EMM, ISEC, SITE, ICSS, CSEC, SPT合同研究会@北海道工業大学:ICSS分
-
akirakanaoka
- 3026
- 0
- 0
- 10
-
- いいね!10
インターネット上に存在するサイバーセキュリティ情報のディスカバリ技術に関する検討
○高橋健志(NICT)・門林雄基(奈良先端大)・高野祐輝(NICT)
Akira Kanaoka (金岡 晃)
@akirakanaoka
1件目 NICT高橋さん「インターネット上に存在するサイバーセキュリティ情報のディスカバリ技術に関する検討」 #icss19
2012-07-19 13:27:59
Akira Kanaoka (金岡 晃)
@akirakanaoka
サイバーセキュリティに関する各種情報の共有実現のためのディスカバリ手法の提案。提案では情報をXMLベースで表し、検索・発見可能にする。プロトタイプを実装した。 #icss19
2012-07-19 13:29:17
Akira Kanaoka (金岡 晃)
@akirakanaoka
質疑:座長セコム島岡さんより「レジストリに入る内容が変わると、どうなる?」→「レジストリはXSLTによってRDF生成している。のでスキーマを変更された内容に対応させればO.K.」 #icss19
2012-07-19 13:30:41
Akira Kanaoka (金岡 晃)
@akirakanaoka
質疑:(質問者不明)Registryのスケーラビリティの担保は?DNSのようにツリー構造?→その点はまだ検討していないが、いい視点だと思う #icss19
2012-07-19 13:31:35テイントタグを用いた解析対象コードの識別方法
○川古谷裕平・岩村 誠・針生剛男(NTT)
Akira Kanaoka (金岡 晃)
@akirakanaoka
仮想マシン上でマルウェア実行して解析する場合、正規プログラムと解析対象プログラムの動作を識別する必要あり。通常はプロセスIDなどOSのセマンティックス情報。そこでテインとタグに基づいて解析対象プログラムを識別する手法を提案。ゲストOSとしてWinとLinで実験。#icss19
2012-07-19 13:35:01
Akira Kanaoka (金岡 晃)
@akirakanaoka
背景:マルウェアが持つ解析妨害機能を避けるために、監視痕跡が残らない方法が望ましい。なのでVMMで監視する。 #icss19
2012-07-19 13:37:22
Akira Kanaoka (金岡 晃)
@akirakanaoka
問題提起:ゲストOSのセマンティクス(プロセスID、スレッドIDなど)に頼ることなくマルウェアと正規プログラムの動作を正確に識別する #icss19
2012-07-19 13:38:44
Akira Kanaoka (金岡 晃)
@akirakanaoka
手法:テイントタグ(テイント解析)を用いて識別。テイント解析とは、動的にプログラムのデータフローを解析する手法。監視したいメモリ上の値に属性情報(テイントタグ)を付ける。タグはゲストOSから見えないシャドウメモリに保存。 #icss19
2012-07-19 13:41:34
Akira Kanaoka (金岡 晃)
@akirakanaoka
Implicit Flow。マルウェアコード生成する際、テイントの伝搬が切れてしまう。そこで解析対象コードが行う全書き込みに対して強制的にテイントタグを付与。 #icss19
2012-07-19 13:47:42
Akira Kanaoka (金岡 晃)
@akirakanaoka
タグ付与タイミング。メモリ上データに付与するのが通常。でもそれじゃメモリロードされてないプログラムには付与できない。のでディスクにもタグ付与。 #icss19
2012-07-19 13:48:37
Akira Kanaoka (金岡 晃)
@akirakanaoka
実装して実験。提案手法がゲストOSのセマンティクスに依存しないことを示す。そのため複数ゲストOSを用意し、同様手法で実行トレースが取れるかを示す。示された。 #icss19
2012-07-19 13:50:42
Akira Kanaoka (金岡 晃)
@akirakanaoka
質疑:テイントはどうやって降るの?→ 解析対象ファイルが最初にあって、それがかかわる入出力すべてに付与。 #icss19
2012-07-19 13:56:11
Yoshihiro Oyama/大山恵弘
@y_oyama
実況ありがとうございます.マルウェアがforkしたら何が起きるんだろう...taintが子プロセスのメモリにも付くんだろうか... RT @akirakanaoka: 2件目終わり。 #icss19
2012-07-19 14:01:31
Yoshihiro Oyama/大山恵弘
@y_oyama
テイントの実装も面倒だし,VMMからゲストOSをいじるのも面倒だし,二重に面倒な実装をこなしている感じ.RT @akirakanaoka: 仮想マシン上でマルウェア実行して解析する場合、正規プログラムと解析対象プログラムの動作を識別する必要あり。... #icss19
2012-07-19 14:03:53
kwky
@kwky
(タグつけ忘れたのでもう一回)@y_oyama @akirakanaoka forkされると子プロセスのコード自体は親プロセスと同じものなので、監視対象になるはずです。プロセス云々はOSのセマンティックスなので。#icss19
2012-07-19 14:11:51
Yoshihiro Oyama/大山恵弘
@y_oyama
そうですか.ところで,テイントを「打つ」という表現を興味深く感じました.点を打つ,杭を打つ,に近い感覚なのかなと RT @kwky:... @akirakanaoka forkされると子プロセスのコード自体は親プロセスと同じものなので、監視対象になるはずです。.. #icss19
2012-07-19 14:27:40モバイル通信における証明書管理ノード方式の効率の良い証明書収集
○與坂宜士・長瀬智行(弘前大)
Akira Kanaoka (金岡 晃)
@akirakanaoka
3件目、弘前大與坂さん「モバイル通信における証明書管理ノード方式の効率の良い証明書収集」 #icss19
2012-07-19 13:57:48