重要情報へのファイルアクセス失敗挙動に基づく情報探索型マルウェア検知手法

田辺, 瑠偉, 笠間, 貴弘, 吉岡, 克成, 松本, 勉

近年，感染先マシン内に保存されている重要情報を狙うマルウェアによる被害が増加しており，対策が求められている．マルウェア作成者は，盗み出す情報が多いほどより大きな利益を生み出すことができるため，多様な情報の収集を試みる．しかし，マルウェアがアクセスする情報が感染先マシン内に保存されているとは限らず，ファイルアクセスに失敗する場合がある．そこで本稿では，重要情報の探索時に発生するファイルアクセス失敗挙動に基づく情報探索型マルウェア検知手法を提案する．一般に，ファイルアクセス失敗挙動は正規プロセスからも発生するため，マルウェア検体を動的解析する際にファイルアクセスログを収集し，重要情報へのファイルアクセス失敗挙動を調査することで，情報探索型マルウェアを検知するためのシグネチャを作成する．評価実験では，情報漏洩を行うことが予想される実マルウェア検体に対して提案手法を適用し，情報探索型マルウェアを検知できることを示す．また，正規ユーザが利用しているマシンに対して提案手法を適用したところ，正規ユーザのログとマルウェアのファイルアクセス失敗ログには違いが見られ，情報漏洩の有無を判断する閾値を調整することで検知能力を保ったまま誤検知を十分に小さくできることを確認した．

In recent years, malware that steal credential information at target host have become a great threat and therefore countermeasures are needed. The more information the malware steals the more benefit the malware author earns and so malware tries to steal various types of information. However, credential information that the malware steals does not always exist at target host and that file access failure occurs. In this paper, we propose a method to detect credential search malware by focusing on file access failure to credential information. In general, file access failure also occurs from benign processes. Our method generates signatures to detect credential search malware using malware sandbox analysis, in which malware sample's file access log is monitored and file access failure to credential information are investigated. Based on the result of experiments with real malware samples which are known as information stealer, we show our method can detect malware that search credential information. And by applying our method to hosts of benign user, we show the difference between file access failure of benign user and malware.

重要情報へのファイルアクセス失敗挙動に基づく情報探索型マルウェア検知手法

書誌事項

この論文をさがす

抄録

収録刊行物

キーワード

詳細情報詳細情報について

書き出し

問題の指摘

重要情報へのファイルアクセス失敗挙動に基づく情報探索型マルウェア検知手法

書誌事項

この論文をさがす

抄録

収録刊行物

キーワード

詳細情報 詳細情報について

書き出し

問題の指摘

参加プロジェクトリスト

詳細情報詳細情報について