講演抄録/キーワード |
講演名 |
2015-03-04 10:50
ループバックアドレスが返答されるドメインの定点観測によるマルウェアの活動予測 ○神薗雅紀(NICT/SecureBrain)・遠峰隆史・津田 侑・衛藤将史(NICT)・星澤裕二(セキュアブレイン)・井上大介(NICT)・吉岡克成・松本 勉(横浜国大) ICSS2014-80 |
抄録 |
(和) |
マルウェアを動的解析した際のDNSレスポンスに,ループバックアドレスが返答されるものが多数存在する.これは,プロバイダ等が不正なドメインに対し,マルウェア等の活動を抑止するための処置であることが報告されている.一方,攻撃者がマルウェアの制御等を目的としてループバックアドレスを利用し,攻撃を行う際に別のIPアドレスを登録することも推測される.そこで本稿では,マルウェアが利用するループバックアドレスが返答されるドメインを定点観測するシステムを構築し,観測結果を分析する.また,定点観測により得られたループバックアドレス以外のIPアドレスを返答するドメインを基に,当該ドメインを利用するマルウェアのアドレス変更前後での解析結果の有効性を比較,さらには新たな不正サイトや不正ドメインを導出する手法を提案する. |
(英) |
During malware dynamic analysis, the analysis system often finds the loopback address in responses of DNS name resolution. They are the results of a countermeasure of service providers in order to mitigate malicious activities by disabling resolution of malicious host names. Meanwhile, recent attackers control malware by applying the loopback address to deactivate them as well as applying actual IP addresses to reactivate them. This research proposes a system to observe DNS responses with the loopback address and analyses the observed responses. Additionally, by focusing on a change of the loopback address in a DNS response, this research verifies the efficiency of dynamic analysis by comparing analysis results before and after the change of the DNS response. Based on the verification, this paper considers a method which derives emerging malicious sites and FQDNs. |
キーワード |
(和) |
マルウェア / 動的解析 / DNS / ループバックアドレス / / / / |
(英) |
Malware / Malware Dynamic Analysis / DNS / Loopback Address / / / / |
文献情報 |
信学技報, vol. 114, no. 489, ICSS2014-80, pp. 103-108, 2015年3月. |
資料番号 |
ICSS2014-80 |
発行日 |
2015-02-24 (ICSS) |
ISSN |
Print edition: ISSN 0913-5685 Online edition: ISSN 2432-6380 |
著作権に ついて |
技術研究報告に掲載された論文の著作権は電子情報通信学会に帰属します.(許諾番号:10GA0019/12GB0052/13GB0056/17GB0034/18GB0034) |
PDFダウンロード |
ICSS2014-80 |