| 講演名 | 2019-11-13 システムコールの時系列テ?ータの分析によるランサムウェアに感染した環境の正常化手法 平城 裕隆(東大), 落合 秀也(東大), 江崎 浩(東大), |
|---|---|
| PDFダウンロードページ |  PDFダウンロードページへ |
| 抄録(和) | 今日,コンヒ?ュータの環境を安全に保つことは非常に重要な課題て?ある.マルウェアの中て?も,標的の ファイルに対してロックや暗号化を行い,復号する代わりに身代金を要求するランサムウェアに感染したファイル を復元することは現実的に難しい場合か?多い.また,仮想通貨の普及によって攻撃者は補足されるリスクか?低く なっており,ランサムウェアのソフトウェアを販売する悪質なサーヒ?スも行われている.そこて?本論文て?はランサ ムウェアに感染したファイルの復元手法を研究する.調査て?は,ランサムウェアか?実行するシステムコールを解析 し,悪意のある挙動は周期的あるいは連続的に実行されるという傾向か?分かった.調査を踏まえてランサムウェア か?実行する WindowsAPI の処理を書き換えてファイルの複製をした上て?,システムコールの時系列テ?ータを解析し て正常な処理を特定することて?復元することを目指す.更に近年て?はマルウェアの機能か?向上しており,自身か?解 析対象になっていることを検知するアンチテ?ハ?ック?機能を備えたものか?存在するため,ランサムウェアに検知され ることなく解析を行う必要か?ある.そこて?本研究て?はオーハ?ーヘット?の少ないハイハ?ーハ?イサ?て?ある BitVisor を用 いる手法を提案する. |
| 抄録(英) | Today, keeping the computer environment safe is a very important issue. Among the malware, it is often difficult in practice to restore a file infected with ransomware that locks and encrypts the target file and requires a ransom instead of decrypting it. In addition, the spread of virtual currency has reduced the risk of attackers being supplemented, and malicious services that sell ransomware software are also available. Therefore, in this paper, we study a method for restoring files infected with ransomware. In the survey, we analyzed the system calls executed by ransomware and found that malicious behaviors tend to be executed periodically or continuously. Based on the investigation, we rewrite the Windows API processing executed by the ransomware to duplicate the file, and then aim to restore it by analyzing the time series data of system calls and identifying normal processing. Furthermore, malware functions have improved in recent years, and some have anti-debug functions that detect that they are subject to analysis, so analysis must be performed without being detected by ransomware. In this study, we propose a method using BitVisor, a hypervisor with low overhead. |
| キーワード(和) | ランサムウェア / BitVisor / アンチデバッグ / システムコール / マルウェア |
| キーワード(英) | Ransomware / BitVisor / Anti-Debug / System call / Malware |
| 資料番号 | ICSS2019-60 |
| 発行日 | 2019-11-06 (ICSS) |
| 研究会情報 | |
| 研究会 | ICSS |
|---|---|
| 開催期間 | 2019/11/13(から1日開催) |
| 開催地(和) | MRTテラス(宮崎市) |
| 開催地(英) | MRT Terrace(Miyazaki) |
| テーマ(和) | 情報通信システムセキュリティ、一般 |
| テーマ(英) | Information Communication System Security, etc. |
| 委員長氏名(和) | 高倉 弘喜(NII) |
| 委員長氏名(英) | Hiroki Takakura(NII) |
| 副委員長氏名(和) | 吉岡 克成(横浜国大) / 神谷 和憲(NTT) |
| 副委員長氏名(英) | Katsunari Yoshioka(Yokohama National Univ.) / Kazunori Kamiya(NTT) |
| 幹事氏名(和) | 笠間 貴弘(NICT) / 山田 明(KDDI labs.) |
| 幹事氏名(英) | Takahiro Kasama(NICT) / Akira Yamada(KDDI labs.) |
| 幹事補佐氏名(和) | 木藤 圭亮(三菱電機) / 山内 利宏(岡山大) |
| 幹事補佐氏名(英) | Keisuke Kito(Mitsubishi Electric) / Toshihiro Yamauchi(Okayama Univ.) |
| 講演論文情報詳細 | |
| 申込み研究会 | Technical Committee on Information and Communication System Security |
|---|---|
| 本文の言語 | JPN |
| タイトル(和) | システムコールの時系列テ?ータの分析によるランサムウェアに感染した環境の正常化手法 |
| サブタイトル(和) | |
| タイトル(英) | The way of analyzing the time series data of system calls and recovering the files infected with ransomeware |
| サブタイトル(和) | |
| キーワード(1)(和/英) | ランサムウェア / Ransomware |
| キーワード(2)(和/英) | BitVisor / BitVisor |
| キーワード(3)(和/英) | アンチデバッグ / Anti-Debug |
| キーワード(4)(和/英) | システムコール / System call |
| キーワード(5)(和/英) | マルウェア / Malware |
| 第 1 著者 氏名(和/英) | 平城 裕隆 / Hirotaka Hiraki |
| 第 1 著者 所属(和/英) | 東京大学(略称:東大) The University of Tokyo(略称:Tokyo Univ.) |
| 第 2 著者 氏名(和/英) | 落合 秀也 / Hideya Ochiai |
| 第 2 著者 所属(和/英) | 東京大学(略称:東大) The University of Tokyo(略称:Tokyo Univ.) |
| 第 3 著者 氏名(和/英) | 江崎 浩 / Hiroshi Esaki |
| 第 3 著者 所属(和/英) | 東京大学(略称:東大) The University of Tokyo(略称:Tokyo Univ.) |
| 発表年月日 | 2019-11-13 |
| 資料番号 | ICSS2019-60 |
| 巻番号(vol) | vol.119 |
| 号番号(no) | ICSS-288 |
| ページ範囲 | pp.1-5(ICSS), |
| ページ数 | 5 |
| 発行日 | 2019-11-06 (ICSS) |