電子情報通信学会 研究会発表申込システム
講演論文 詳細
技報閲覧サービス
技報オンライン
‥‥ (ESS/通ソ/エレソ/ISS)
技報アーカイブ
‥‥ (エレソ/通ソ)
 トップに戻る 前のページに戻る   [Japanese] / [English] 

講演抄録/キーワード
講演名 2011-03-25 15:35
動的解析を利用したPDFマルウェア解析システムの実装と評価
神薗雅紀西田雅太星澤裕二セキュアブレイン
技報オンラインサービス実施中
抄録 (和) 近年、Adobe Readerに複数のゼロデイが存在したこともあり、PDF形式のマルウェアによる被害が大きな問題となっている。PDFマルウェアには難読化されたJavaScriptが組み込まれており、その難読化の多様さからアンチウイルスソフトによる検知率が非常に低い結果となっている。これらのインシデントを詳細に把握するため、著者らは難読化が施されたJavaScriptをエミュレーションにより解析するシステムを開発した。本稿では開発システムを改良し、PDFマルウェア内に組み込まれたJavaScriptを解析するシステムを提案する。提案システムはPDFファイルからJavaScriptならびにオブジェクト情報を自動抽出し、JavaScript for Acrobat APIを模擬したJavaScript Interpreter環境にて抽出したJavaScriptをエミュレートすることで動的解析を行う。本解析により難読化を解除した最終的な悪意のあるJavaScriptコードを取得し、どのような脆弱性を利用しているか判別する。また、難読化を解除したコードには端末を制御するためのshellcodeが埋め込まれている。そこで提案システムの解析結果からshellcode部を特定し、エミュレーションによりshellcodeの内容まで解析する手法を考察する。 
(英) Several Adobe Reader zero-day vulnerabilities have been discovered recently, and the threat of PDF malware continues to grow. The detection of PDF malware by antivirus software has become a challenge because malicious Javascript code embedded in the PDF uses obfuscation techniques. Reliable detection has been difficult. We already created a system that can analyze obfuscated Javascript through the use of emulation. In this paper, we are proposing new enhancements to the existing system that would allow analysis of embedded Javascript in PDF malware file. The new system will also have the capability to automatically extract object information while emulating the obfuscated JavaScript using JavaScript for Acrobat API. Through this analysis, we can better decode the obfuscated JavaScript and determine what type of vulnerability was exploited. This new system will also try to identify the shellcode component and analyze its behavior.
キーワード (和) PDFマルウェア / JavaScriptインタプリター / エミュレーション / シェルコード / / / /  
(英) PDFmalware / JavaScript Interpreter / Emulation / shellcode / / / /  
文献情報 信学技報, vol. 110, no. 475, ICSS2010-64, pp. 47-52, 2011年3月.
資料番号 ICSS2010-64 
発行日 2011-03-18 (ICSS) 
ISSN Print edition: ISSN 0913-5685  Online edition: ISSN 2432-6380

研究会情報
研究会 ICSS  
開催期間 2011-03-25 - 2011-03-25 
開催地(和) 開催中止 
開催地(英) Suspended 
テーマ(和) 一般 
テーマ(英) General 
講演論文情報の詳細
申込み研究会 ICSS 
会議コード 2011-03-ICSS 
本文の言語 日本語 
タイトル(和) 動的解析を利用したPDFマルウェア解析システムの実装と評価 
サブタイトル(和)  
タイトル(英) Development and evaluation of PDF malware analysis system using dynamic analysis 
サブタイトル(英)  
キーワード(1)(和/英) PDFマルウェア / PDFmalware  
キーワード(2)(和/英) JavaScriptインタプリター / JavaScript Interpreter  
キーワード(3)(和/英) エミュレーション / Emulation  
キーワード(4)(和/英) シェルコード / shellcode  
キーワード(5)(和/英) /  
キーワード(6)(和/英) /  
キーワード(7)(和/英) /  
キーワード(8)(和/英) /  
第1著者 氏名(和/英/ヨミ) 神薗 雅紀 / Masaki Kamizono / カミゾノ マサキ
第1著者 所属(和/英) セキュアブレイン (略称: セキュアブレイン)
Securebrain Corporation (略称: Securebrain Corp.)
第2著者 氏名(和/英/ヨミ) 西田 雅太 / Masata Nishida / ニシダ マサタ
第2著者 所属(和/英) セキュアブレイン (略称: セキュアブレイン)
Securebrain Corporation (略称: Securebrain Corp.)
第3著者 氏名(和/英/ヨミ) 星澤 裕二 / Yuji Hoshizawa / ホシザワ ユウジ
第3著者 所属(和/英) セキュアブレイン (略称: セキュアブレイン)
Securebrain Corporation (略称: Securebrain Corp.)
第4著者 氏名(和/英/ヨミ) / /
第4著者 所属(和/英) (略称: )
(略称: )
第5著者 氏名(和/英/ヨミ) / /
第5著者 所属(和/英) (略称: )
(略称: )
第6著者 氏名(和/英/ヨミ) / /
第6著者 所属(和/英) (略称: )
(略称: )
第7著者 氏名(和/英/ヨミ) / /
第7著者 所属(和/英) (略称: )
(略称: )
第8著者 氏名(和/英/ヨミ) / /
第8著者 所属(和/英) (略称: )
(略称: )
第9著者 氏名(和/英/ヨミ) / /
第9著者 所属(和/英) (略称: )
(略称: )
第10著者 氏名(和/英/ヨミ) / /
第10著者 所属(和/英) (略称: )
(略称: )
第11著者 氏名(和/英/ヨミ) / /
第11著者 所属(和/英) (略称: )
(略称: )
第12著者 氏名(和/英/ヨミ) / /
第12著者 所属(和/英) (略称: )
(略称: )
第13著者 氏名(和/英/ヨミ) / /
第13著者 所属(和/英) (略称: )
(略称: )
第14著者 氏名(和/英/ヨミ) / /
第14著者 所属(和/英) (略称: )
(略称: )
第15著者 氏名(和/英/ヨミ) / /
第15著者 所属(和/英) (略称: )
(略称: )
第16著者 氏名(和/英/ヨミ) / /
第16著者 所属(和/英) (略称: )
(略称: )
第17著者 氏名(和/英/ヨミ) / /
第17著者 所属(和/英) (略称: )
(略称: )
第18著者 氏名(和/英/ヨミ) / /
第18著者 所属(和/英) (略称: )
(略称: )
第19著者 氏名(和/英/ヨミ) / /
第19著者 所属(和/英) (略称: )
(略称: )
第20著者 氏名(和/英/ヨミ) / /
第20著者 所属(和/英) (略称: )
(略称: )
講演者
発表日時 2011-03-25 15:35:00 
発表時間 25 
申込先研究会 ICSS 
資料番号 IEICE-ICSS2010-64 
巻番号(vol) IEICE-110 
号番号(no) no.475 
ページ範囲 pp.47-52 
ページ数 IEICE-6 
発行日 IEICE-ICSS-2011-03-18 


[研究会発表申込システムのトップページに戻る]

[電子情報通信学会ホームページ]


IEICE / 電子情報通信学会