| 講演名 | 2009-11-13 パッキングされたマルウェアの類似度算出手法とその評価 織井 達憲, 吉岡 克成, 四方 順司, 松本 勉, 金 亨燦, 井上 大介, 中尾 康二, |
|---|---|
| PDFダウンロードページ |  PDFダウンロードページへ |
| 抄録(和) | 近年,ソースコードや自動生成ツールの流通により,高い技術を有さない攻撃者であっても容易にマルウェアを作成できる状況となっており,インターネット上を大量のマルウェアが流通している.また,ソースコードの改変,コンパイラの設定,パッカーの適用により,マルウェアの実際の流通形態であるバイナリコードは大きく変わり得るため,同様の特徴をもつマルウェアであってもその類似度を算出することは容易ではない.特にパッカーには多くの種類とバージョンが存在すると共に,パッキング時のオプション等の指定により,同一のバイナリコードから多様なバリエーションを容易に生成できることから,効果的な解析の障害となっている.そこで,本研究では同一のバイナリコードからパッカーにより生成されたバリエーションの識別を目的とした,編集距離によるマルウェアの類似度算出法を提案する.実際に19種類のパッカーを用いてバリエーションを生成し,提案手法の評価を行った結果,実験に用いた検体とパッカー群について高い識別精度を示した.また,低対話型ハニーポットNepenthesにより収集した検体群に提案方式を適用した結果,アンチウィルスソフトによって定義されるマルウェア科名との一定の整合性が確認できた. |
| 抄録(英) | A great number of malware have been generated and released over the Internet because of the underground distribution of source codes and automated malware generation tools. Moreover, malware authors tend to generate variants of the same or similar malicious codes to evade detection by altering source codes, recompiling them with different options, and packing them using different versions of runtime packers. Among them, runtime packers are troublesome as malware authors can easily generate a number of variants with them, which slows down an effective in-depth analysis. In this paper, we propose a similarity scoring method that aims particularly at an identification of malware variants multiplied by runtime packers. For evaluation, we actually generated variants of several sample binaries by utilizing 19 packers and confirmed that the proposed method can identify variants generated by most of the packers. Moreover, using the proposed method, we found out that there were a considerable number of variants generated by packers among malware samples captured in the wild by low interaction honeypot Nepenthes. |
| キーワード(和) | マルウェア / クラスタリング / パッキング |
| キーワード(英) | Malware / Clustering / Packing |
| 資料番号 | ICSS2009-55 |
| 発行日 |
| 研究会情報 | |
| 研究会 | ICSS |
|---|---|
| 開催期間 | 2009/11/6(から1日開催) |
| 開催地(和) | |
| 開催地(英) | |
| テーマ(和) | |
| テーマ(英) | |
| 委員長氏名(和) | |
| 委員長氏名(英) | |
| 副委員長氏名(和) | |
| 副委員長氏名(英) | |
| 幹事氏名(和) | |
| 幹事氏名(英) | |
| 幹事補佐氏名(和) | |
| 幹事補佐氏名(英) | |
| 講演論文情報詳細 | |
| 申込み研究会 | Information and Communication System Security (ICSS) |
|---|---|
| 本文の言語 | JPN |
| タイトル(和) | パッキングされたマルウェアの類似度算出手法とその評価 |
| サブタイトル(和) | |
| タイトル(英) | Similarity Scoring Method of Runtime Packed Malware and Its Evaluation |
| サブタイトル(和) | |
| キーワード(1)(和/英) | マルウェア / Malware |
| キーワード(2)(和/英) | クラスタリング / Clustering |
| キーワード(3)(和/英) | パッキング / Packing |
| 第 1 著者 氏名(和/英) | 織井 達憲 / Tatsunori Orii |
| 第 1 著者 所属(和/英) | 横浜国立大学 Yokohama National University |
| 第 2 著者 氏名(和/英) | 吉岡 克成 / Katsunari Yoshioka |
| 第 2 著者 所属(和/英) | 横浜国立大学 Yokohama National University |
| 第 3 著者 氏名(和/英) | 四方 順司 / Junji Shikata |
| 第 3 著者 所属(和/英) | 横浜国立大学 Yokohama National University |
| 第 4 著者 氏名(和/英) | 松本 勉 / Tsutomu Matsumoto |
| 第 4 著者 所属(和/英) | 横浜国立大学 Yokohama National University |
| 第 5 著者 氏名(和/英) | 金 亨燦 / Hyung Chan Kim |
| 第 5 著者 所属(和/英) | 独立行政法人情報通信研究機構 National Institute of Information and Communications Technology |
| 第 6 著者 氏名(和/英) | 井上 大介 / Daisuke Inoue |
| 第 6 著者 所属(和/英) | 独立行政法人情報通信研究機構 National Institute of Information and Communications Technology |
| 第 7 著者 氏名(和/英) | 中尾 康二 / Koji Nakao |
| 第 7 著者 所属(和/英) | 独立行政法人情報通信研究機構 National Institute of Information and Communications Technology |
| 発表年月日 | 2009-11-13 |
| 資料番号 | ICSS2009-55 |
| 巻番号(vol) | vol.109 |
| 号番号(no) | 285 |
| ページ範囲 | pp.- |
| ページ数 | 6 |
| 発行日 | |