琉球大学主催 工学部情報工学科 卒業研究中間発表会 静的解析検知エンジン改良のためのマルウェア研究 075729C 高山和則 指導教員 : 長田智和 序論 1 ンを解析するまで無力であるため,即座に検知することが 困難である. 1.1 はじめに 近年,Gumbler に代表されるように Web ブラウザやプラ 2.2 ヒューリスティック手法 グインの脆弱性を利用した Web 感染型マルウェアによる被 害が拡大している.攻撃者によって改ざんされた Web サイ ヒューリスティック手法とは,実行ファイルの構造,動作, トは,閲覧するだけでマルウェアを埋め込めこんだサイト その他の属性からマルウェアを検知する方法である.マル に強制的に誘導されるため,改ざんされた Web サイトを早 ウェアの特徴に基づいた複数の評価項目を設け,それぞれ 期発見することが重要である. の結果から算出された評価値によりマルウェアかどうか判 また,亜種も含め新種のマルウェアは 1 日に数万種生み 出されており,従来のパターンマッチングでは,0-day 攻撃 断する.そのため,新種のマルウェアに対しても有効であ る.しかし,誤検知や見落としが発生するなど課題もある. に対応できない状況が起きている.そのため,セキュリティ の世界では単純なパターンマッチングに加え,ヒューリス ティック手法が研究・開発されている.ヒューリスティック 手法の場合,マルウェアの振る舞いを検知ロジックとして組 2.3 Web 感染型マルウェア Web 感染型マルウェアとは,Web ブラウザやプラグイン み込んでいるため,新種のマルウェア検知にも有効である. の脆弱性を利用して感染するマルウェアである.その特徴と 今回,共同研究先として協力する FFR(Fourteenforty Re- して,Web サイトを閲覧するだけで感染するため,従来のマ search) 社もまた,上記のような観点から Origma+を開発 した.Origma+のヒューリスティックエンジンは,新種の ルウェアよりもユーザー自ら感染を防ぐことが難しいこと. また,大企業やネットショップ,SNS などのサイトが改ざ マルウェアの検知にも成功し,この手法の有効性を示した. んされた場合,多くの利用者に被害が出ることが挙げられる. 一方で,検知できなかったマルウェアも存在する. 1.2 研究目的 本研究では,Orgma+の検知エンジンの一つである,Static 分析エンジンでは検知できなかったマルウェアを解析する &'()*+ ,-./01 D=&'( $%# @=AB ことで,検知ロジックとして利用可能な特徴を抽出し,静 C=!" 的解析検知エンジンとして新たなをエンジン作成すること を目的とする. また,未検知マルウェアの割合を新旧のエンジンで比較 <=>? し,新たに組み込んだマルウェア検知ロジックの有効性を 確認する. 技術概要 2 2.1 パターンマッチング パターンマッチングとは,データベースに登録されたマ 23456789 :(;,-./01 !"# 図 1: マルウェア感染の流れ 図 1 に Web 感染型マルウェアが感染するまでの流れを示 す.攻撃者が何らかの方法により,一般的な Web サイトを 改ざんし,マルウェアを埋め込んだサイトに誘導するよう ルウェアのコードパターンを,検索対象のファイル内容と 仕掛けを行う.仕掛けには,iframe タグなどが利用される. 照合することでマルウェアを検知する技術である.既知の その後,閲覧者が改ざんされた Web サイトを閲覧すると, マルウェアに対しては,高い精度で検知でき,誤検知も少 強制的に誘導され,マルウェアに感染する. ない.一方,新種のマルウェアに対しては,コードパター 2.4 • セクション部 Origma+ Origma+とは,FFR 社が開発した人柱型アクティブ・ハ セクションヘッダと,コードセクションやインポート ニーポットである.図 2 のように,仮想マシン上に構築さ セクション,デバッグセクションなどから構成される れたハニーポットが,Web ブラウザ経由で自動巡回するこ セクション部は,実行ファイルの実部である.プログ とにより,改ざんされたサイトや,強制誘導先の Web 感染 ラムの動作,IAT(Import Address Table),グローバル 型マルウェアを発見することができる. 変数領域などが定義されており,ここから実行ファイ ルの特徴を読み出すことができる. UVPWXY123RST 研究概要 3 3.1 解析環境 解析は,ネットワークを通じて他のコンピュータに感染 CDEF ?@AB する危険性があるため,ネットワークから切り離した環境 にて行う.マルウェアの多くが Windows を対象としている ため,OS は Windows とする.また,中には仮想マシンを 検知して通常と異なる振る舞い見せるものがあるため,物 789: ;<=> 理マシン上に環境を構築する.ソフトウェアについては,脆 GH 1234056 &'()*+,-./0 !"#$% #I5JKLMN OPQ123RST 弱性のある環境が求められるため,Adobe Flash や Adobe Reader の古いバージョンを用意する. 解 析 ツ ー ル に は ,逆 ア セ ン ブ ラ と デ バッガ と し て IDA(Interactive DisAssembler),Visual Stadio を使用する. 図 2: Origma+の動作 3.2 解析手順 Origma+の検知エンジンには,同社の開発した Yarai エ FFR 社より提供された未検知マルウェアリストの中から, ンジンが流用されており,4 つのヒューリスティックエンジ 亜種の多い検体を選び,実際に実行させて動作を確認する. ンから成り立っている.今回改良を目指す Static 分析エン 確認後,バックアップデータから解析マシンの状態を復旧 ジンは,PE 構造分析,リンカー分析,パッカー分析,想定 させる.見慣れない関数はないか,通常と異なる領域に実 オペレーション分析などの手法により,マルウェアを検知 行権がないか,ネットワークや権限の変更など,マルウェア する. 特有の動作を中心に静的解析を行う.解析結果,抽出され た特徴を検知ロジックとして新エンジンに反映させる. 2.5 PE(Portable Executable) PE とは,Windows 上で用いられる実行ファイルのフォー 3.3 評価 マットであり,MS-DOS 互換部,PE ヘッダ部,セクション 新旧の静的検知エンジンにて,通常の実行ファイルや未 部から成り立つ. 検知マルウェアリストを含む実行ファイル群を検査し,誤 • MS-DOS 互換部 検知や未検知の割合,その数を比較することで有効性を評 シグネチャ「MZ」からはじまる MS-DOS 互換部には, 価する. PE ヘッダ部の位置と MS-DOS 用プログラムが格納さ れている.MS-DOS 上で実行すると, 「This program is cannot be run DOS mode.」というメッセージを表示 し,終了する. • PE ヘッダ部 4 今後について 今後は,FFR 社より提供された静的解析資料から,現在 の検知エンジンの評価項目や抽出されたマルウェアの特徴 シグネチャ「PE00」からはじまる PE ヘッダ部には, を把握し,実際に逆アセンブルした状態で確認する.静的 ターゲットマシン,アライメント,セクション管理,メ 解析資料を参考に検体の解析を始め,検知ロジックとして モリサイズなど実行ファイルに関するの情報が格納さ 利用可能な特徴を抽出し,同様の資料を作成する.この資 れている.Windows は,PE ヘッダ部の情報をもとに 料に基づき,複数のマルウェアに共通の特徴を発見し,検 セクション部を読み込み,実行する. 知エンジンの改良に用いる.
© Copyright 2025 Paperzz