講演抄録/キーワード |
講演名 |
2021-03-02 10:25
標的端末に保存されたメールアドレスを用いたサンドボックス回避攻撃の概念実証 ○井上雄太・田辺瑠偉(横浜国大)・笠間貴弘・井上大介(NICT)・吉岡克成・松本 勉(横浜国大) ICSS2020-57 |
抄録 |
(和) |
近年,検査対象ファイルをサンドボックス内で検査するセキュリティアプライアンスの導入が進んでいる.しかし,標的マシンでのみ不正活動を行い,他の環境では無害を装うマルウェアが問題となっている.先行研究では,標的マシンに識別子をインプラントし,識別子が存在する環境でのみ動作する擬似マルウェア検体を用いて,サンドボックス解析を回避する攻撃の脅威が示されている.本研究では,標的マシンに保存されたメールアドレスを用いたサンドボックス回避攻撃の概念実証を行う.検証実験では,13種類の著名なデスクトップアプリケーションが,合計17種類の設定ファイルやログファイル等にメールアドレスを保存していることを確認した.そして,標的マシンからメールアドレスを取得する擬似マルウェア検体を用いて,セキュリティアプライアンスによる検知の回避が可能であることを確認した.また,メールアドレスを識別子として悪用されないための対策が必要であり,セキュリティベンダに情報を提供することで,標的マシンでのみ動作するマルウェアへの注意喚起を行った. |
(英) |
In recent years, malware sandbox appliances that dynamically analyze target files are becoming popular. However, malware that reveal malicious activities only on the target machine are emerging. Previous studies have shown attacks that evade sandbox analysis by first implanting identifiers into the target machine and later sending malware that works only in environments where identifiers exists. In this study, we envision a new threat where attackers abuse Email address stored in the target machine.
We demonstrate that 13 famous desktop applications store Email address in 17 different configuration and/or log file.
We further test dummy samples that search for Email address with commercial sandbox appliances and explain that sandbox evasion is successful. Therefore, we informed security vendors with details of the attack scenario, in order to protect against potential adversaries in the future. |
キーワード |
(和) |
セキュリティアプライアンス / サンドボックス回避 / 標的型攻撃 / / / / / |
(英) |
Security Appliance / Sandbox Evasion / Advanced Persistent Threat / / / / / |
文献情報 |
信学技報, vol. 120, no. 384, ICSS2020-57, pp. 184-189, 2021年3月. |
資料番号 |
ICSS2020-57 |
発行日 |
2021-02-22 (ICSS) |
ISSN |
Online edition: ISSN 2432-6380 |
著作権に ついて |
技術研究報告に掲載された論文の著作権は電子情報通信学会に帰属します.(許諾番号:10GA0019/12GB0052/13GB0056/17GB0034/18GB0034) |
PDFダウンロード |
ICSS2020-57 |