files in a specific folder. We propose a method to automatically track processes created after a restart using file operation logs, thereby simplifying the process tracking in the startup folder. |
書誌情報 |
コンピュータセキュリティシンポジウム2024論文集
p. 1888-1895,
発行日 2024-10-15
|
出版者 |
|
|
言語 |
ja |
|
出版者 |
情報処理学会 |