講演抄録/キーワード |
講演名 |
2015-06-11 14:55
メモリ空間における暗号化/復号関数の位置特定に関する検討 ○古川凌也(神戸大)・伊沢亮一(NICT)・森井昌克(神戸大)・井上大介・中尾康二(NICT) IA2015-4 ICSS2015-4 |
抄録 |
(和) |
我々は,マルウェア実行時にメモリに展開される暗号化/復号関数の位置を特定する手法を研究している.
これはマルウェアが行う暗号化通信の平文を取得するためである.一般に,マルウェアを含むプログラムは数多くの関数をメモリに展開するため,それらから暗号化/復号関数を特定しなければならない.
この関数特定における我々の基本アイデアは,暗号化パケットが展開されたメモリ領域を監視するところにある.
そのメモリ領域もしくはそこから生成されたデータにアクセスした関数に必ず暗号化/復号関数が含まれる点に着目した.
本稿ではこの基本アイデアの提案およびこのアイデアのみで,どの程度まで暗号化/復号関数の候補を絞り込めるか検証する.
評価実験では4 種類の暗号ライブラリを用い,暗号化方式を変えながら10 個のプログラムを用意した.
それらに対し関数候補の抽出を行った結果,メモリに展開された関数134460 個を平均37%,最小で3% の候補数にまで絞り込むことができた. |
(英) |
This paper presents a simple and effective idea to locate cryptographic functions on the memory for malware analysis.
This leads an analyst to obtain plain-text packets that are encrypted on a secure channel established by malware when she analyzes it on a sandbox environment.
Our idea is to observe a memory area where an encrypted packet is loaded.
Besides, it is also to observe the areas where any pieces of data created from that encrypted packet are loaded. This is based on the fact that although a malware sample can load a sheer number of functions, functions that access to those memory areas denitely include cryptographic functions.
With experiments using ten cryptographic programs, we extracted 37% of
134{460 functions as candidates on average, and extracted
3% of them at best. In future work, the idea will be expanded for uniquely locating cryptographic functions. |
キーワード |
(和) |
バイナリ解析 / マルウェア解析 / ネットワークセキュリティ / 暗号技術 / / / / |
(英) |
Binary Analysis / Malware Analysis / Network Security / Cryptography / / / / |
文献情報 |
信学技報, vol. 115, no. 81, ICSS2015-4, pp. 15-20, 2015年6月. |
資料番号 |
ICSS2015-4 |
発行日 |
2015-06-04 (IA, ICSS) |
ISSN |
Print edition: ISSN 0913-5685 Online edition: ISSN 2432-6380 |
著作権に ついて |
技術研究報告に掲載された論文の著作権は電子情報通信学会に帰属します.(許諾番号:10GA0019/12GB0052/13GB0056/17GB0034/18GB0034) |
PDFダウンロード |
IA2015-4 ICSS2015-4 |