文書型マルウェアに対するエントロピーとエミュレーションを用いたシェルコード特定方法
書誌事項
- タイトル別名
-
- The Method for Shellcode Extraction from Malicious Document File Using Entropy and Emulation
この論文をさがす
抄録
アプリケーションの脆弱性を攻撃する文書型マルウェアを動的に解析するためには,該当する脆弱性を持つアプリケーションを準備する必要がある.しかし脆弱性の種類を特定することは困難な場合があり,またアプリケーションが入手できない可能性もある.一方,脆弱性を攻撃した後に動作する不正なプログラム(シェルコード)は脆弱性やアプリケーションに関係なく独立して動作することが多い.そこで本研究では脆弱性の種類を特定することなく,またアプリケーションがなくても文書型マルウェアの動的解析が行えるようにするために,文書型マルウェアに含まれるシェルコードを特定して実行する方法を提案する.提案手法では文書ファイルのエントロピーから算出したシェルコードの候補の優先順位に基づいて,文書ファイル内のバイト列をエミュレータで実行し,シェルコードの特徴を観測することで特定を行う.我々が作成したシステムに88種類の文書型マルウェアを投入した結果,74種類でシェルコードを特定できた.また74種類のシェルコードを動的解析したところ,51種類でマルウェアとしての動作を確認できた.
The following document is an analysis of malicious documents which exploit vulnerability in applications dynamically, the application must have appropriate vulnerability. Therefore, we have to analyze the document statically to identify the type of vulnerability. Moreover it is difficult to identify unknown vulnerability, and the application may not be available even if we could identify the type of vulnerability. However malicious code which is executed after exploiting does not have relation with vulnerability in many cases. In this paper, we propose a method to extract and execute shellcode for analyzing malicious documents without identification of vulnerability and application. Our system extracts shellcode by executing byte sequence to observe the features in document file in order of priority decided on the basis of entropy. When 88 malware samples were analyzed by our system, it extracted shellcode from 74 samples. And 51 of extracted shellcodes behaved as malicious software in dynamic analysis.
収録刊行物
-
- 情報処理学会論文誌
-
情報処理学会論文誌 56 (3), 892-902, 2015-03-15
一般社団法人情報処理学会
- Tweet
詳細情報 詳細情報について
-
- CRID
- 1050845762835862016
-
- NII論文ID
- 110009884082
-
- NII書誌ID
- AN00116647
-
- ISSN
- 18827764
-
- Web Site
- http://id.nii.ac.jp/1001/00122964/
-
- 本文言語コード
- ja
-
- 資料種別
- journal article
-
- データソース種別
-
- IRDB
- CiNii Articles
