講演抄録/キーワード |
講演名 |
2011-03-25 15:35
動的解析を利用したPDFマルウェア解析システムの実装と評価 ○神薗雅紀・西田雅太・星澤裕二(セキュアブレイン) ICSS2010-64 |
抄録 |
(和) |
近年、Adobe Readerに複数のゼロデイが存在したこともあり、PDF形式のマルウェアによる被害が大きな問題となっている。PDFマルウェアには難読化されたJavaScriptが組み込まれており、その難読化の多様さからアンチウイルスソフトによる検知率が非常に低い結果となっている。これらのインシデントを詳細に把握するため、著者らは難読化が施されたJavaScriptをエミュレーションにより解析するシステムを開発した。本稿では開発システムを改良し、PDFマルウェア内に組み込まれたJavaScriptを解析するシステムを提案する。提案システムはPDFファイルからJavaScriptならびにオブジェクト情報を自動抽出し、JavaScript for Acrobat APIを模擬したJavaScript Interpreter環境にて抽出したJavaScriptをエミュレートすることで動的解析を行う。本解析により難読化を解除した最終的な悪意のあるJavaScriptコードを取得し、どのような脆弱性を利用しているか判別する。また、難読化を解除したコードには端末を制御するためのshellcodeが埋め込まれている。そこで提案システムの解析結果からshellcode部を特定し、エミュレーションによりshellcodeの内容まで解析する手法を考察する。 |
(英) |
Several Adobe Reader zero-day vulnerabilities have been discovered recently, and the threat of PDF malware continues to grow. The detection of PDF malware by antivirus software has become a challenge because malicious Javascript code embedded in the PDF uses obfuscation techniques. Reliable detection has been difficult. We already created a system that can analyze obfuscated Javascript through the use of emulation. In this paper, we are proposing new enhancements to the existing system that would allow analysis of embedded Javascript in PDF malware file. The new system will also have the capability to automatically extract object information while emulating the obfuscated JavaScript using JavaScript for Acrobat API. Through this analysis, we can better decode the obfuscated JavaScript and determine what type of vulnerability was exploited. This new system will also try to identify the shellcode component and analyze its behavior. |
キーワード |
(和) |
PDFマルウェア / JavaScriptインタプリター / エミュレーション / シェルコード / / / / |
(英) |
PDFmalware / JavaScript Interpreter / Emulation / shellcode / / / / |
文献情報 |
信学技報, vol. 110, no. 475, ICSS2010-64, pp. 47-52, 2011年3月. |
資料番号 |
ICSS2010-64 |
発行日 |
2011-03-18 (ICSS) |
ISSN |
Print edition: ISSN 0913-5685 Online edition: ISSN 2432-6380 |
著作権に ついて |
技術研究報告に掲載された論文の著作権は電子情報通信学会に帰属します.(許諾番号:10GA0019/12GB0052/13GB0056/17GB0034/18GB0034) |
PDFダウンロード |
ICSS2010-64 |