講演抄録/キーワード |
講演名 |
2009-11-13 11:05
パッキングされたマルウェアの類似度算出手法とその評価 ○織井達憲・吉岡克成・四方順司・松本 勉(横浜国大)・金 亨燦・井上大介・中尾康二(NICT) ICSS2009-55 |
抄録 |
(和) |
近年,ソースコードや自動生成ツールの流通により,高い技術を有さない攻撃者であっても容易にマルウェアを作成できる状況となっており,インターネット上を大量のマルウェアが流通している.また,ソースコードの改変,コンパイラの設定,パッカーの適用により,マルウェアの実際の流通形態であるバイナリコードは大きく変わり得るため,同様の特徴をもつマルウェアであってもその類似度を算出することは容易ではない.特にパッカーには多くの種類とバージョンが存在すると共に,パッキング時のオプション等の指定により,同一のバイナリコードから多様なバリエーションを容易に生成できることから,効果的な解析の障害となっている.そこで,本研究では同一のバイナリコードからパッカーにより生成されたバリエーションの識別を目的とした,編集距離によるマルウェアの類似度算出法を提案する.実際に19種類のパッカーを用いてバリエーションを生成し,提案手法の評価を行った結果,実験に用いた検体とパッカー群について高い識別精度を示した.また,低対話型ハニーポットNepenthesにより収集した検体群に提案方式を適用した結果,アンチウィルスソフトによって定義されるマルウェア科名との一定の整合性が確認できた. |
(英) |
A great number of malware have been generated and released over the Internet because of the underground distribution of source codes and automated malware generation tools . Moreover, malware authors tend to generate variants of the same or similar malicious codes to evade detection by altering source codes, recompiling them with different options, and packing them using different versions of runtime packers. Among them, runtime packers are troublesome as malware authors can easily generate a number of variants with them, which slows down an effective in-depth analysis . In this paper, we propose a similarity scoring method that aims particularly at an identification of malware variants multiplied by runtime packers. For evaluation, we actually generated variants of several sample binaries by utilizing 19 packers and confirmed that the proposed method can identify variants generated by most of the packers. Moreover, using the proposed method, we found out that
there were a considerable number of variants generated by packers among malware samples in the wild. |
キーワード |
(和) |
マルウェア / クラスタリング / パッキング / / / / / |
(英) |
Malware / Clustering / Packing / / / / / |
文献情報 |
信学技報, vol. 109, no. 285, ICSS2009-55, pp. 7-12, 2009年11月. |
資料番号 |
ICSS2009-55 |
発行日 |
2009-11-06 (ICSS) |
ISSN |
Print edition: ISSN 0913-5685 Online edition: ISSN 2432-6380 |
著作権に ついて |
技術研究報告に掲載された論文の著作権は電子情報通信学会に帰属します.(許諾番号:10GA0019/12GB0052/13GB0056/17GB0034/18GB0034) |
PDFダウンロード |
ICSS2009-55 |