-
akirakanaoka
- 2651
- 0
- 0
- 12
マルウェアが内包するゼロデイ攻撃機能の検出可能性について
○神保千晶・村上洸介・藤井孝好・吉岡克成・四方順司・松本 勉(横浜国大)
![](https://tgfile.tg-static.com/static/web/img/placeholder.gif)
1件目 横浜国大 神保さんの「マルウェアが内包するゼロデイ攻撃機能の検出可能性について」 #icss16
2011-11-18 13:01:44![](https://tgfile.tg-static.com/static/web/img/placeholder.gif)
概要:動的にマルウェア解析をすることで未知の脆弱性を突く攻撃(ゼロデイ攻撃)の機能を検出できる可能性について検証。 #icss16
2011-11-18 13:02:27![](https://tgfile.tg-static.com/static/web/img/placeholder.gif)
ゼロデイ攻撃の検出を目的。シェルコードを実行するための攻撃対象脆弱性を利用する部分に注目。 #icss16
2011-11-18 13:06:53![](https://tgfile.tg-static.com/static/web/img/placeholder.gif)
ハニーポット等で収集されたマルウェア検体の動的解析。得られた通信データから、リモートエクスプロイト攻撃を検出。検出にはシェルコード共通の特徴に注目した動的検知手法を用いてシェルコードを含むフローを抽出。 #icss16
2011-11-18 13:09:45![](https://tgfile.tg-static.com/static/web/img/placeholder.gif)
検知されたフローをCPUエミュレータを用いて詳細分析。シェルコードのエントリーポイントに注目した脆弱性判定を行なう。 #icss16
2011-11-18 13:14:30バイトコードの出現頻度に着目したマルウェアの類似度判定および機能推定法
○大久保 諒・伊沢亮一・森井昌克(神戸大)・井上大介・中尾康二(NICT)
![](https://tgfile.tg-static.com/static/web/img/placeholder.gif)
2件目 神戸大 大久保さんの「バイトコードの出現頻度に着目したマルウェアの類似度判定および機能推定法」 #icss16
2011-11-18 13:33:10![](https://tgfile.tg-static.com/static/web/img/placeholder.gif)
概要: マルウェアの類似度判定。これまでの方式はバイナリコードに出現するバイト列をもとに類似度を求めていたが、ここではバイトコードの出現頻度に着目した類似度判定法を提案。 #icss16
2011-11-18 13:33:22![](https://tgfile.tg-static.com/static/web/img/placeholder.gif)
ごめん。類似度がメインではなく(実際類似度としては精度は高くない)、類似度モドキを用いた機能推定がメイン。 RT @akirakanaoka: 概要: マルウェアの類似度判定。(中略) バイトコードの出現頻度に着目した類似度判定法を提案。 #icss16
2011-11-18 13:39:26![](https://tgfile.tg-static.com/static/web/img/placeholder.gif)
バイトコードの出現頻度だけでも結構マルウェアの特徴を捉えていて、機能推定が出来るというアイデア。このアイデア自体はCSS2009で提案しているが、バイトコードの出現頻度ではなく、一定長の「特徴コード列」を用いている。これ以上の機能推定が出来そうという発表 #icss16
2011-11-18 13:43:58![](https://tgfile.tg-static.com/static/web/img/placeholder.gif)
なぜバイト列の出現頻度では類似度としては不適かというと、近いマルウェアの正規化相互相関値は高いが、その逆、遠いマルウェアとの値も高くなり場合が無視できない(多いわけではない)。しかし、機能推定ではこの、いわばフォールトポジティブを無視(相殺)できる。 #icss16
2011-11-18 13:50:18![](https://tgfile.tg-static.com/static/web/img/placeholder.gif)
ごめん。実は実装が出来ておらず、評価が与えられていないが、CSS2009での結果から「うまく」いくのでは、と考えている。 #icss16
2011-11-18 13:53:39オリジナルコードの一部を利用した自己書き換え型マルウェアに対する類似度判定法
○中村徳昭・伊沢亮一・森井昌克(神戸大)・井上大介・中尾康二(NICT)
![](https://tgfile.tg-static.com/static/web/img/placeholder.gif)
3件目 神戸大 中村さんの「オリジナルコードの一部を利用した自己書き換え型マルウェアに対する類似度判定法」 #icss16
2011-11-18 14:04:51![](https://tgfile.tg-static.com/static/web/img/placeholder.gif)
概要:パッキングをしたマルウェアに対し、マルウェア実行時のメモリ状態観測でオリジナルコードの特定・抽出を行なう方法がある。でも複数デコーダで多段復号をおこなうものはオリジナルコードのみを完全抽出することは難しい。(つづく) #icss16
2011-11-18 14:05:32![](https://tgfile.tg-static.com/static/web/img/placeholder.gif)
概要つづき:そこで、自己書き換え型マルウェア実行時に行なわれた命令列すべてをオリジナルコードの候補として、DB内サンプルコードと照合し、復号ルーチンを除いた類似度判定を行なう。 #icss16
2011-11-18 14:05:48![](https://tgfile.tg-static.com/static/web/img/placeholder.gif)
次は、如何にして多段パッキングしたコードを解析するかということ。まずは多段パッカーからでも部分的なコードを取得できて、かつ本質的なマルウェアのオリジナルコードを分離でき、それを用いて類似度判定ができるということ。 #icss16
2011-11-18 14:09:34![](https://tgfile.tg-static.com/static/web/img/placeholder.gif)
メインはオペコード列からなるベーシックブロック(BB)という考え方と、同じパッカーであれば復号ルーチンの相似が高く、そのBB(の並び)を特定できて、除去できるということ。また実験的にBBの並びはマルウェアの機能特徴を良く表し、類似度判定に用いられそうだということ。 #icss16
2011-11-18 14:25:05