文献

J-GLOBAL ID：201102272665552888   整理番号：11A0856198

動的解析を利用したPDFマルウェア解析システムの実装と評価

Development and evaluation of PDF malware analysis system using dynamic analysis

著者 (3件)： 神薗雅紀 (セキュアブレイン 先端技研) ,  西田雅太 (セキュアブレイン 先端技研) ,  星澤裕二 (セキュアブレイン 先端技研)
資料名： 電子情報通信学会技術研究報告  (IEICE Technical Report (Institute of Electronics, Information and Communication Engineers))
巻： 110  号： 475(ICSS2010 56-66)  ページ： 47-52  発行年： 2011年03月18日 
JST資料番号： S0532B  ISSN： 0913-5685  資料種別： 会議録 (C)
記事区分： 原著論文  発行国： 日本 (JPN)  言語： 日本語 (JA)

抄録/ポイント： 近年,Adobe Readerに複数のゼロデイが存在したこともあり,PDF形式のマルウェアによる被害が大きな問題となっている。PDFマルウェアには難読化されたJavaScriptが組み込まれており,その難読化の多様さからアンチウイルスソフトによる検知率が非常に低い結果となっている。これらのインシデントを詳細に把握するため,著者らは難読化が施されたJavaScriptをエミュレーションにより解析するシステムを開発した。本稿では開発システムを改良し,PDFマルウェア内に組み込まれたJavaScriptを解析するシステムを提案する。提案システムはPDFファイルからJavaScriptならびにオブジェクト情報を自動抽出し,JavaScript for Acrobat APIを模擬したJavaScript Interpreter環境にて抽出したJavaScriptをエミュレートすることで動的解析を行う。本解析により難読化を解除した最終的な悪意のあるJavaScriptコードを取得し,どのような脆弱性を利用しているか判別する。また,難読化を解除したコードには端末を制御するためのshellcodeが埋め込まれている。そこで提案システムの解析結果からshellcode部を特定し,エミュレーションによりshellcodeの内容まで解析する手法を考察する。(著者抄録)

シソーラス用語： ソフトウェア ,  *コンピュータウイルス ,  *データフォーマット ,  *動的解析 ,  プログラム変換 ,  簡易言語 ,  エミュレーション ,  抽出 ,  *マルウェア ,  Javaスクリプト
準シソーラス用語： *PDF ,  難読化 ,  自動抽出

分類 (2件)： データ保護  (JD01020V) ,  その他の情報処理  (JE15050M)

引用文献 (11件)：

• 神薗雅紀. ウェブ改ざんはこうして起こる その攻撃手法の解説. AVAR2009 IN KYOTO. 2009
• TEPPALAVALASA, Satyendra. AVAR2009 IN KYOTO. 2009
• 神薗雅紀. 動的解析を利用した難読化 JavaScript コード解析システムの実装と評価. MWS2010. 2010
• JavaScript^<TM> for Acrobat【○!R】 API Reference. https://www.adobe.com/devnet/acrobat/PDFs/js_api_reference.PDF
• Mozilla. org. What is SpiderMonkey?. http://www.mozilla.org/JavaScript/SpiderMonkey/

タイトルに関連する用語 (5件)： 動的解析 ,  PDF ,  マルウェア解析 ,  実装 ,  評価