インターネット接続型動的解析におけるIPアドレス使用法に関する考察

1 0 0 0 インターネット接続型動的解析におけるIPアドレス使用法に関する考察

著者: 細渕嘉彦笠間貴弘吉岡克成松本勉
出版者: 情報処理学会
雑誌: 研究報告マルチメディア通信と分散処理(DPS) (ISSN:09196072)
巻号頁・発行日: vol.2010, no.38, pp.1-7, 2010-02-25

本稿では,マルウェアがアクセスする C&C サーバやダウンロードサーバ (以降,攻撃者サーバと呼ぶ) において,クライアント側の IP アドレスの使用頻度に基づくアクセス制御が行われていることを実際の攻撃者サーバへの接続実験により確認する.ハニーポットにより収集した 441 体のマルウェアが実際にアクセスする攻撃者サーバに対して接続実験を行った結果,使用頻度の高い IP アドレスを用いたクライアントからの接続要求に対して,一定期間アクセスをブロックするサーバの存在を確認した.このことから,インターネット接続型の動的解析では,毎回 IP アドレスを変更して解析を行うことが望ましいといえる.We carry out an experiment to investigate an access control capability of C&C servers and download servers with which malware communicate. In the experiment using 441 malware samples captured in the wild, we found two servers that indeed have a capability to block accesses from a client with a frequently used IP address. Consequently, we conclude that it is preferable to change an IP address of a sandbox when analyzing malware that communicate with such servers.

2012-11-13 15:44:44
1 + 0 Twitter

https://ci.nii.ac.jp/naid/110008004627

言及状況

Twitter (1 users, 1 posts, 0 favorites)

@ntsuji Binaryでのmalware解析で接続するURLやIPを特定して、それをreputation DB化する動きと推測してます。CiNiiに文献が有りますよー http://t.co/6Z4wqMAC

収集済み URL リスト

https://ci.nii.ac.jp/naid/110008004627 (1)