ご案内 入会して研究会活動をもっとお得に!研究会参加費・年間登録費が会員価格になります。
お知らせ 【重要】研究会参加費の支払いおよび原稿アップロード手続きの変更に関するご案内
電子情報通信学会 研究会発表申込システム
講演論文 詳細
技報閲覧サービス
[ログイン]
技報アーカイブ
 トップに戻る 前のページに戻る   [Japanese] / [English] 

講演抄録/キーワード
講演名 2019-11-13 13:30
システムコールの時系列データの分析によるランサムウェアに感染した実行環境の正常化手法
平城裕隆落合秀也江崎 浩東大ICSS2019-60
抄録 (和) 今日,コンピュータの環境を安全に保つことは非常に重要な課題である.マルウェアの中でも,標的の ファイルに対してロックや暗号化を行い,復号する代わりに身代金を要求するランサムウェアに感染したファイル を復元することは現実的に難しい場合が多い.また,仮想通貨の普及によって攻撃者は補足されるリスクが低く なっており,ランサムウェアのソフトウェアを販売する悪質なサービスも行われている.そこで本論文ではランサ ムウェアに感染したファイルの復元手法を研究する.調査では,ランサムウェアが実行するシステムコールを解析 し,悪意のある挙動は周期的あるいは連続的に実行されるという傾向が分かった.調査を踏まえてランサムウェア が実行する WindowsAPI の処理を書き換えてファイルの複製をした上で,システムコールの時系列データを解析し て正常な処理を特定することで復元することを目指す.更に近年ではマルウェアの機能が向上しており,自身が解 析対象になっていることを検知するアンチデバッグ機能を備えたものが存在するため,ランサムウェアに検知され ることなく解析を行う必要がある.そこで本研究ではオーバーヘッドの少ないハイパーバイザである BitVisor を用 いる手法を提案する. 
(英) Today, keeping the computer environment safe is a very important issue. Among the malware, it is often difficult in practice to restore a file infected with ransomware that locks and encrypts the target file and requires a ransom instead of decrypting it. In addition, the spread of virtual currency has reduced the risk of attackers being supplemented, and malicious services that sell ransomware software are also available. Therefore, in this paper, we study a method for restoring files infected with ransomware. In the survey, we analyzed the system calls executed by ransomware and found that malicious behaviors tend to be executed periodically or continuously. Based on the investigation, we rewrite the Windows API processing executed by the ransomware to duplicate the file, and then aim to restore it by analyzing the time series data of system calls and identifying normal processing. Furthermore, malware functions have improved in recent years, and some have anti-debug functions that detect that they are subject to analysis, so analysis must be performed without being detected by ransomware. In this study, we propose a method using BitVisor, a hypervisor with low overhead.
キーワード (和) ランサムウェア / BitVisor / アンチデバッグ / システムコール / マルウェア / / /  
(英) Ransomware / BitVisor / Anti-Debug / System call / Malware / / /  
文献情報 信学技報, vol. 119, no. 288, ICSS2019-60, pp. 1-5, 2019年11月.
資料番号 ICSS2019-60 
発行日 2019-11-06 (ICSS) 
ISSN Online edition: ISSN 2432-6380
著作権に
ついて
技術研究報告に掲載された論文の著作権は電子情報通信学会に帰属します.(許諾番号:10GA0019/12GB0052/13GB0056/17GB0034/18GB0034)
PDFダウンロード ICSS2019-60

研究会情報
研究会 ICSS  
開催期間 2019-11-13 - 2019-11-13 
開催地(和) MRTテラス(宮崎市) 
開催地(英) MRT Terrace(Miyazaki) 
テーマ(和) 情報通信システムセキュリティ、一般 
テーマ(英) Information Communication System Security, etc. 
講演論文情報の詳細
申込み研究会 ICSS 
会議コード 2019-11-ICSS 
本文の言語 日本語 
タイトル(和) システムコールの時系列データの分析によるランサムウェアに感染した実行環境の正常化手法 
サブタイトル(和)  
タイトル(英) Recovery method of execution environment infected with ransomware by analyzing time series data of system calls 
サブタイトル(英)  
キーワード(1)(和/英) ランサムウェア / Ransomware  
キーワード(2)(和/英) BitVisor / BitVisor  
キーワード(3)(和/英) アンチデバッグ / Anti-Debug  
キーワード(4)(和/英) システムコール / System call  
キーワード(5)(和/英) マルウェア / Malware  
キーワード(6)(和/英) /  
キーワード(7)(和/英) /  
キーワード(8)(和/英) /  
第1著者 氏名(和/英/ヨミ) 平城 裕隆 / Hirotaka Hiraki / ヒラキ ヒロタカ
第1著者 所属(和/英) 東京大学 (略称: 東大)
The University of Tokyo (略称: Tokyo Univ.)
第2著者 氏名(和/英/ヨミ) 落合 秀也 / Hideya Ochiai / オチアイ ヒデヤ
第2著者 所属(和/英) 東京大学 (略称: 東大)
The University of Tokyo (略称: Tokyo Univ.)
第3著者 氏名(和/英/ヨミ) 江崎 浩 / Hiroshi Esaki / エサキ ヒロシ
第3著者 所属(和/英) 東京大学 (略称: 東大)
The University of Tokyo (略称: Tokyo Univ.)
第4著者 氏名(和/英/ヨミ) / /
第4著者 所属(和/英) (略称: )
(略称: )
第5著者 氏名(和/英/ヨミ) / /
第5著者 所属(和/英) (略称: )
(略称: )
第6著者 氏名(和/英/ヨミ) / /
第6著者 所属(和/英) (略称: )
(略称: )
第7著者 氏名(和/英/ヨミ) / /
第7著者 所属(和/英) (略称: )
(略称: )
第8著者 氏名(和/英/ヨミ) / /
第8著者 所属(和/英) (略称: )
(略称: )
第9著者 氏名(和/英/ヨミ) / /
第9著者 所属(和/英) (略称: )
(略称: )
第10著者 氏名(和/英/ヨミ) / /
第10著者 所属(和/英) (略称: )
(略称: )
第11著者 氏名(和/英/ヨミ) / /
第11著者 所属(和/英) (略称: )
(略称: )
第12著者 氏名(和/英/ヨミ) / /
第12著者 所属(和/英) (略称: )
(略称: )
第13著者 氏名(和/英/ヨミ) / /
第13著者 所属(和/英) (略称: )
(略称: )
第14著者 氏名(和/英/ヨミ) / /
第14著者 所属(和/英) (略称: )
(略称: )
第15著者 氏名(和/英/ヨミ) / /
第15著者 所属(和/英) (略称: )
(略称: )
第16著者 氏名(和/英/ヨミ) / /
第16著者 所属(和/英) (略称: )
(略称: )
第17著者 氏名(和/英/ヨミ) / /
第17著者 所属(和/英) (略称: )
(略称: )
第18著者 氏名(和/英/ヨミ) / /
第18著者 所属(和/英) (略称: )
(略称: )
第19著者 氏名(和/英/ヨミ) / /
第19著者 所属(和/英) (略称: )
(略称: )
第20著者 氏名(和/英/ヨミ) / /
第20著者 所属(和/英) (略称: )
(略称: )
第21著者 氏名(和/英/ヨミ) / /
第21著者 所属(和/英) (略称: )
(略称: )
第22著者 氏名(和/英/ヨミ) / /
第22著者 所属(和/英) (略称: )
(略称: )
第23著者 氏名(和/英/ヨミ) / /
第23著者 所属(和/英) (略称: )
(略称: )
第24著者 氏名(和/英/ヨミ) / /
第24著者 所属(和/英) (略称: )
(略称: )
第25著者 氏名(和/英/ヨミ) / /
第25著者 所属(和/英) (略称: )
(略称: )
第26著者 氏名(和/英/ヨミ) / /
第26著者 所属(和/英) (略称: )
(略称: )
第27著者 氏名(和/英/ヨミ) / /
第27著者 所属(和/英) (略称: )
(略称: )
第28著者 氏名(和/英/ヨミ) / /
第28著者 所属(和/英) (略称: )
(略称: )
第29著者 氏名(和/英/ヨミ) / /
第29著者 所属(和/英) (略称: )
(略称: )
第30著者 氏名(和/英/ヨミ) / /
第30著者 所属(和/英) (略称: )
(略称: )
第31著者 氏名(和/英/ヨミ) / /
第31著者 所属(和/英) (略称: )
(略称: )
第32著者 氏名(和/英/ヨミ) / /
第32著者 所属(和/英) (略称: )
(略称: )
第33著者 氏名(和/英/ヨミ) / /
第33著者 所属(和/英) (略称: )
(略称: )
第34著者 氏名(和/英/ヨミ) / /
第34著者 所属(和/英) (略称: )
(略称: )
第35著者 氏名(和/英/ヨミ) / /
第35著者 所属(和/英) (略称: )
(略称: )
第36著者 氏名(和/英/ヨミ) / /
第36著者 所属(和/英) (略称: )
(略称: )
講演者 第1著者 
発表日時 2019-11-13 13:30:00 
発表時間 25分 
申込先研究会 ICSS 
資料番号 ICSS2019-60 
巻番号(vol) vol.119 
号番号(no) no.288 
ページ範囲 pp.1-5 
ページ数
発行日 2019-11-06 (ICSS) 


[研究会発表申込システムのトップページに戻る]

[電子情報通信学会ホームページ]


IEICE / 電子情報通信学会