DBIを用いたランサムウェアのファイルアクセス解析の一検討

与那嶺 俊; 門林 雄基

講演名	2017-07-14 DBIを用いたランサムウェアのファイルアクセス解析の一検討与那嶺俊(奈良先端大), 門林雄基(奈良先端大),
PDFダウンロードページ	PDFダウンロードページへ
抄録(和)	データを不正に参照、書き換え、削除するマルウェアはインターネットユーザーの大きな脅威の1つである。特に身代金要求型ウイルスであるランサムウェアは攻撃者にとって利益の高い攻撃手法であり、2016年後半には亜種の数も増加している。暗号化を悪用するマルウェアは、暗号化対象のファイルへの処理に着目して解析することで、暗号関数や鍵の情報へと繋がることがある。本稿ではQEMUによるシステム全体レベルからの解析により、プログラム実行時の暗号化処理におけるデータフローを分析する。ファイルから読み出されたデータに適用される処理をテイント解析で追跡することで、暗号化関数の位置特定を試みる。
抄録(英)	Malware are one of the biggest threats on the Internet as they can illegally browse, manipulate or delete user's personal data. Ransomware is a very profitable type of attacks for cyber criminals where victims data are encrypted until they accept to pay a certain amount of money to 'release' their data. Analysis of some malware show that, by monitoring the process which handles data read of the files that are targeted for encryption, they can be reversed to extract informations such as encryption keys, the data located on the physical memory or the description of encryption algorithms. In this paper, we used QEMU to analyze the data flow in runtime encryption process from whole-system approaches. We tried to estimate the entry points of the encryption algorithms by tracking the instructions that handle tainted data read from arbitrary files.
キーワード(和)	マルウェア / バイナリ / 暗号化関数
キーワード(英)
資料番号	ISEC2017-19,SITE2017-11,ICSS2017-18,EMM2017-22
発行日	2017-07-07 (ISEC, SITE, ICSS, EMM)

研究会情報
研究会	SITE / EMM / ISEC / ICSS / IPSJ-CSEC / IPSJ-SPT
開催期間	2017/7/14(から2日開催)
開催地（和）	内田洋行東京本社ショールーム
開催地（英）
テーマ（和）	セキュリティ、一般
テーマ（英）
委員長氏名（和）	岡田仁志(NII) / 岩村惠市(東京理科大) / 小川一人(NHK) / 白石善明(神戸大)
委員長氏名（英）	Hitoshi Okada(NII) / Keiichi Iwamura(TUC) / Kazuto Ogawa(NHK) / Yoshiaki Shiraishi(Kobe Univ.)
副委員長氏名（和）	森住哲也(神奈川大) / 小川賢(神戸学院大) / 日置尋久(京大) / 栗林稔(岡山大) / 藤岡淳(神奈川大) / 盛合志帆(NICT) / 植田武(三菱電機) / 高倉弘喜(NII)
副委員長氏名（英）	Tetsuya Morizumi(Kanagawa Univ.) / Masaru Ogawa(Kobe Gakuin Univ.) / Hirohisa Hioki(Kyoto Univ.) / Minoru Kuribayashi(Okayama Univ.) / Atsushi Fujioka(Kanagawa Univ.) / Shiho Moriai(NICT) / Takeshi Ueda(Mitsubishi Electric) / Hiroki Takakura(NII)
幹事氏名（和）	芳賀高洋(岐阜聖徳学園大) / 川口嘉奈子(東京藝術大) / 生源寺類(静岡大) / 藤吉正明(首都大東京) / 水木敬明(東北大) / 大東俊博(東海大) / 吉岡克成(横浜国大) / 神谷和憲(NTT)
幹事氏名（英）	Takahiro Haga(Gifu Shotoku Gakuen Univ.) / Kanako Kawaguchi(Tokyo Univ. of the Arts) / Rui Shogenji(Shizuoka Univ.) / Masaaki Fujiyoshi(Tokyo Metropolitan Univ.) / Takaaki Mizuki(Tohoku Univ.) / Toshihiro Ohigashi(Tokai Univ.) / Katsunari Yoshioka(Yokohama National Univ.) / Kazunori Kamiya(NTT)
幹事補佐氏名（和）	壁谷彰慶(千葉大) / 加藤尚徳(KDDI) / 姜玄浩(東京高専) / 村田晴美(中京大) / 江村恵太(NICT) / 駒野雄一(東芝) / 須賀祐治(インターネットイニシアティブ) / 笠間貴弘(NICT) / 山田明(KDDI labs.)
幹事補佐氏名（英）	Akiyoshi Kabeya(Chiba Univ.) / Hisanori Kato(KDDI) / Kan Hyonho(NIT, Tokyo) / Harumi Murata(Tyukyo Univ.) / Keita Emura(NICT) / Yuichi Komano(TOSHIBA) / Yuuji Suga(IIJ) / Takahiro Kasama(NICT) / Akira Yamada(KDDI labs.)

講演論文情報詳細
申込み研究会	Technical Committee on Social Implications of Technology and Information Ethics / Technical Committee on Enriched MultiMedia / Technical Committee on Information Security / Technical Committee on Information and Communication System Security / Special Interest Group on Computer Security / Special Interest Group on Security Psychology and Trust
本文の言語	JPN
タイトル（和）	DBIを用いたランサムウェアのファイルアクセス解析の一検討
サブタイトル（和）
タイトル（英）	File Access Analysis of Ransomware using Dynamic Binary Instrumentation
サブタイトル（和）
キーワード(1)（和/英）	マルウェア
キーワード(2)（和/英）	バイナリ
キーワード(3)（和/英）	暗号化関数
第 1 著者氏名（和/英）	与那嶺俊 / Shun Yonamine
第 1 著者所属（和/英）	奈良先端科学技術大学院大学(略称：奈良先端大) Nara Institute of Science and Technology(略称：NAIST)
第 2 著者氏名（和/英）	門林雄基 / Yuki Kadobayashi
第 2 著者所属（和/英）	奈良先端科学技術大学院大学(略称：奈良先端大) Nara Institute of Science and Technology(略称：NAIST)
発表年月日	2017-07-14
資料番号	ISEC2017-19,SITE2017-11,ICSS2017-18,EMM2017-22
巻番号（vol）	vol.117
号番号（no）	ISEC-125,SITE-126,ICSS-127,EMM-128
ページ範囲	pp.87-92(ISEC), pp.87-92(SITE), pp.87-92(ICSS), pp.87-92(EMM),
ページ数	6
発行日	2017-07-07 (ISEC, SITE, ICSS, EMM)