動的解析を利用したPDFマルウェア解析システムの実装と評価
スポンサーリンク
概要
- 論文の詳細を見る
近年、Adobe Readerに複数のゼロデイが存在したこともあり、PDF形式のマルウェアによる被害が大きな問題となっている。PDFマルウェアには難読化されたJavaScriptが組み込まれており、その難読化の多様さからアンチウイルスソフトによる検知率が非常に低い結果となっている。これらのインシデントを詳細に把握するため、著者らは難読化が施されたJavaScriptをエミュレーションにより解析するシステムを開発した。本稿では開発システムを改良し、PDFマルウェア内に組み込まれたJavaScriptを解析するシステムを提案する。提案システムはPDFファイルからJavaScriptならびにオブジェクト情報を自動抽出し、JavaScript for Acrobat APIを模擬したJavaScript Interpreter環境にて抽出したJavaScriptをエミュレートすることで動的解析を行う。本解析により難読化を解除した最終的な悪意のあるJavaScriptコードを取得し、どのような脆弱性を利用しているか判別する。また、難読化を解除したコードには端末を制御するためのshellcodeが埋め込まれている。そこで提案システムの解析結果からshellcode部を特定し、エミュレーションによりshellcodeの内容まで解析する手法を考察する。
- 2011-03-18
著者
-
星澤 裕二
株式会社セキュアブレイン
-
神薗 雅紀
株式会社セキュアブレイン
-
神薗 雅紀
株式会社セキュアブレイン先端技術研究所
-
西田 雅太
株式会社セキュアブレイン先端技術研究所
-
星澤 裕二
株式会社セキュアブレイン先端技術研究所|横浜国立大学
関連論文
- 自律型クライアントハニーポットの提案(高度インシデント分析を支える要素技術,インターネットセキュリティ,一般)
- 自律型クライアントハニーポットの提案(高度インシデント分析を支える要素技術,インターネットセキュリティ,一般)
- ウイルス仮想感染モニタリングシステム
- マルウェアの動作条件の抽出
- B-6-83 マルウェア対策ユーザサポートシステムの検討(B-6.ネットワークシステム,一般セッション)
- ウイルス仮想感染モニタリングシステム
- マルウェアの亜種等の分類の自動化
- マルウェアの亜種等の分類の自動化
- マルウェアの動作条件の抽出
- 動的解析を利用したPDFマルウェア解析システムの実装と評価
- マルウェア解析システムを用いたマルウェア自動駆除手法の検討(マルウェア解析,インターネットセキュリティ,一般)
- マルウェア解析システムを用いたマルウェア自動駆除手法の検討(マルウェア解析,インターネットセキュリティ,一般)
- キューイングネットワークモデルを用いたマルウェア対策ユーザサポートシステムの性能評価
- 抽象構文解析木による不正なJavaScriptの特徴点抽出手法の提案
- マルウェア対策ユーザサポートシステムのフィールド実験と性能評価
- 制御フローの比較による疑わしいAndroidアプリを絞り込む方法の提案
- 文字出現頻度をパラメータとした機械学習による悪質な難読化JavaScriptの検出
- 文字出現頻度をパラメータとした機械学習による悪質な難読化JavaScriptの検出
- UUIDに着目したリモートエクスプロイト攻撃のネットワークベースの分類(通信セキュリティ,一般)
- BDI-1-3 ボットを対象としたマルウェア動的解析手法の提案(BDI-1.新たな局面を迎えたサイバー攻撃に対応するネットワークセキュリティ技術,依頼シンポジウム,ソサイエティ企画)
- BDI-1-3 ポットを対象としたマルウェア動的解析手法の提案(BDI-1.新たな局面を迎えたサイバー攻撃に対応するネットワークセキュリティ技術,依頼シンポジウム,ソサイエティ企画)
- コード解析を伴わないAndroidマルウェア検出方法の検証(セキュリティ,一般)
- コード解析を伴わないAndroidマルウェア検出方法の検証(セキュリティ,一般)
- コード解析を伴わないAndroidマルウェア検出方法の検証(セキュリティ,一般)
- コード解析を伴わないAndroidマルウェア検出方法の検証(セキュリティ,一般)
- Backdoor Shellに着目した不正Webサイトを用いたサイバー攻撃基盤の分析
- Backdoor Shellに着目した不正Webサイトを用いたサイバー攻撃基盤の分析
- マルウェア動的解析結果の可視化の一手法
- マルウェア対策ユーザサポートシステムのフィールド実験と性能評価