- 著者
-
村上 洸介
織井 達憲
笠間 貴弘
吉岡 克成
松本 勉
- 出版者
- 情報処理学会
- 雑誌
- 研究報告コンピュータセキュリティ(CSEC) (ISSN:21862583)
- 巻号頁・発行日
- vol.2011, no.54, pp.1-8, 2011-03-03
近年,任意のユーザから実行ファイル等の投稿を受け付け,解析環境 (サンドボックス) 内で実行し,その挙動を解析して結果をユーザに提供する 「マルウェア動的解析オンラインサービス」 が人気を集めている.我々はこれまで,特別に設計したデコイを解析対象としてサービスに投稿することで,サンドボックスの情報を暴露させ,その情報を基に解析環境の検知・回避を行う攻撃に対して,当該サービスが脆弱であることを指摘している.特に,インターネット接続型のサンドボックスが用いる IP アドレスは,容易に変更することが難しい場合も多く,攻撃者に特定された場合にサービスの解析結果に重大な影響を及ぼす.そこで本稿では,サンドボックスをインターネットに接続する際に,検体を投稿するユーザのホストをプロキシとして用いることで,サンドボックスの IP アドレスを攻撃者から隠蔽する手法を提案する.また,提案手法の具体的な実現例について示し,考察を行う.Recently, the use of public Malware Sandbox Analysis Systems (public MSASs), which receive online submissions of possibly malicious files or URLs from an arbitrary user, analyze their behavior by executing or visiting them by a testing environment (i.e., a sandbox), and send analysis reports back to the user, has increased in popularity. In previous study, we have pointed out a vulnerability of public MSASs that the host information (i.e., Windows product key, MAC address, IP address, etc.) of a sandbox used in public MSAS can be easily disclosed by an attacker who submits a decoy sample dedicated to this purpose, and an attacker can detect public MSAS and conceal potential malicious behavior of malware by using the disclosed information. In particular, if the IP address used by an Internet-connected sandbox is identified by an attacker, then it causes serious influence on an analysis result of the service. In this paper, we propose a method that uses a service user as a proxy when the sandbox connects the internet for hiding its IP address. We also show an implementation example of the proposed method.