WEKO3
アイテム
マルウェアの耐解析機能を逆用した活動抑止手法の提案
https://ipsj.ixsq.nii.ac.jp/records/66465
https://ipsj.ixsq.nii.ac.jp/records/664658c89bff1-b450-4a28-a0da-aa52f56a9ba6
| 名前 / ファイル | ライセンス | アクション |
|---|---|---|
IPSJ-JNL5009016.pdf (340.7 kB)
|
Copyright (c) 2009 by the Information Processing Society of Japan
|
|
| オープンアクセス | ||
| Item type | Journal(1) | |||||||
|---|---|---|---|---|---|---|---|---|
| 公開日 | 2009-09-15 | |||||||
| タイトル | ||||||||
| タイトル | マルウェアの耐解析機能を逆用した活動抑止手法の提案 | |||||||
| タイトル | ||||||||
| 言語 | en | |||||||
| タイトル | Proposal of Malware Activity Control Method Turning Anti-analysis Function to Advantage | |||||||
| 言語 | ||||||||
| 言語 | jpn | |||||||
| キーワード | ||||||||
| 主題Scheme | Other | |||||||
| 主題 | 特集:社会を活性化するコンピュータセキュリティ技術 | |||||||
| 資源タイプ | ||||||||
| 資源タイプ識別子 | http://purl.org/coar/resource_type/c_6501 | |||||||
| 資源タイプ | journal article | |||||||
| 著者所属 | ||||||||
| 株式会社ラックサイバーリスク総合研究所 | ||||||||
| 著者所属 | ||||||||
| 株式会社ラックサイバーリスク総合研究所 | ||||||||
| 著者所属 | ||||||||
| 中央大学 | ||||||||
| 著者所属 | ||||||||
| 中央大学 | ||||||||
| 著者所属(英) | ||||||||
| en | ||||||||
| Risk Research Institute of Cyber Space, Little eArth Corporation Co., Ltd. | ||||||||
| 著者所属(英) | ||||||||
| en | ||||||||
| Risk Research Institute of Cyber Space, Little eArth Corporation Co., Ltd. | ||||||||
| 著者所属(英) | ||||||||
| en | ||||||||
| Chuo University | ||||||||
| 著者所属(英) | ||||||||
| en | ||||||||
| Chuo University | ||||||||
| 著者名 |
松木, 隆宏
新井, 悠
寺田, 真敏
土居, 範久
× 松木, 隆宏 新井, 悠 寺田, 真敏 土居, 範久
|
|||||||
| 著者名(英) |
Takahiro, Matsuki
Yuu, Arai
Masato, Terada
Norihisa, Doi
× Takahiro, Matsuki Yuu, Arai Masato, Terada Norihisa, Doi
|
|||||||
| 論文抄録 | ||||||||
| 内容記述タイプ | Other | |||||||
| 内容記述 | 近年,ウイルス対策ソフトウェアによる検知やパターンファイルの作成に必要となる解析を妨害する機能を有したマルウェアが出現している.特に,ボットの場合にはC&C(コマンド&コントロール)サーバの情報や指令コマンド等の解析作業を妨害するため,解析作業の兆候を検知した場合に,自己の動作を意図的に停止するマルウェアの存在も報告されている.このような耐解析機能は,ウイルス対策ベンダやセキュリティ研究者らによるマルウェアの解析時間を増加させ,結果としてマルウェアによるユーザの被害の拡大につながってしまうことになる.本論文では,耐解析機能を備えたマルウェアによるユーザの被害を低減させることを目的とした新しい対策アプローチを提案する.提案方式は,マルウェアの耐解析機能が動作した際に自己の動作を停止する性質に着目し,これを逆用してマルウェアの動作を抑止する方式である.まず,提案方式の実現例として,耐解析機能の1つであるデバッガ検知機能を逆用し,マルウェアの活動を抑止する手法を示す.次に,デバッガ検知機能を逆用するプロトタイプシステムを実装し,ハニーポットで収集したマルウェア検体を用いた評価を通じて,提案方式の有効性を示す. | |||||||
| 論文抄録(英) | ||||||||
| 内容記述タイプ | Other | |||||||
| 内容記述 | In recent years, the malware which hinder antivirus program and obstruct analysis emerge in the wild. Particularly, BOTs make it hard to gather C&C Server's information and analyze their traffic. It is reported that many of them have self-destruction feature against reverse engineering. To analyze these types of malware is cumbersome and time consuming so it makes announcement delay of antivirus vendor's advisories. In this paper, proposes a malware interruption system turning the characteristic to our advantage. First of all, a malware interruption method that beneficially utilizes one of the anti-analysis functions, debugger detection, as an actual example of the proposal. Then the system beneficially utilizing debugger detection is implemented to show efficiency of the proposed method through evaluations using samples collected with honeypot. | |||||||
| 書誌レコードID | ||||||||
| 収録物識別子タイプ | NCID | |||||||
| 収録物識別子 | AN00116647 | |||||||
| 書誌情報 |
情報処理学会論文誌 巻 50, 号 9, p. 2118-2126, 発行日 2009-09-15 |
|||||||
| ISSN | ||||||||
| 収録物識別子タイプ | ISSN | |||||||
| 収録物識別子 | 1882-7764 | |||||||
