ファイル構造検査による悪性MS文書ファイルの検知

IPSJ Open Access

Bibliographic Information

Other Title
  • Methods to Detect Malicious MS Document File Using File Structure Inspection

Search this article

Abstract

今日,標的型攻撃は増加傾向にあり,多くの組織にとって真の脅威となってきている.標的型攻撃には様々な手法があるが,受信者の興味を引くメールにマルウェアを添付する方式が最も一般的である.攻撃を秘匿するため,実行ファイルが文書ファイルに埋め込まれた場合,一般に,受信者には通常の文書ファイルと区別する手段がない.我々が実行ファイルが埋め込まれた悪性MS文書ファイル(Rich TextまたはCompound File Binary)を分析したところ,多くの悪性MS文書ファイルで通常のMS文書ファイルとファイル構造に違いがあることが分かった.本論文では,悪性MS文書ファイルの検知手法として,幾種かのファイル構造検査をすることを提案する.提案手法の有効性を検証する実験を行った結果,98.5%の悪性MS文書ファイルを検知することができた.ファイル構造は攻撃者の意志で変更させることが困難であることから,提案するRich TextおよびCFB形式の悪性文書ファイルの検知手法は長期にわたり有効である.

Today, the number of targeted attacks is increasing, and targeted attacks are becoming a serious threat for many organizations. There are various kinds of targeted attacks. Above all, a method to attach malware to interesting e-mail for the recipient is the most popular. In general, there is no way to distinguish a malicious document file from a normal one, because an executable file is embedded in a document file to hide oneself during an attack. We analyzed malicious MS document (Rich Text or Compound File Binary) files containing an executable file. Then, we found that there are differences in file structure between normal MS document files and malicious ones. In this paper, we propose detection methods of malicious MS document files using file structure inspection. The experimental result shows the effectiveness of the methods. The methods could detect 98.5% of the malicious MS document files in the experiment. The methods are effective in the detection of malicious Rich Text files and malicious CFB files over a long time. Because the attacker is almost not able to alter a file structure.

Journal

Related Projects

See more

Keywords

Details 詳細情報について

Report a problem

Back to top