- 著者
-
笠間 貴弘
織井達憲
吉岡 克成
松本 勉
- 出版者
- 情報処理学会
- 雑誌
- 情報処理学会論文誌 (ISSN:18827764)
- 巻号頁・発行日
- vol.52, no.9, pp.2761-2774, 2011-09-15
近年,任意のユーザから実行ファイルなどの検体の提出を受け付け,解析環境(サンドボックス)内で実行し,その挙動を解析して結果をユーザに提供する「公開型マルウェア動的解析システム」が人気を集めている.我々はこれまで,特別に設計された検体(デコイ)をシステムに提出することで,サンドボックスの情報を暴露させ,その情報を基にサンドボックスの検知を行う攻撃手法として「デコイ挿入攻撃」を提案し,実証実験により,サンドボックスのIPアドレスを用いた検知が実運用中の15個のシステムに対して有効であることを示している.しかし,IPアドレス以外の情報を用いた検知については未検証だった.当該脆弱性を正確に把握し適切な対策を導出するため,本稿では,まず,IPアドレスを含む16種類のサンドボックス情報に着目し,これらの情報が,取得安定性や個別性といった,サンドボックス検知に有効な性質を有しているかを実証実験により評価する.実験の結果,Windowsプロダクトキー,MACアドレス,OSインストール日時といったサンドボックス情報は,検知対策を行っていると思われる特定の例外を除いて,検知に利用できることが分かった.さらに,ネットワークを介さずに解析レポート経由でサンドボックス情報を暴露する方法も有効であり,我々のこれまでの検討では攻撃対象となりえなかった,隔離型サンドボックスも攻撃対象となりうることが確認された.このことから,公開型マルウェア動的解析システムにおいては,IPアドレス以外のサンドボックス情報による検知への対策や,解析レポート経由による暴露への対策などを含めた,総合的なデコイ挿入攻撃への対策が必要であることが分かった.Recently, the use of public Malware Sandbox Analysis Systems (public MSASs) which receive online submissions of possibly malicious files or URLs from an arbitrary user, analyze their behavior by executing or visiting them by a testing environment (i.e., a sandbox), and send analysis reports back to the user, has increased in popularity. In previous study, we have pointed out a vulnerability of public MSASs against decoy injection attack, in which an attacker detects the sandbox based on its IP address which can be obtained by submitting a decoy sample designed for this purpose. However, we did not further investigate the possibility of detection using sandbox information other than its IP address. In this paper, in order to better understand the vulnerability and develop an effective countermeasure, we evaluate 16 different kinds of characteristics in the sandbox in terms of their accessibility and uniqueness for sandbox detection. As a result of experiments with real public MSASs in operation, we found that characteristic information such as Windows' product key, MAC address, and system install time can be utilized for sandbox detection, except for particular systems which appeared to have deployed a countermeasure. Moreover, besides network-based disclosure, we show that such characteristic information of the sandbox can be disclosed via an analysis report provided to the user, which means that the decoy injection attack can be performed against the sandbox isolated from the real Internet. Thus, our study confirmed the broad applicability of the decoy injection attack and also necessity of comprehensive countermeasures.