講演名 2014-07-04
サンドボックス解析結果に基づくURLブラックリスト生成方式に関する事例調査
畑田 充弘, 稲積 孝紀, 有川 隼, 田中 恭之,
PDFダウンロードページ PDFダウンロードページへ
抄録(和) マルウェア感染後の早期検知手法として,企業等におけるインターネット通信の代表例であるHTTP通信に着目し,出口対策としてのURLブラックリスト生成方式を提案する.擬似環境におけるマルウェアの動的解析であるサンドボックス解析の結果から,システム情報やユーザ情報の読み取りを条件としてマルウェアの通信先URLを抽出する.提案方式を利用し,マルウェアによる通信の一つとして挙げられる2次検体ダウンロードURLの事例調査を行った.1ヶ月間に収集した18,761件の悪性ファイルから得た5,418URLにアクセスし,ダウンロードしたファイルをアンチウイルスソフトで検知した結果,156URLがトロイの木馬ウイルスをダウンロードするものであり,出口対策用URLブラックリストの拡充が可能であることを示した.
抄録(英) In order to detect the malware infection in internal network, we focus on HTTP traffic to the Internet. URL blacklist is on of the effective countermeasures to detect the malware traffic such as C&C communication, malware downloading and so on. Sandbox analysis is useful to understand the malware behaviors not only files and registries activities but also network activities containing HTTP communications. In this paper, we present a novel approach of URL blacklist generation based on correlation rules whether the malware read the system information or user credentials or not. In addition, by using our proposal approach, we observed malware download by malware and showed the result of generation of the malware downloading URL blacklist as a case study.
キーワード(和) マルウェア / サンドボックス解析 / 出口対策 / URLブラックリスト
キーワード(英) Malware / Sandbox Analysis / Extrusion Detection / URL Blacklist
資料番号 ISEC2014-44,SITE2014-39,ICSS2014-48,EMM2014-44
発行日

研究会情報
研究会 ICSS
開催期間 2014/6/26(から1日開催)
開催地(和)
開催地(英)
テーマ(和)
テーマ(英)
委員長氏名(和)
委員長氏名(英)
副委員長氏名(和)
副委員長氏名(英)
幹事氏名(和)
幹事氏名(英)
幹事補佐氏名(和)
幹事補佐氏名(英)

講演論文情報詳細
申込み研究会 Information and Communication System Security (ICSS)
本文の言語 JPN
タイトル(和) サンドボックス解析結果に基づくURLブラックリスト生成方式に関する事例調査
サブタイトル(和)
タイトル(英) A Case Study on Light-weight URL Blacklist Generation based on Sandbox Analysis
サブタイトル(和)
キーワード(1)(和/英) マルウェア / Malware
キーワード(2)(和/英) サンドボックス解析 / Sandbox Analysis
キーワード(3)(和/英) 出口対策 / Extrusion Detection
キーワード(4)(和/英) URLブラックリスト / URL Blacklist
第 1 著者 氏名(和/英) 畑田 充弘 / Mitsuhiro HATADA
第 1 著者 所属(和/英) NTTコミュニケーションズ株式会社
NTT Communications Corporation
第 2 著者 氏名(和/英) 稲積 孝紀 / Takanori INAZUMI
第 2 著者 所属(和/英) NTTコミュニケーションズ株式会社
NTT Communications Corporation
第 3 著者 氏名(和/英) 有川 隼 / Jun ARIKAWA
第 3 著者 所属(和/英) NTTコミュニケーションズ株式会社
NTT Communications Corporation
第 4 著者 氏名(和/英) 田中 恭之 / Yasuyuki TANAKA
第 4 著者 所属(和/英) NTTコミュニケーションズ株式会社
NTT Communications Corporation
発表年月日 2014-07-04
資料番号 ISEC2014-44,SITE2014-39,ICSS2014-48,EMM2014-44
巻番号(vol) vol.114
号番号(no) 117
ページ範囲 pp.-
ページ数 6
発行日