BinGrep：制御フローグラフの比較を用いた関数の検索によるマルウェア解析の効率化の提案

羽田, 大樹, 後藤, 厚宏

近年，日本においてもAPT攻撃による大規模な被害を経験し，インシデント対応の重要性が再認識された．インシデントにおいてマルウェアの亜種が共通的に使用された場合，過去に解析したマルウェアの関数に相当するコードの場所を特定できると速やかに解析が行える．このコード特定のために，BinDiffに代表されるパッチ解析用のコード「比較」ツールを利用できるが，貪欲アルゴリズムにより対応付けを連鎖的に間違えてしまう場合や，間違えた場合に利用できる情報がないという課題があった．マルウェア解析に適したコード比較アルゴリズムとして，関数における制御フローグラフの編集距離と命令列の最長共通部分列を用いて関数を「検索」するBinGrepを提案する．BinGrepは，GNU bashとbinutilsでは11,049個の関数のうち90.3%について正解を出力できた．実際にAPT攻撃で使用されたマルウェアで評価したところ，Emdiviの11検体の評価では，インシデント対応において重要であった27個の関数の85%について正解を出力できた．また，EmdiviとPlugXのそれぞれ2検体の全関数について評価を実施し，マルウェア解析において提案方式が有効であることを示した．

In recent years, many Japanese organizations suffered a large-scale damage caused by APT activities. Prompt and appropriate incident responses are indispensable. When resemble malware is used in some attacks commonly, the analyst can proceed to static analysis immediately specifying the position of function previously analyzed. We can use code “comparison” tools such as BinDiff to specify this program code, but there are some problems that the method mistakes the matching continuously because of the greedy algorithm, and there are no information against such functions. As the algorithm which is suitable for malware analysis, we propose BinGrep method that “searches” for function using both the edit distance of control flow graph of functions and longest common substrings of instructions. We evaluated that 90.3% of the 11,049 functions of the GNU bash and binutils as normal program and 85% of the 27 functions of Emdivi as malware can be output correctly. Furthermore, we evaluated all functions of two samples of Emdivi and PlugX, and show proposal method is available for malware analysis.

BinGrep：制御フローグラフの比較を用いた関数の検索によるマルウェア解析の効率化の提案

書誌事項

この論文をさがす

抄録

収録刊行物

キーワード

詳細情報詳細情報について

書き出し

問題の指摘

BinGrep：制御フローグラフの比較を用いた関数の検索によるマルウェア解析の効率化の提案

書誌事項

この論文をさがす

抄録

収録刊行物

キーワード

詳細情報 詳細情報について

書き出し

問題の指摘

参加プロジェクトリスト

詳細情報詳細情報について