@inproceedings{oai:ipsj.ixsq.nii.ac.jp:00074782,
 author = {笠間, 貴弘 and 吉岡, 克成 and 松本, 勉 and 山形, 昌也 and 衛藤, 将史 and 中尾, 康二 and Takahiro, Kasama and Katsunari, Yoshioka and Tsutomu, Matsumoto and Masaya, Yamagata and Masashi, Eto and Koji, Nakao},
 book = {コンピュータセキュリティシンポジウム2009　(CSS2009) 論文集},
 month = {Oct},
 note = {近年のマルウェアは C&Cサーバ等を通じて攻撃者に制御されるものが多いため，マルウェアを解析環境内で実行してその挙動を観測・分析するマルウェア動的解析では，これらのサーバの挙動に注目し，その変化が解析対象のマルウェアの挙動にどのような影響を与えるかを分析する必要がある．しかし，解析環境内で実際にマルウェアを長時間実行して解析を行うことは，解析時間の増加と，解析中のマルウェアが解析環境外部に攻撃を行うリスクの増加を意味する．そこで本稿では，マルウェアがインターネット上のサーバと行う通信を模擬する疑似クライアントを，動的解析結果から自動生成し，これらをインターネットに接続した別マシン上で並列動作させることで，マルウェアに対するサーバからの応答を継続的かつ効率的に収集する方法を提案する．また，収集された応答を解析環境内にフィードバックすることでサーバの挙動の変化に応じたマルウェアの挙動を観測可能とする．, Many recent malware change their behaviors according to those of remote servers they interact, such asCommand and Control (C&C) servers and file servers. Thus, it is important to carefully observe the changes ofbehaviors of these servers when malware sandbox analysis, in which malware sample is actually executed in a testingenvironment (i.e. sandbox) to observe its behavior, is conducted. However, keeping the malware active in anInternet-connected sandbox for a long time to observe its interactions with these servers involves a high risk that theirattack may exit the sandbox as well as a high operational cost. In this paper, we propose a new malware sandboxanalysis method in which we utilize a dummy client that interacts with the servers instead of a malware sample. Thedummy client is automatically created from traffic log observed by sandbox analysis. Server responses collected by thedummy clients are then fed to the executed malware in the sandbox to observe its corresponding reactions.},
 pages = {1--6},
 publisher = {情報処理学会},
 title = {疑似クライアントを用いたサーバ応答蓄積型マルウェア動的解析システム},
 volume = {2009},
 year = {2011}
}