Windows APIフックの通信監視による攻撃コードを含むPDFファイルの検知
この論文をさがす
抄録
ドライブ・バイ・ダウンロード攻撃では,端末を悪性のWebサイトへ誘導してマルウェアに感染させる際にPDF閲覧ソフトの脆弱性を悪用する.閲覧時に脆弱性を突いてマルウェアをダウンロードし実行する攻撃コードを組み込んだPDFファイルが攻撃に使用される.攻撃コードはアンチウイルスソフトに検知されないように難読化されていることがあり,詳細な検査が求められるが解析に時間をかけると業務が滞る.そこで,PDFファイルの善悪を短時間で判断するために,閲覧時に発生する通信を監視するモジュールを提案する.通信に使用するWindows APIをフックし,攻撃コードがマルウェア配布サイトへアクセスする動作を検知する.PDF通信監視モジュールを試作し,D3M(Drive-by-Download Data by Marionette)データセットから取り出したPDF検体を用いて評価した.
収録刊行物
-
- 第75回全国大会講演論文集
-
第75回全国大会講演論文集 2013 (1), 551-552, 2013-03-06
一般社団法人情報処理学会
- Tweet
キーワード
詳細情報 詳細情報について
-
- CRID
- 1050855522072659200
-
- NII論文ID
- 110009580826
-
- NII書誌ID
- AN00349328
-
- Web Site
- http://id.nii.ac.jp/1001/00111726/
-
- 本文言語コード
- ja
-
- 資料種別
- conference paper
-
- データソース種別
-
- IRDB
- CiNii Articles
