著者
岩村 誠 伊藤 光恭 村岡 洋一
出版者
一般社団法人電子情報通信学会
雑誌
電子情報通信学会技術研究報告. ICSS, 情報通信システムセキュリティ (ISSN:09135685)
巻号頁・発行日
vol.110, no.79, pp.19-24, 2010-06-10
被引用文献数
2

従来のアンパッキング手法に関する研究は,主にOEP(Original Entry Point)の特定に焦点を当てており,抽出すべきプログラムコード領域がどこからどこまでの範囲なのかについては,特に言及されてこなかった.本稿では,OEPを含む連続するコミット済みメモリ領域を抽出し,このバイト列における相対アドレス指定の分岐命令に着目することで,OEPを含むプログラムコード領域を識別する手法を提案する.これにより,マルウェアのプログラムコード領域全体を抽出できるだけでなく,他の動的リンクライブラリ等を抽出対象から取り除くことが可能となる.また,本提案手法における実験では,対象となるプログラムコード領域の前後に,他のプログラムコード領域を含むメモリイメージが接している場合にも,分岐区域数の期待値に着目することで,OEPを含むプログラムコード領域だけを識別できることを示した.
著者
岩村 誠 伊藤光恭 村岡 洋一
雑誌
情報処理学会論文誌 (ISSN:18827764)
巻号頁・発行日
vol.51, no.9, pp.1622-1632, 2010-09-15

本論文では,機械語命令列の類似度算出手法および自動マルウェア分類システムを提案する.機械語命令列の類似度算出に関する提案手法では,新たなマルウェアが出現した際に,過去に収集されたマルウェアとの近さを算出するとともに,過去のマルウェアと共通の命令列および実際に変更のあった箇所を推定可能にする.一方,昨今の多くのマルウェアはパッカによりそのプログラムコードが隠蔽されている.こうした課題に対しこれまで我々は,マルウェアのアンパッキング手法および逆アセンブル手法を開発してきた.本論文では,これらの手法に機械語命令列の類似度算出に関する提案手法を組み合わせ,マルウェア分類システムを構築した.実験では本システムを利用し,3グループのマルウェア検体を分類した.その結果,ハニーポットで収集した約3,000種類のマルウェアであっても,わずか数種類のマルウェアを解析することで,全体の75%程度のマルウェアの機能を把握できることが分かった.さらに,類似度の高いマルウェアに関しては,それらの差分を推定でき,変更箇所にのみ着目した解析が可能なことも分かった.また,本システムの分類結果とアンチウィルスソフトによる検出名の比較では,本システムが同一と判断したマルウェアに関して,アンチウィルスソフトでは異なる複数の検出名が確認される状況もあり,マルウェアに対する命名の難しさが明らかになった.
著者
岩村 誠 伊藤光恭 村岡 洋一
雑誌
情報処理学会論文誌 (ISSN:18827764)
巻号頁・発行日
vol.51, no.9, pp.1622-1632, 2010-09-15

本論文では,機械語命令列の類似度算出手法および自動マルウェア分類システムを提案する.機械語命令列の類似度算出に関する提案手法では,新たなマルウェアが出現した際に,過去に収集されたマルウェアとの近さを算出するとともに,過去のマルウェアと共通の命令列および実際に変更のあった箇所を推定可能にする.一方,昨今の多くのマルウェアはパッカによりそのプログラムコードが隠蔽されている.こうした課題に対しこれまで我々は,マルウェアのアンパッキング手法および逆アセンブル手法を開発してきた.本論文では,これらの手法に機械語命令列の類似度算出に関する提案手法を組み合わせ,マルウェア分類システムを構築した.実験では本システムを利用し,3グループのマルウェア検体を分類した.その結果,ハニーポットで収集した約3,000種類のマルウェアであっても,わずか数種類のマルウェアを解析することで,全体の75%程度のマルウェアの機能を把握できることが分かった.さらに,類似度の高いマルウェアに関しては,それらの差分を推定でき,変更箇所にのみ着目した解析が可能なことも分かった.また,本システムの分類結果とアンチウィルスソフトによる検出名の比較では,本システムが同一と判断したマルウェアに関して,アンチウィルスソフトでは異なる複数の検出名が確認される状況もあり,マルウェアに対する命名の難しさが明らかになった.We propose the method for calculating the similarity of machine code instructions and an automatic malware classification system based on the method. Our method enables malware analysts to calculate the distance of known malware to new one and estimate the part that are different. By the way, the machine code instructions of many recent malware are hidden by a packer. For solving the problem, we developed an unpacker and a disassembler. In this paper, we build the automatic malware classification system with a combination of the unpacker, the disassembler and the proposal method for the similarity of machine code instructions. In the experiment, we classified 3 groups of malware. The experiment results show that we can understand 75% of the whole malware functions by analyzing several different types of malware. For the similar pair of malware, the system could estimate the difference, i.e., we could analyze the malware focused on the different part. In the comparison with our system results and the names by anti-virus software, the problems of naming malware emerged, e.g., anti-virus software indicated different names about the malware that our system identified as the same malware.
著者
小澤 真佐也 エリック チェン 伊藤 光恭 羽鳥 光俊
出版者
一般社団法人電子情報通信学会
雑誌
電子情報通信学会技術研究報告. ISEC, 情報セキュリティ (ISSN:09135685)
巻号頁・発行日
vol.107, no.397, pp.115-121, 2007-12-12

近年利用者が増加してきているVoIPネットワークに対する脅威として,いろいろな攻撃手法が存在する.その中にSIPプロトコルスタックが実装されたネットワーク機器を標的としたFuzzing攻撃という手法がある.Fuzzing攻撃とは,標的の例外処理の脆弱性を狙い,標準仕様で定義されていない値などが含まれたSIPメッセージを送信することによって標的をクラッシュさせる攻撃である.本論文では,様々なFuzzing攻撃の手法を網羅的に想定し,その想定した手法に基づいた検知ルールを策定する.また,様々なFuzzing攻撃に対しこれらのルールでの検知率を調べ,その有効性を確認した.