| 講演抄録/キーワード |
| 講演名 |
2019-11-13 13:30
システムコールの時系列データの分析によるランサムウェアに感染した実行環境の正常化手法 ○平城裕隆・落合秀也・江崎 浩(東大) ICSS2019-60 |
| 抄録 |
(和) |
今日,コンピュータの環境を安全に保つことは非常に重要な課題である.マルウェアの中でも,標的の ファイルに対してロックや暗号化を行い,復号する代わりに身代金を要求するランサムウェアに感染したファイル を復元することは現実的に難しい場合が多い.また,仮想通貨の普及によって攻撃者は補足されるリスクが低く なっており,ランサムウェアのソフトウェアを販売する悪質なサービスも行われている.そこで本論文ではランサ ムウェアに感染したファイルの復元手法を研究する.調査では,ランサムウェアが実行するシステムコールを解析 し,悪意のある挙動は周期的あるいは連続的に実行されるという傾向が分かった.調査を踏まえてランサムウェア が実行する WindowsAPI の処理を書き換えてファイルの複製をした上で,システムコールの時系列データを解析し て正常な処理を特定することで復元することを目指す.更に近年ではマルウェアの機能が向上しており,自身が解 析対象になっていることを検知するアンチデバッグ機能を備えたものが存在するため,ランサムウェアに検知され ることなく解析を行う必要がある.そこで本研究ではオーバーヘッドの少ないハイパーバイザである BitVisor を用 いる手法を提案する. |
| (英) |
Today, keeping the computer environment safe is a very important issue. Among the malware, it is often difficult in practice to restore a file infected with ransomware that locks and encrypts the target file and requires a ransom instead of decrypting it. In addition, the spread of virtual currency has reduced the risk of attackers being supplemented, and malicious services that sell ransomware software are also available. Therefore, in this paper, we study a method for restoring files infected with ransomware. In the survey, we analyzed the system calls executed by ransomware and found that malicious behaviors tend to be executed periodically or continuously. Based on the investigation, we rewrite the Windows API processing executed by the ransomware to duplicate the file, and then aim to restore it by analyzing the time series data of system calls and identifying normal processing. Furthermore, malware functions have improved in recent years, and some have anti-debug functions that detect that they are subject to analysis, so analysis must be performed without being detected by ransomware. In this study, we propose a method using BitVisor, a hypervisor with low overhead. |
| キーワード |
(和) |
ランサムウェア / BitVisor / アンチデバッグ / システムコール / マルウェア / / / |
| (英) |
Ransomware / BitVisor / Anti-Debug / System call / Malware / / / |
| 文献情報 |
信学技報, vol. 119, no. 288, ICSS2019-60, pp. 1-5, 2019年11月. |
| 資料番号 |
ICSS2019-60 |
| 発行日 |
2019-11-06 (ICSS) |
| ISSN |
Online edition: ISSN 2432-6380 |
著作権に ついて |
技術研究報告に掲載された論文の著作権は電子情報通信学会に帰属します.(許諾番号:10GA0019/12GB0052/13GB0056/17GB0034/18GB0034) |
| PDFダウンロード |
ICSS2019-60 |
| 研究会情報 |
| 研究会 |
ICSS |
| 開催期間 |
2019-11-13 - 2019-11-13 |
| 開催地(和) |
MRTテラス(宮崎市) |
| 開催地(英) |
MRT Terrace(Miyazaki) |
| テーマ(和) |
情報通信システムセキュリティ、一般 |
| テーマ(英) |
Information Communication System Security, etc. |
| 講演論文情報の詳細 |
| 申込み研究会 |
ICSS |
| 会議コード |
2019-11-ICSS |
| 本文の言語 |
日本語 |
| タイトル(和) |
システムコールの時系列データの分析によるランサムウェアに感染した実行環境の正常化手法 |
| サブタイトル(和) |
|
| タイトル(英) |
Recovery method of execution environment infected with ransomware by analyzing time series data of system calls |
| サブタイトル(英) |
|
| キーワード(1)(和/英) |
ランサムウェア / Ransomware |
| キーワード(2)(和/英) |
BitVisor / BitVisor |
| キーワード(3)(和/英) |
アンチデバッグ / Anti-Debug |
| キーワード(4)(和/英) |
システムコール / System call |
| キーワード(5)(和/英) |
マルウェア / Malware |
| キーワード(6)(和/英) |
/ |
| キーワード(7)(和/英) |
/ |
| キーワード(8)(和/英) |
/ |
| 第1著者 氏名(和/英/ヨミ) |
平城 裕隆 / Hirotaka Hiraki / ヒラキ ヒロタカ |
| 第1著者 所属(和/英) |
東京大学 (略称: 東大)
The University of Tokyo (略称: Tokyo Univ.) |
| 第2著者 氏名(和/英/ヨミ) |
落合 秀也 / Hideya Ochiai / オチアイ ヒデヤ |
| 第2著者 所属(和/英) |
東京大学 (略称: 東大)
The University of Tokyo (略称: Tokyo Univ.) |
| 第3著者 氏名(和/英/ヨミ) |
江崎 浩 / Hiroshi Esaki / エサキ ヒロシ |
| 第3著者 所属(和/英) |
東京大学 (略称: 東大)
The University of Tokyo (略称: Tokyo Univ.) |
| 第4著者 氏名(和/英/ヨミ) |
/ / |
| 第4著者 所属(和/英) |
(略称: )
(略称: ) |
| 第5著者 氏名(和/英/ヨミ) |
/ / |
| 第5著者 所属(和/英) |
(略称: )
(略称: ) |
| 第6著者 氏名(和/英/ヨミ) |
/ / |
| 第6著者 所属(和/英) |
(略称: )
(略称: ) |
| 第7著者 氏名(和/英/ヨミ) |
/ / |
| 第7著者 所属(和/英) |
(略称: )
(略称: ) |
| 第8著者 氏名(和/英/ヨミ) |
/ / |
| 第8著者 所属(和/英) |
(略称: )
(略称: ) |
| 第9著者 氏名(和/英/ヨミ) |
/ / |
| 第9著者 所属(和/英) |
(略称: )
(略称: ) |
| 第10著者 氏名(和/英/ヨミ) |
/ / |
| 第10著者 所属(和/英) |
(略称: )
(略称: ) |
| 第11著者 氏名(和/英/ヨミ) |
/ / |
| 第11著者 所属(和/英) |
(略称: )
(略称: ) |
| 第12著者 氏名(和/英/ヨミ) |
/ / |
| 第12著者 所属(和/英) |
(略称: )
(略称: ) |
| 第13著者 氏名(和/英/ヨミ) |
/ / |
| 第13著者 所属(和/英) |
(略称: )
(略称: ) |
| 第14著者 氏名(和/英/ヨミ) |
/ / |
| 第14著者 所属(和/英) |
(略称: )
(略称: ) |
| 第15著者 氏名(和/英/ヨミ) |
/ / |
| 第15著者 所属(和/英) |
(略称: )
(略称: ) |
| 第16著者 氏名(和/英/ヨミ) |
/ / |
| 第16著者 所属(和/英) |
(略称: )
(略称: ) |
| 第17著者 氏名(和/英/ヨミ) |
/ / |
| 第17著者 所属(和/英) |
(略称: )
(略称: ) |
| 第18著者 氏名(和/英/ヨミ) |
/ / |
| 第18著者 所属(和/英) |
(略称: )
(略称: ) |
| 第19著者 氏名(和/英/ヨミ) |
/ / |
| 第19著者 所属(和/英) |
(略称: )
(略称: ) |
| 第20著者 氏名(和/英/ヨミ) |
/ / |
| 第20著者 所属(和/英) |
(略称: )
(略称: ) |
| 第21著者 氏名(和/英/ヨミ) |
/ / |
| 第21著者 所属(和/英) |
(略称: )
(略称: ) |
| 第22著者 氏名(和/英/ヨミ) |
/ / |
| 第22著者 所属(和/英) |
(略称: )
(略称: ) |
| 第23著者 氏名(和/英/ヨミ) |
/ / |
| 第23著者 所属(和/英) |
(略称: )
(略称: ) |
| 第24著者 氏名(和/英/ヨミ) |
/ / |
| 第24著者 所属(和/英) |
(略称: )
(略称: ) |
| 第25著者 氏名(和/英/ヨミ) |
/ / |
| 第25著者 所属(和/英) |
(略称: )
(略称: ) |
| 第26著者 氏名(和/英/ヨミ) |
/ / |
| 第26著者 所属(和/英) |
(略称: )
(略称: ) |
| 第27著者 氏名(和/英/ヨミ) |
/ / |
| 第27著者 所属(和/英) |
(略称: )
(略称: ) |
| 第28著者 氏名(和/英/ヨミ) |
/ / |
| 第28著者 所属(和/英) |
(略称: )
(略称: ) |
| 第29著者 氏名(和/英/ヨミ) |
/ / |
| 第29著者 所属(和/英) |
(略称: )
(略称: ) |
| 第30著者 氏名(和/英/ヨミ) |
/ / |
| 第30著者 所属(和/英) |
(略称: )
(略称: ) |
| 第31著者 氏名(和/英/ヨミ) |
/ / |
| 第31著者 所属(和/英) |
(略称: )
(略称: ) |
| 第32著者 氏名(和/英/ヨミ) |
/ / |
| 第32著者 所属(和/英) |
(略称: )
(略称: ) |
| 第33著者 氏名(和/英/ヨミ) |
/ / |
| 第33著者 所属(和/英) |
(略称: )
(略称: ) |
| 第34著者 氏名(和/英/ヨミ) |
/ / |
| 第34著者 所属(和/英) |
(略称: )
(略称: ) |
| 第35著者 氏名(和/英/ヨミ) |
/ / |
| 第35著者 所属(和/英) |
(略称: )
(略称: ) |
| 第36著者 氏名(和/英/ヨミ) |
/ / |
| 第36著者 所属(和/英) |
(略称: )
(略称: ) |
| 講演者 |
第1著者 |
| 発表日時 |
2019-11-13 13:30:00 |
| 発表時間 |
25分 |
| 申込先研究会 |
ICSS |
| 資料番号 |
ICSS2019-60 |
| 巻番号(vol) |
vol.119 |
| 号番号(no) |
no.288 |
| ページ範囲 |
pp.1-5 |
| ページ数 |
5 |
| 発行日 |
2019-11-06 (ICSS) |
|