講演抄録/キーワード |
講演名 |
2018-06-25 13:25
CPUアーキテクチャを越えたIoTマルウェアの類似度計算法の提案 ○伊沢亮一・班 涛(NICT)・鉄 穎(横浜国大)・吉岡克成(横浜国大/NICT)・井上大介(NICT) IA2018-2 ICSS2018-2 |
抄録 |
(和) |
WebカメラやホームルータなどのIoT機器に感染するマルウェアが世界中で猛威をふるっている.
これらのマルウェアは異なるCPUアーキテクチャ上で動作するように同じもしくは一部を
改変したソースコードから複数のマルウェア検体が作成されることが多い.そのため,類似した
検体が多いにもかかわらず,CPUアーキテクチャごとに命令セット(x86であればmovやpushなど)
が異なるため,単純に検体のバイナリを比較するだけでは検体間の類似度を計算することができない.
これを解決するため,本稿の提案手法では,各検体のバイナリを中間表現に変換し,命令を
共通化することで,CPUアーキテクチャに依存せずに検体間の類似度を計算する.提案手法
の検証にはMirai(ARM/MIPS)とBashlite(ARM/MIPS)を計12検体用いて,ある一定の有効性を確認した.
検証に用いた検体数は十分ではないが,CPUアーキテクチャを越えた類似度計算の指針を示した点に
本稿の貢献がある. |
(英) |
Malware samples infecting IoT (Internet of Things) devices such as Web cameras and
home routers have spread over the Internet. Those samples are often generated by
reusing source code to run on various CPU architectures (e.g., ARM and MIPS) of IoT
devices, and they behave similar, but their binaries vary because of different ISAs
(Instruction Set Architecture). Even if analysts simply compare the malware binaries,
they cannot find out similar samples from their malware repository. In this
paper, we propose a method for calculating similarity
between malware samples running on different CPU architectures. A key idea behind
our method is to convert each malware binary into an intermediate representation
to fill the gap between different ISAs. It then calculates their similarity based on
the intermediate representation. With experiments using twelve in-the-wild malware
samples (Mirai-ARM/MIPS and Bashlite-ARM/MIPS samples), we evaluated effectiveness
of our method. Although the number of samples was not sufficient, this
paper shows a future direction for calculating the similarity. |
キーワード |
(和) |
Internet of Things / マルウェア解析 / 中間表現 / N-gram / Jaccard係数 / / / |
(英) |
Internet of Things / Malware analysis / Intermediate representation / N-gram / Jaccard similarity / / / |
文献情報 |
信学技報, vol. 118, no. 109, ICSS2018-2, pp. 7-12, 2018年6月. |
資料番号 |
ICSS2018-2 |
発行日 |
2018-06-18 (IA, ICSS) |
ISSN |
Online edition: ISSN 2432-6380 |
著作権に ついて |
技術研究報告に掲載された論文の著作権は電子情報通信学会に帰属します.(許諾番号:10GA0019/12GB0052/13GB0056/17GB0034/18GB0034) |
PDFダウンロード |
IA2018-2 ICSS2018-2 |
|