動的解析を利用したPDFマルウェア解析システムの実装と評価 Development and evaluation of PDF malware analysis system using dynamic analysis

この論文をさがす

著者

抄録

近年、Adobe Readerに複数のゼロデイが存在したこともあり、PDF形式のマルウェアによる被害が大きな問題となっている。PDFマルウェアには難読化されたJavaScriptが組み込まれており、その難読化の多様さからアンチウイルスソフトによる検知率が非常に低い結果となっている。これらのインシデントを詳細に把握するため、著者らは難読化が施されたJavaScriptをエミュレーションにより解析するシステムを開発した。本稿では開発システムを改良し、PDFマルウェア内に組み込まれたJavaScriptを解析するシステムを提案する。提案システムはPDFファイルからJavaScriptならびにオブジェクト情報を自動抽出し、JavaScript for Acrobat APIを模擬したJavaScript Interpreter環境にて抽出したJavaScriptをエミュレートすることで動的解析を行う。本解析により難読化を解除した最終的な悪意のあるJavaScriptコードを取得し、どのような脆弱性を利用しているか判別する。また、難読化を解除したコードには端末を制御するためのshellcodeが埋め込まれている。そこで提案システムの解析結果からshellcode部を特定し、エミュレーションによりshellcodeの内容まで解析する手法を考察する。

Several Adobe Reader zero-day vulnerabilities have been discovered recently, and the threat of PDF malware continues to grow. The detection of PDF malware by antivirus software has become a challenge because malicious Javascript code embedded in the PDF uses obfuscation techniques. Reliable detection has been difficult. We already created a system that can analyze obfuscated Javascript through the use of emulation. In this paper, we are proposing new enhancements to the existing system that would allow analysis of embedded Javascript in PDF malware file. The new system will also have the capability to automatically extract object information while emulating the obfuscated JavaScript using JavaScript for Acrobat API. Through this analysis, we can better decode the obfuscated JavaScript and determine what type of vulnerability was exploited. This new system will also try to identify the shellcode component and analyze its behavior.

収録刊行物

  • 電子情報通信学会技術研究報告. ICSS, 情報通信システムセキュリティ : IEICE technical report

    電子情報通信学会技術研究報告. ICSS, 情報通信システムセキュリティ : IEICE technical report 110(475), 47-52, 2011-03-18

    一般社団法人電子情報通信学会

参考文献:  11件中 1-11件 を表示

各種コード

  • NII論文ID(NAID)
    110008688682
  • NII書誌ID(NCID)
    AA12405413
  • 本文言語コード
    JPN
  • 資料種別
    ART
  • ISSN
    09135685
  • NDL 記事登録ID
    11046856
  • NDL 雑誌分類
    ZN33(科学技術--電気工学・電気機械工業--電子工学・電気通信)
  • NDL 請求記号
    Z16-940
  • データ提供元
    CJP書誌  NDL  NII-ELS 
ページトップへ