メモリ空間における暗号化/復号関数の位置特定に関する検討

古川 凌也; 伊沢 亮一; 森井 昌克; 井上 大介; 中尾 康二

講演名	2015-06-11 メモリ空間における暗号化/復号関数の位置特定に関する検討古川凌也(神戸大), 伊沢亮一(NICT), 森井昌克(神戸大), 井上大介(NICT), 中尾康二(NICT),
PDFダウンロードページ	PDFダウンロードページへ
抄録(和)	我々は，マルウェア実行時にメモリに展開される暗号化/復号関数の位置を特定する手法を研究している．これはマルウェアが行う暗号化通信の平文を取得するためである．一般に，マルウェアを含むプログラムは数多くの関数をメモリに展開するため，それらから暗号化/復号関数を特定しなければならない．この関数特定における我々の基本アイデアは，暗号化パケットが展開されたメモリ領域を監視するところにある．そのメモリ領域もしくはそこから生成されたデータにアクセスした関数に必ず暗号化/復号関数が含まれる点に着目した．本稿ではこの基本アイデアの提案およびこのアイデアのみで，どの程度まで暗号化/復号関数の候補を絞り込めるか検証する．評価実験では4 種類の暗号ライブラリを用い，暗号化方式を変えながら10 個のプログラムを用意した．それらに対し関数候補の抽出を行った結果，メモリに展開された関数134460 個を平均37%，最小で3% の候補数にまで絞り込むことができた．
抄録(英)	This paper presents a simple and effective idea to locate cryptographic functions on the memory for malware analysis. This leads an analyst to obtain plain-text packets that are encrypted on a secure channel established by malware when she analyzes it on a sandbox environment. Our idea is to observe a memory area where an encrypted packet is loaded. Besides, it is also to observe the areas where any pieces of data created from that encrypted packet are loaded. This is based on the fact that although a malware sample can load a sheer number of functions, functions that access to those memory areas denitely include cryptographic functions. With experiments using ten cryptographic programs, we extracted 37% of 134{460 functions as candidates on average, and extracted3% of them at best. In future work, the idea will be expanded for uniquely locating cryptographic functions.
キーワード(和)	バイナリ解析 / マルウェア解析 / ネットワークセキュリティ / 暗号技術
キーワード(英)	Binary Analysis / Malware Analysis / Network Security / Cryptography
資料番号	IA2015-4,ICSS2015-4
発行日	2015-06-04 (IA, ICSS)

研究会情報
研究会	IA / ICSS
開催期間	2015/6/11(から2日開催)
開催地（和）	九工大百周年中村記念館
開催地（英）	Kyushu Institute of Technology Univ.
テーマ（和）	インターネットセキュリティ、一般
テーマ（英）	Internet Security, etc.
委員長氏名（和）	吉田健一(筑波大) / 三宅優(KDDI研)
委員長氏名（英）	Ken-ichi Yoshida(Univ. of Tsukuba) / Yutaka Miyake(KDDI R&D Labs.)
副委員長氏名（和）	大崎博之(関西学院大) / 地引昌弘(NICT) / 中村豊(九工大) / 西出隆志(筑波大) / 白石善明(神戸大)
副委員長氏名（英）	Hiroyuki Osaki(Kwansei Gakuin Univ.) / Masahiro Jibiki(NICT) / Yutaka Nakamura(Kyushu Inst. of Tech.) / Takashi Nishide(Univ. of Tsukuba) / Yoshiaki Shiraishi(Kobe Univ.)
幹事氏名（和）	松浦知史(東工大) / 義久智樹(阪大) / 植田武(三菱電機) / 高倉弘喜(NII)
幹事氏名（英）	Satoshi Matsuura(Tokyo Inst. of Tech.) / Tomoki Yoshihisa(Osaka Univ.) / Takeshi Ueda(Mitsubishi Electric) / Hiroki Takakura(NII)
幹事補佐氏名（和）	屏雄一郎(KDDI研) / 山本寛(立命館大) / 渡辺俊貴(NEC) / 吉岡克成(横浜国大) / 神谷和憲(NTT)
幹事補佐氏名（英）	Yuichiro Hei(KDDI R&D Labs.) / Hiroshi Yamamoto(Ritsumeikan Univ.) / Toshiki Watanabe(NEC) / Katsunari Yoshioka(Yokohama National Univ.) / Kazunori Kamiya(NTT)

講演論文情報詳細
申込み研究会	Technical Committee on Internet Architecture / Technical Committee on Information and Communication System Security
本文の言語	JPN
タイトル（和）	メモリ空間における暗号化/復号関数の位置特定に関する検討
サブタイトル（和）
タイトル（英）	An Empirical Evaluation of Locating Cryptographic Functions on the Memory
サブタイトル（和）
キーワード(1)（和/英）	バイナリ解析 / Binary Analysis
キーワード(2)（和/英）	マルウェア解析 / Malware Analysis
キーワード(3)（和/英）	ネットワークセキュリティ / Network Security
キーワード(4)（和/英）	暗号技術 / Cryptography
第 1 著者氏名（和/英）	古川凌也 / Ryoya Furukawa
第 1 著者所属（和/英）	神戸大学(略称：神戸大) Kobe University(略称：Kobe Univ.)
第 2 著者氏名（和/英）	伊沢亮一 / Ryoichi Isawa
第 2 著者所属（和/英）	国立研究開発法人情報通信研究機構(略称：NICT) National Institute of Information and Communications Technology(略称：NICT)
第 3 著者氏名（和/英）	森井昌克 / Masakatu Morii
第 3 著者所属（和/英）	神戸大学(略称：神戸大) Kobe University(略称：Kobe Univ.)
第 4 著者氏名（和/英）	井上大介 / Daisuke Inoue
第 4 著者所属（和/英）	国立研究開発法人情報通信研究機構(略称：NICT) National Institute of Information and Communications Technology(略称：NICT)
第 5 著者氏名（和/英）	中尾康二 / Koji Nakao
第 5 著者所属（和/英）	国立研究開発法人情報通信研究機構(略称：NICT) National Institute of Information and Communications Technology(略称：NICT)
発表年月日	2015-06-11
資料番号	IA2015-4,ICSS2015-4
巻番号（vol）	vol.115
号番号（no）	IA-80,ICSS-81
ページ範囲	pp.15-20(IA), pp.15-20(ICSS),
ページ数	6
発行日	2015-06-04 (IA, ICSS)