Windows APIフックの通信監視による攻撃コードを含むPDFファイルの検知

この論文にアクセスする

この論文をさがす

著者

抄録

ドライブ・バイ・ダウンロード攻撃では,端末を悪性のWebサイトへ誘導してマルウェアに感染させる際にPDF閲覧ソフトの脆弱性を悪用する.閲覧時に脆弱性を突いてマルウェアをダウンロードし実行する攻撃コードを組み込んだPDFファイルが攻撃に使用される.攻撃コードはアンチウイルスソフトに検知されないように難読化されていることがあり,詳細な検査が求められるが解析に時間をかけると業務が滞る.そこで,PDFファイルの善悪を短時間で判断するために,閲覧時に発生する通信を監視するモジュールを提案する.通信に使用するWindows APIをフックし,攻撃コードがマルウェア配布サイトへアクセスする動作を検知する.PDF通信監視モジュールを試作し,D3M(Drive-by-Download Data by Marionette)データセットから取り出したPDF検体を用いて評価した.

収録刊行物

  • 全国大会講演論文集  

    全国大会講演論文集 2013(1), 551-553, 2013-03-06 

    一般社団法人情報処理学会

キーワード

各種コード

  • NII論文ID(NAID)
    110009580826
  • NII書誌ID(NCID)
    AN00349328
  • 本文言語コード
    JPN
  • データ提供元
ページトップへ