CN107209833A - 恶意软件分析系统、恶意软件分析方法及恶意软件分析程序 - Google Patents
恶意软件分析系统、恶意软件分析方法及恶意软件分析程序 Download PDFInfo
- Publication number
- CN107209833A CN107209833A CN201580074444.2A CN201580074444A CN107209833A CN 107209833 A CN107209833 A CN 107209833A CN 201580074444 A CN201580074444 A CN 201580074444A CN 107209833 A CN107209833 A CN 107209833A
- Authority
- CN
- China
- Prior art keywords
- malware
- analysis
- mentioned
- information
- preparation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
- Investigating Or Analysing Biological Materials (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
恶意软件分析系统(1)具备预备分析部(131)、判定部(132)及指定部(133)。预备分析部(131)通过执行作为分析对象的候选取得的恶意软件,取得与从恶意软件发起的通信相关的信息。判定部(132)根据通过预备分析部(131)取得的信息,判定是否将恶意软件作为分析的对象。指定部(133)根据通过预备分析部(131)取得的信息,对通过判定部(132)判定为分析的对象的恶意软件指定分析的次序。
Description
技术领域
本发明涉及恶意软件分析系统、恶意软件分析方法及恶意软件分析程序。
背景技术
近年来,导致信息泄漏、非法访问等的威胁的非法程序(以下,称为“恶意软件”)来势凶猛。被恶意软件感染的手段逐年被复杂化、巧妙化,完全地防止感染是比较困难的。因此,不仅需要感染防止对策,而且还需要将感染后的损失抑制为最小限的对策。
为了将感染后的损失抑制为最小限,优选为早期地发现感染终端并进行无害化。作为对策手法的一例,可列举对从终端发出的通信进行监视的手法(网络监视)。网络监视通过对与在感染后发生的攻击者服务器的通信进行检测,从而检测感染终端。另外,基于从恶意软件发生的通信的检测在通过恶意软件而不会导致对策自身被无效化的点上也是有用的。
作为具体的手法,采取如下手法:通过一边执行恶意软件一边进行分析的手法(以下,记载为“动态分析”),收集恶意软件的通信目的地信息,并进行黑名单化。在网络监视中,该黑名单的规模及新鲜度决定对策的效果。如果黑名单的规模小则发生看漏,另外,如果信息旧则无法期待对策的效果。因此,重要的是分析更多的恶意软件,收集表示生存的攻击者服务器的通信目的地的IP地址、FQDN(Fully Qualified Domain Name:完全限定域名)、URL(Uniform Resource Locator:统一资源定位器)等。即,为了以感染后的对策为目的来生成黑名单,优选为,在将收集到的检体均连接于网络的状态下在一定期间进行动态分析。
但是,每天新发现的恶意软件非常地庞大,并且用于分析的计算资源也是有限的,因此对全部的恶意软件进行分析是困难的。因此,需要从收集到的检体(恶意软件)中有效地选定作为分析对象的检体的手法。例如,公知有通过计算恶意软件的程序代码之间的相似性来避免重复的分析的技术(例如,非专利文献1)。另外,公知有为了选定适合黑名单的生成的检体而从静态分析的结果预测动态分析的结果的技术(例如,非专利文献2)。
现有技术文献
非专利文献
非专利文献1:Gregoire Jacob,Paolo Milani Comparetti,MatthiasNeugschwandtner,Christopher Kruegel,Giovanni Vigna,“A Static,Packer-AgnosticFilterto Detect Similar Malware Samples”,DIMVA 2012
非专利文献2:Matthias Neugschwandtner,Paolo Milani Comparetti,GregoireJacob,Christopher Kruegel,“FORECAST:Skimming off the Malware Cream”,ACSAC2011
发明内容
发明要解决的课题
但是,在上述的以往技术中,有效地选定要分析的恶意软件是困难的。具体地,有时即使通过静态分析而计算出程序代码相似,也会看漏从程序代码的相似性不会被抽取的通信目的地的差异。另外,在从静态分析的结果预测动态分析的动作的情况下,在出现新的种类的恶意软件的情况下、恶意软件实施了使程序代码难读化的处理的情况下,无法进行特征的抽取,看漏进行通信的检体的可能性变高。
本发明是鉴于上述问题而研发的,本发明的目的在于提供一种能够有效地选定要分析的恶意软件的恶意软件分析系统、恶意软件分析方法及恶意软件分析程序。
解决课题的手段
为了解决上述课题并达成目的,恶意软件分析系统的特征在于,其具备:预备分析部,其通过执行作为分析对象的候选而取得的恶意软件,取得与从该恶意软件发生的通信相关的信息;判定部,其根据通过上述预备分析部取得的信息,判定是否将上述恶意软件作为分析对象;及指定部,其根据通过上述预备分析部取得的信息,对通过上述判定部判定为分析对象的恶意软件指定分析的次序。
发明效果
根据本申请公开的实施方式的一例,能够有效地选定分析的恶意软件。
附图说明
图1是表示通过实施方式的恶意软件分析系统而进行的分析处理的一例的图。
图2是表示实施方式的恶意软件DB的一例的图。
图3是表示实施方式的预备分析装置的结构的一例的图。
图4是表示实施方式的封闭环境执行日志表的一例的图。
图5是表示实施方式的开放环境执行日志表的一例的图。
图6是表示实施方式的分析对象DB的一例的图。
图7是表示实施方式的预备分析处理过程的流程图。
图8是表示实施方式的封闭环境中的判定处理过程的流程图。
图9是表示实施方式的开放环境中的判定处理过程的流程图。
图10是表示实施方式的指定处理过程的流程图。
图11是表示执行恶意软件分析程序的计算机的图。
具体实施方式
下面,根据附图,对本申请的恶意软件分析系统、恶意软件分析方法及恶意软件分析程序的实施方式进行详细说明。另外,本申请的恶意软件分析系统、恶意软件分析方法及恶意软件分析程序并非限定于该实施方式。
[分析处理的一例]
首先,利用图1,对通过实施方式的恶意软件分析系统1而进行的分析处理的一例进行说明。图1是表示通过实施方式的恶意软件分析系统1而进行的分析处理的一例的图。如图1所示,恶意软件分析系统1包括恶意软件DB(Database)20、预备分析装置100、分析对象DB30、及本分析装置200。
恶意软件DB20是规定的存储服务器所具备的数据库,存储有通过恶意软件收集系统10而收集的恶意软件。另外,恶意软件收集系统10由经由通信网络(例如,因特网)而收集作为检体的恶意软件的服务器装置等而构成。恶意软件收集系统10例如收集存在于因特网上的登记到恶意软件共享站点的恶意软件。并且,恶意软件收集系统10将所收集到的恶意软件主体和附属于恶意软件的信息保存到恶意软件DB20。另外,附属于恶意软件的信息是指,例如,恶意软件初次登记到恶意软件共享站点的登记日期时间等。
预备分析装置100是为了选定要分析的恶意软件而执行对恶意软件的预备分析的服务器装置。预备分析装置100通过对与保存于恶意软件DB20的恶意软件相关的信息进行预备分析,从而选定本分析装置200应分析的恶意软件。
分析对象DB30是规定的存储服务器所具备的数据库,存储有作为分析对象的恶意软件。关于存储于分析对象DB30的恶意软件,通过预备分析装置100而指定由本分析装置200执行分析的优先次序。
本分析装置200是以存储于分析对象DB30的恶意软件即通过预备分析装置100而被指定在先的优先次序的恶意软件的顺序执行恶性判定等分析的服务器装置。下面,按照流程,对包括上述各装置的恶意软件分析系统1所进行的分析处理的一例进行说明。另外,在下面的说明中,将与预备分析装置100执行的恶意软件的选定处理相关的分析记载为“预备分析”,将与本分析装置200执行的恶意软件的恶性度判定处理等相关的分析记载为“本分析”。另外,在以下的说明中,将成为分析处理的对象的恶意软件记载为“检体”。
首先,预备分析装置100取得在存储于恶意软件DB20的恶意软件之中还未进行预备分析的恶意软件。并且,预备分析装置100中的预备分析部131对所取得的恶意软件执行预备分析。通过预备分析部131而进行的预备分析处理是通过使恶意软件进行动作,并测定从恶意软件发生的通信数据的状况等的动态分析处理而进行的。另外,具体情况将后述,但通过预备分析部131而进行的恶意软件的预备分析处理是使用将恶意软件与外部的通信网络隔离的环境,即,使恶意软件不与因特网连接的环境(以下,记载为“封闭环境”)和将恶意软件与因特网可进行连接的环境(以下,记载为“开放环境”)这两种环境中的任一种环境或两种环境并用而进行的。在并用而进行预备分析的情况下,优先开放环境的结果。另外,通过预备分析部131而进行的恶意软件的预备分析处理是通过执行恶意软件的终端的OS(Operating System:操作系统)的版本、安装在OS上的应用等各种执行环境而执行的。
并且,预备分析部131将执行预备分析的结果即执行日志保存到执行日志DB121。接着,判定部132根据保存于执行日志DB121的信息而进行判断进行本分析的恶意软件的处理。例如,判定部132将在预备分析处理中,恶意软件是否经由因特网而确立与外部服务器之间的通信等作为要素,判定是否应对恶意软件进行本分析。
接着,指定部133对通过判定部132而成为本分析的对象的恶意软件而进行指定优先次序的处理。优先次序的指定是例如根据恶意软件登记到恶意软件共享站点等的日期时间、与由恶意软件所产生的通信相关的通信目的地的件数而进行的。并且,指定部133将指定的优先次序和在预备分析时所使用的OS(Operating System)的版本等执行环境设定信息、恶意软件主体对应地保存到分析对象DB30。
之后,本分析装置200中的本分析部210按照由预备分析装置100所指定的优先顺序而对保存到分析对象DB30的恶意软件执行本分析处理。并且,本分析部210将恶意软件的本分析处理的结果保存到分析日志DB220。即,通过本分析部210而对引起恶性通信的恶意软件的通信目的地即服务器的信息等进行分析。从而,恶意软件分析系统1能够生成与恶意软件相关的所谓黑名单。
这样,恶意软件分析系统1作为预备分析,执行作为分析对象的候选而取得的恶意软件,从而取得与从恶意软件发起的通信相关的信息。并且,根据通过预备分析而取得的信息,判定是否将恶意软件作为本分析的对象。并且,对于判定为分析的对象的恶意软件,指定进行本分析的次序。
即,恶意软件分析系统1通过执行如上述的预备分析,关于程序代码与过去的恶意软件相同但通信目的地不同的恶意软件、新种类的恶意软件、通过包装而隐藏表面性特征的恶意软件等,取得与规定的通信相关的信息。并且,恶意软件分析系统1根据相关的预备分析的结果,抽取进行恶性通信的可能性高的恶意软件。换言之,恶意软件分析系统1与因特网连接一定时间而能够有效地选定与从恶意软件发起的通信中所包含的通信目的地相关的信息即IP地址、FQDN、作为用于收集URL的对象的恶意软件。其结果,恶意软件分析系统1能够从庞大数量的恶意软件当中,对于应该进行黑名单化的恶意软件有效地进行分析处理。
[恶意软件分析系统的结构]
下面,使用附图,对构成上述的恶意软件分析系统1的各个装置进行详细说明。
(关于恶意软件DB20)
恶意软件DB20例如通过RAM(Random Access Memory:随机存取存储器)、闪存存储器(Flash Memory)等半导体存储器元件或硬盘、光盘等存储装置而实现。
恶意软件DB20存储与通过恶意软件收集系统10而收集的恶意软件相关的信息。在此,图2表示实施方式的恶意软件DB20的一例。如图2所示,恶意软件DB20具有“恶意软件识别符”、“登记日期时间”这样的项目。
“恶意软件识别符”表示用于识别恶意软件的识别信息。“登记日期时间”表示恶意软件初次登记到恶意软件共享站点等的日期时间。另外,在不经由恶意软件共享站点等,而是通过恶意软件收集系统10而收集恶意软件的情况下,关于登记日期时间,可存储将恶意软件保存到恶意软件DB20的日期时间。
即,在图2中,作为存储到恶意软件DB20的信息的一例,表示使用恶意软件识别符“M001”识别的恶意软件在“2014年12月28日22点25分14秒”被登记的一例。
另外,在下面的记载中,有时将存储于“恶意软件识别符”的项目的识别符作为参照符号而使用。例如,在下面的记载中,有时将通过恶意软件识别符“M001”而识别的恶意软件记载为“恶意软件M001”。
(关于预备分析装置100)
下面,使用图3,对实施方式的预备分析装置100进行说明。图3是表示实施方式的预备分析装置的结构的一例的图。如图3所例示,实施方式的预备分析装置100具备IF(interface:接口)部110、存储部120、控制部130。
IF部110例如为NIC(Network Interface Card:网络接口卡)等,与外部装置之间收发各种数据。例如,IF部110与具备恶意软件DB20或分析对象DB30的各个存储服务器、本分析装置200之间收发与恶意软件相关的信息。
存储部120例如由RAM、闪存存储器等半导体存储器元件或硬盘、光盘等而实现。存储部120具备执行日志DB121。执行日志DB121具备存储通过封闭环境而进行预备分析的结果的封闭环境执行日志表122和存储通过开放环境而进行预备分析的结果的开放环境执行日志表123。
(关于封闭环境执行日志表122)
在此,图4表示实施方式的封闭环境执行日志表122的一例。如图4所示,封闭环境执行日志表122具备“恶意软件识别符”、“取得日期时间”、“封闭环境预备分析信息”这样的项目。另外,“封闭环境预备分析信息”具备“执行环境信息”、“执行结果”、“数据发送的发生有无”、“IP地址直接指定的有无”、“成功的名称解决的有无”、“通信目的地件数”这样的小项目。
“恶意软件识别符”表示用于识别恶意软件的识别信息。“取得日期时间”表示通过执行预备分析而取得封闭环境预备分析信息的日期时间。另外,取得日期时间可存储于后述的各个执行环境信息中。
“封闭环境预备分析信息”表示在封闭环境下进行预备分析时的结果。“执行环境信息”表示为了预备分析而执行恶意软件时的环境信息。在图4中,用“A001”这样的概念来表示了执行环境信息,但在实际上,存储有由执行恶意软件时的OS的版本、执行恶意软件的终端内的运行库的有无、版本、应用的安装的有无、版本等各种信息的组合而构成的执行环境。
“执行结果”表示在预备分析时的各个执行环境信息中,恶意软件是否实际地进行动作。如果“执行结果”的项目为“○”,则表示恶意软件进行了动作,如果执行结果为“×”,则表示恶意软件未进行动作。另外,关于恶意软件是否实际地进行动作,例如可通过确认流程生成的成功可否、执行时错误的发生有无而进行判定。具体地,在流程生成获得成功的情况下、执行时未发生错误的情况下,可判定为恶意软件实际进行了动作。
“数据发送的发生有无”表示在恶意软件进行了动作的情况下,是否观测到数据发送的举动。如果“数据发送的发生有无”的项目为“○”,则表示观测到从恶意软件发送数据的举动,如果“数据发送的发生有无”的项目为“×”,则表示未观测到从恶意软件发送数据的举动。另外,如果“执行结果”的项目为“×”,则未观测到从恶意软件发送数据的举动,因此在“数据发送的发生有无”以后的项目中存储“‐”。
“IP地址直接指定的有无”表示在恶意软件进行动作的情况下,是否观测到直接指定IP地址的数据发送。如果“IP地址直接指定的有无”的项目为“○”,则表示观测到直接指定IP地址的数据发送,如果“IP地址直接指定的有无”的项目为“×”,则表示未观测到直接指定IP地址的数据发送。
“成功的名称解决的有无”表示能否通过恶意软件的通信而分割通信目的地的服务器等的地址。如果“成功的名称解决的有无”的项目为“○”,则表示名称解决成功,如果“成功的名称解决的有无”的项目为“×”,则表示名称解决未成功。另外,在“成功的名称解决的有无”的项目为“‐”的情况下,恶意软件不进行动作,因此表示原本就无法进行名称解决的情况或无需进行名称解决的情况。无需进行名称解决的情况是指,例如,从恶意软件观测到IP地址直接指定的通信,因此无需具体进行名称解决,可判断出将相关的恶意软件作为本分析的对象的情况等。在该情况下,即便在“数据发送的发生有无”的项目、“IP地址直接指定的有无”的项目为“○”的情况下,“成功的名称解决的有无”的项目也有可能成为“-”。
“通信目的地件数”表示恶意软件执行进行通信处理的举动的对方目的地的件数。具体地,通信目的地件数表示恶意软件的通信目的地即IP地址的数量。
即,在图4中表示在“2015年1月15日9点15分35秒”取得向恶意软件M011的封闭环境预备分析信息,其封闭环境预备分析信息中,在执行环境信息为“A001”时,执行结果为“×”,恶意软件未进行动作。另外,在其他的例子中,表示在执行环境信息为“A002”时,恶意软件进行动作,观测到数据发送的举动,但未观测到直接指定IP地址的通信。另外,在其他的例子中,表示在执行环境信息为“A003”时,恶意软件进行动作,观测到数据发送的举动,并观测到直接指定IP地址的通信,其通信目的地件数为“23”件。
(关于开放环境执行日志表123)
接着,图5表示实施方式的开放环境执行日志表123的一例。如图5所示,开放环境执行日志表123具备“恶意软件识别符”、“取得日期时间”、“开放环境预备分析信息”这样的项目。另外,“开放环境预备分析信息”具备“执行环境信息”、“执行结果”、“通信发生的有无”、“无错误的通信的有无”、“获得响应的通信目的地件数”这样的小项目。另外,关于与图4相同的项目,省略说明。
“开放环境预备分析信息”表示在开放环境下进行预备分析时的结果。“通信发生的有无”的项目与图4中的“数据发送的发生有无”对应。在图4中记载为“数据发送的发生有无”是因为在封闭环境下无法观测到通信,只能观测到从恶意软件单方向地发送数据的举动。
“无错误的通信的有无”表示对于来自恶意软件的通信,存在服务器等的对方目的地,是否观测到至少一个无错误的通信。在此,通信的错误是针对各个协议而定义的。例如,在协议为HTTP(Hypertext Transfer Protocol:超文本传输协议)的情况下,通信的错误相当于第200个以外。另外,在使用恶意软件的协议中,例如,还包括FTP(File TransferProtocol:文件传输协议)、SMTP(Simple Mail Transfer Protocol:简单邮件传输协议)等。另外,在协议不清楚的情况下,因超时等而导致的连接失败相当于错误。
“获得响应的通信目的地件数”表示在恶意软件的预备分析中的通信中,进行无错误的通信的通信目的地的件数。另外,在规定的通信目的地中,即便在下层中向指定的目的地进行了发生错误的通信的情况下,而如果向不同的目的地成立无错误的通信,则也可统计为“获得响应的通信目的地件数”。具体地,在HTTP通信中,即便在“http://example.com/a.html”中如“404not Found(有错误)”这样发生了错误,但如果在“http://example.com/b.html”中如“200O.K.(无错误)”这样没有发生错误的情况下,“http://example.com”被统计为进行无错误的通信的通信目的地。
即,图5中表示如下情况:在“2015年1月17日11点8分30秒”取得向恶意软件M021的开放环境预备分析信息,其开放环境预备分析信息中,在执行环境信息为“A001”时,执行结果为“×”,恶意软件未进行动作。另外,在其他例子中,表示在执行环境信息为“A002”时,恶意软件进行动作,观测到发生了通信,但在所发生的通信中仅返回错误。另外,在其他的例子中,表示在执行环境信息为“A003”时,恶意软件进行动作,发生通信,进而进行无错误的通信,其通信目的地件数为“17”件。
(关于控制部130)
控制部130例如由ASIC(Application Specific Integrated Circuit:专用集成电路)、FPGA(Field Programmable Gate Array:现场可编程门阵列)等集成电路而实现。另外,控制部130例如通过CPU(Central Processing Unit:中央处理器)、MPU(MicroProcessing Unit:微处理器)等,存储在未图示的存储装置的程序将RAM作为作业区域而执行来实现。另外,控制部130具备预备分析部131、判定部132、指定部133,执行对恶意软件的预备分析处理。下面,对各个处理部进行说明。
(关于预备分析部131)
预备分析部131对构成处理对象的恶意软件(检体)执行预备分析。具体地,实施方式的预备分析部131作为预备分析,执行作为分析对象的候选而取得的恶意软件,从而取得与从恶意软件发起的通信相关的信息。在该情况下,执行恶意软件是指,在规定的终端中使检体作为程序而实际进行动作。另外,预备分析部131从恶意软件DB20取得成为处理对象的检体。在该情况下,预备分析部131首先取得保存在恶意软件DB20的恶意软件的信息,在恶意软件DB20中存在未分析的检体的情况下,取得相关的检体。此时,预备分析部131在未分析的检体之中,越是新登记的检体,越优先取得。另外,预备分析部131在从恶意软件DB20取得检体时,也取得检体的附属信息。例如,预备分析部131取得与恶意软件经由通信网络而初次登记到恶意软件共享站点等、一元地贮存恶意软件的规定的数据库的日期时间相关的信息等。
并且,预备分析部131作为预备分析,将检体动态分析而发生通信,并观测到相关的通信的举动,从而取得与从检体发起的通信相关的信息。此时,预备分析部131将通过检体的通信而发生的执行日志存储到执行日志DB121。
预备分析部131在进行检体的预备分析时,适当变更执行检体的环境即执行环境。例如,预备分析部31在执行检体的终端中,在将安装在终端的OS、库或应用任意组合的多个执行环境中执行动作,从而针对每个执行环境取得与从恶意软件发起的通信相关的信息。此时,在检体执行通信时发生错误的情况下,即在存在在该检体的预备分析中未使用的执行环境的情况下,预备分析部131变更执行环境而再次进行分析。从而,对于执行仅在安装有特定的库的环境下进行动作等的举动的检体,也能够有效地进行预备分析。
在执行时未发生错误的情况下或在可採用的所有执行环境下实施了分析的情况下,预备分析部131结束对该检体的预备分析。并且,预备分析部131将分析结果和在分析中使用的执行环境的信息登记到执行日志DB121。在登记与该检体相关的信息之后,预备分析部131移动到下一个检体的预备分析处理。另外,预备分析部131关于执行环境,并不是针对每一个环境确认执行动作,而是在所有的执行环境中同时进行分析,并保存到执行日志DB121。
另外,预备分析部131在进行检体的预备分析时,既可以在有效地进行擬似应答的封闭环境中实施,也可以在与因特网连接的开放环境中实施。
下面,对预备分析部131在封闭环境下进行预备分析的处理进行说明。在封闭环境下实施预备分析的优点在于,由于不发生与因特网上的服务器之间的通信,因此在不被攻击者所知的情况下能够分析恶意软件的举动。另外,由于恶意软件实际上不与服务器进行通信,因此存在无法掌握服务器側是否继续进行应答的缺点。
在封闭环境下,预备分析部131通过预备分析而取得与从检体发生的数据发送相关的信息。在该情况下,预备分析部131将执行日志保存到执行日志DB121内的封闭环境执行日志表122内。另外,如图4所示,预备分析部131取得在所发生的数据发送中是否存在与发送目的地即IP地址相关的直接指定,或通过检体而进行的名称解决是否成功,换言之,对于DNS(Domain Name System:域名系统)询问是否发生错误等信息。另外,关于封闭环境下的名称解决的成功的有无,也可以在预备分析结束之后,通过另外确认在可与因特网连接的环境下能否进行名称解决而进行。另外,关于DNS询问,可通过向外部前进,从而确认在本分析时可否进行名称解决。
接着,对开放环境下的预备分析进行说明。在开放环境下实施预备分析的优点在于实际上能够从因特网上的服务器接收数据的同时分析恶意软件。
因此,预备分析部131在预备分析中还能够取得来自服务器的响应的有无、响应的内容。在该情况下,预备分析部131将执行日志保存在执行日志DB121内的开放环境执行日志表123内。例如,如图5所示,在发生来自检体的通信的情况下,预备分析部131能够取得无错误的通信的有无、获得响应的通信的通信目的地件数等的信息。
另外,为了便于说明,示出了在执行日志DB121内存在封闭环境执行日志表122和开放环境执行日志表123的例子,但无论在封闭环境、开放环境的任一环境下,均能够按照每个检体综合而存储执行日志。在该情况下,关于因环境不同而无法取得的信息(例如,封闭环境下的“获得响应的通信目的地件数”等信息),不存储在执行日志内。
预备分析装置100能够事先预定在封闭环境下实施预备分析,还是在开放环境实施预备分析。这是因为,根据在预备分析中所采用的环境,后述的判定部132及指定部133所实施的处理的内容不同。在预备分析装置100针对各个检体而切换封闭环境和开放环境的情况下,指定部133根据预先决定的基准决定优先次序,决定先分析在封闭环境下分析的检体和在开放环境下分析的检体的哪一个检体。
另外,预备分析部131在预备分析时,作为避免由恶意软件导致的分析干扰的手法,可监视休眠功能等的API(Application Programming Interface:应用程序接口)呼叫,进行缩短休眠时间等的处理。另外,在设定为重新启动恶意软件之后使预备分析部131自动启动的情况下,可使用强制地执行或重新启动被自动启动的检体的工作方式。进而,预备分析部131经由分析对象DB30而将与所使用的分析干扰避免手法相关的信息发送到本分析装置200。从而,后述的本分析装置200中的本分析部210可进行与预备分析部131所实施的分析干扰避免手法相同的处理。
(关于判定部132)
判定部132根据通过预备分析部131而取得的信息,判定是否将检体作为本分析的对象。具体地,判定部132根据通过预备分析而获得的执行日志中包含的、检体是否无错误地被执行、检体是否还在与外部服务器进行通信等判定要素,判定是否将检体作为本分析处理的对象。
首先,对在封闭环境下实施预备分析的情况下通过判定部132而进行的判定处理进行说明。在封闭环境下,判定部132根据与来自检体的数据发送相关的信息进行判定。具体地,判定部132根据图4所示的封闭环境执行日志表122而进行判定。
关于在预备分析中使用的所有的执行环境中发生了错误的检体,显然在本分析时也在执行时会发生错误而无法分析,因此判定部132判定为本分析的对象外。另外,关于虽然进行了动作但未发生数据发送的检体,判定部132作为不利于生成黑名单的对象而判定为本分析的对象外。另外,关于虽然可确认数据发送的举动但没有IP地址直接指定的通信,并且对所有的DNS询问发生错误的检体,判定部132判定为本分析的对象外。另外,如上述,关于DNS咨询的可否,也可以在预备分析结束之后另外在可与因特网连接的环境下确认可否进行名称解决。
并且,关于通过上述判定要素而判定为不作为本分析的对象外的检体,判定部132判定为本分析的对象。
接着,对在开放环境下实施预备分析的情况下的通过判定部132而进行的判定处理进行说明。在开放环境下,判定部132根据来自检体的与通信相关的信息而进行判定。具体地,判定部132根据图5所示的开放环境执行日志表123而进行判定。
与封闭环境下相同地,关于在预备分析中使用的所有的执行环境中发生了错误的检体,判定部132判定为本分析的对象外。另外,关于虽然进行了动作但未发生通信的检体,判定部132也判定为本分析的对象外。另外,关于虽然确认了通信的举动,但在所有的通信中发生错误的检体,判定部132判定为本分析的对象外。并且,在上述判定的结果,对于剩余的检体,判定部132作为本分析的对象检体。
并且,判定部132通过指定部133指定分析的优先次序,因此将与成为本分析的对象的检体相关的信息发送到指定部133。
(关于指定部133)
指定部133根据通过预备分析部131取得的信息,对于通过判定部132判定为本分析处理的对象的检体而指定本分析处理的次序。换言之,指定部133决定本分析的对象即检体的分析顺序。
指定部133在指定对检体的优先次序时,首先访问分析对象DB30而取得未分析的检体的信息。并且,指定部133对于所取得的未分析的检体和成为本分析的对象的新的分析对象检体,将检体的登记日期时间或通信目的地的件数作为判断要素而指定本分析的次序。即,指定部133在分析对象DB30中登记与新的分析对象检体相关的信息,并且再次计算原先已被登记在分析对象DB30中的未分析的检体的分析优先次序。
指定部133在分析优先次序的计算中使的检体登记日期时间更新的检体优先。另外,指定部133以关于登记日期时间相同的检体,使得通信目的地数多的检体优先的方式,以升序指定优先次序。此时,指定部133能够除去自登记开始经过了规定的期间以上的检体。这表示经过了规定的期间以上的检体是因进行恶性通信的可能性低或已经采取任何对策的可能性高而进行本分析的需求较低的检体。
指定部133在将通信目的地的件数作为判断要素时,在封闭环境下进行预备分析的情况下,将执行恶意软件进行通信的举动的通信目的地的件数作为要素,在开放环境下进行预备分析的情况下,将恶意软件确立的通信的通信目的地的件数作为要素。具体地,在封闭环境下进行预备分析的情况下,指定部133将图4所示的“通信目的地件数”多的检体的分析优先度指定为较高。在该情况下,通信目的地件数例如为通信目的地的IP地址数。在图4的例子中,对于恶意软件M011的通信目的地件数为“23”的情况,由于恶意软件M012的通信目的地件数为“18”,因此指定部133在通信目的地件数的比较中,将恶意软件M011的优先次序指定为更高。
另外,在开放环境下进行预备分析的情况下,指定部133将图5所示的“获得响应的通信目的地件数”多的检体的分析优先度指定为更高。在图5的例子中,对于恶意软件M021的获得响应的通信目的地件数为“17”的情况,由于恶意软件M022的获得响应的通信目的地件数为“13”,因此指定部133在获得响应的通信目的地件数的比较中,将恶意软件M021的优先次序指定为更高。
另外,在预备分析部131所进行的预备分析中,通过在将安装于执行检体的终端的OS、库、或应用任意地组合的多个执行环境下执行简体,从而可针对各个执行环境取得从检体发起的通信中的通信目的地的件数。在该情况下,指定部133根据通过预备分析部131而针对每个执行环境所取得的通信目的地的件数之中的最多的通信目的地的件数,指定分析恶意软件的次序。即,在相同的检体中,在通过执行环境而导致通信目的地件数发生变化的情况下,最多的通信目的地件数成为次序的指定的判断要素。
并且,指定部133将所指定的优先次序包括在内而将检体登记到分析对象DB30。此时,指定部133将各检体和与生成优先次序最高的执行日志时的执行环境相关的信息进行登记。这样,通过预备分析装置100,以具备次序的方式选定构成本分析的对象的检体,并且将与适于进行检体的分析的执行环境相关的信息登记到分析对象DB30。从而,恶意软件分析系统1能够有效地进行本分析。
(关于分析对象DB30)
分析对象DB30例如由RAM、闪存存储器等半导体存储器元件或硬盘、光盘等存储装置而实现。在分析对象DB30中存储有与被判定为本分析的对象的检体相关的信息。在此,图6表示实施方式的分析对象DB30的一例。如图6所示,分析对象DB30具备“恶意软件识别符”、“优先次序”、“通信目的地件数”、“登记日期时间”这样的项目。
“恶意软件识别符”表示用于识别恶意软件的识别信息。“优先次序”表示通过指定部133而指定的本分析的顺序。“通信目的地件数”表示通过预备分析而观测的通信目的地件数。“登记日期时间”表示检体初次登记到恶意软件共享站点等的日期时间。换言之,登记日期时间表示将检体作为恶意软件而识别(发现)的日期时间。
即,在图6中,作为存储于分析对象DB30的信息的一例,表示如下例子:使用恶意软件M043而识别的恶意软件的本分析的优先次序为“1”位,通信目的地件数为“135”,登记日期时间为“2015年1月23日17点10分15秒”。
另外,图6中的“通信目的地件数”可与“获得响应的通信目的地件数”替换。另外,虽然在图6中省略了图示,但在分析对象DB30中,也可存储有附属于恶意软件的信息、与在预备分析中使用的执行环境相关的信息等。
(关于本分析装置200)
下面,对实施方式的本分析装置200进行说明。如图1所示,本分析装置200具备本分析部210、分析日志DB220。
本分析部210从优先次序高的检体依次对分析对象DB30内的检体进行动态分析(本分析)。在此,本分析部210根据保存于分析对象DB30的执行环境信息而对检体进行动态分析。另外,本分析部210不仅以与预备分析相同的条件简单地执行分析,为了通信目的地的恶性判定的目的,还可以组合污点分析等的已知分析手法。分析日志DB220中存储通过本分析部210而对检体进行本分析时所取得的分析日志。从而,本分析装置200能够生成与检体相关的所谓黑名单。
[处理过程]
下面,使用图7至图10,对通过上述的预备分析装置100而进行的分析处理的过程进行详细说明。
(预备分析处理)
首先,使用图7,对预备分析部131所执行的预备分析处理过程进行说明。图7是表示实施方式的预备分析处理过程的流程图。
如图7所示,预备分析部131判定在恶意软件DB20中是否存在未分析的检体(步骤S101)。在不存在未分析的检体的情况下(步骤S101;否),直至存在新的登记为止进行登记(步骤S102)。
另外,在存在未分析的检体的情况下(步骤S101;是),预备分析部131取得在未分析的检体之中登记日最为新的检体(步骤S103)。并且,预备分析部131对所取得的检体进行预备分析(步骤S104)。首先,预备分析部131使检体执行,判定在执行时是否发生错误(步骤S105)。
在执行时发生了错误的情况下(步骤S105;是),进而判定是否存在在该检体的分析中未曾使用的分析环境(步骤S106),在存在分析环境的情况下(步骤S106;是),变更分析环境(步骤S107),再次对检体进行预备分析(步骤S104)。另外,分析环境是指包括执行恶意软件的OS等的执行环境、封闭环境或开放环境等网络的环境的信息。
另外,在执行时未发生错误的情况下(步骤S105;否),及不存在该检体的分析中未曾使用的分析环境的情况下(步骤S106;否),在执行日志DB121中登记分析结果及在分析中所使用的分析环境的信息(步骤S108)。预备分析部131反复执行上述的处理。
(封闭环境中的判定处理)
接着,使用图8,对判定部132在封闭环境下执行的判定处理过程进行说明。图8是表示实施方式的封闭环境中的判定处理过程的流程图。
如图8所示,判定部132判定在执行日志DB121中是否存在未判定的执行日志(步骤S201)。在不存在未判定的执行日志的情况下(步骤S201;否),直至存在新的执行日志的登记为止进行登记(步骤S202)。
另外,在存在未判定的执行日志的情况下(步骤S201;是),判定部132作为判定处理的对象,取得未判定的执行日志(步骤S203)。并且,判定部132参照执行日志,判定在执行时是否发生错误(步骤S204)。在执行时发生错误的情况下(步骤S204;否),判定部132认为执行日志中的检体不需要进行本分析而判定为分析对象外(步骤S209)。
另外,在执行时未发生错误的情况下(步骤S204;是),判定部132判定在检体的执行中是否发生通信(换言之,是否确认到数据发送的举动)(步骤S205)。在未发生通信的情况下(步骤S205;否),判定部132认为执行日志中的检体不需要进行本分析而判定为分析对象外(步骤S209)。
另外,在发生了通信的情况下(步骤S205;是),判定部132判定在通信之中是否存在IP地址直接指定的通信(步骤S206)。在不存在IP地址直接指定的通信的情况下(步骤S206;否),判定部132进一步判定是否存在成功的名称解决(步骤S207)。并且,在不存在成功的名称解决的情况下(步骤S207;否),判定部132认为执行日志中的检体不需要进行本分析而判定为分析对象外(步骤S209)。
另外,在存在IP地址直接指定的通信的情况下(步骤S206;是),及存在成功的名称解决的情况下(步骤S207;是),判定部132认为执行日志中的检体需要进行本分析而判定为分析对象,将与检体相关的信息发送到指定部133(步骤S208)。判定部132反复执行上述的处理。
(开放环境下的判定处理)
接着,使用图9,对判定部132在开放环境下执行的判定处理过程进行说明。图9是表示实施方式的开放环境下的判定处理过程的流程图。另外,图9中的步骤S301~步骤S305的处理与图8中的步骤S201~步骤S205的处理对应,因此省略说明。
如图9所示,判定部132对于表示发生了通信的执行日志(步骤S305;是),进而判定在名称解决以外是否存在未发生错误的通信(步骤S306)。这是因为即便只有名称解决得到成功,但如果与所取得的IP地址之间的通信未成功,则无法抽取在本分析之后应登载在与检体相关的黑名单的候选。即,因为即便能够进行名称解决,只要通信目的地即服务器自身不进行动作(无响应),则无法得到应登载到黑名单的根据。
在名称解决以外不存在未发生错误的通信的情况下(步骤S306;否),判定部132认为执行日志中的检体无需进行本分析而判定为分析对象外(步骤S308)。
另外,在名称解决以外存在未发生错误的通信的情况下(步骤S306;是),判定部132认为执行日志中的检体需要进行本分析而判定为分析对象,将与检体相关的信息发送到指定部133(步骤S307)。判定部132反复执行上述的处理。
(指定处理)
接着,利用图10,对指定部133对检体指定本分析中的优先次序的处理过程进行说明。图10是表示实施方式的指定处理过程的流程图。
如图10所示,指定部133从判定部132接受判定结果和预备分析结果(步骤S401)。并且,指定部133判定检体是否为本分析的对象(步骤S402)。在检体不是本分析的对象的情况下(步骤S402;否),结束通过指定部133而进行的处理。
另外,在检体为本分析的对象的情况下(步骤S402;是),指定部133确定被预备分析的检体,从恶意软件DB20取得相关的检体(步骤S403)。并且,指定部133关于所取得的检体,在分析对象DB30中登记检体和预备分析中的分析环境的设定(步骤S404)。
并且,指定部133对于新登记到分析对象DB30中的检体在内的分析对象DB30内的检体,根据预备分析结果而再次计算本分析的优先次序(步骤S405)。在该情况下,指定部133将登记检体的日期时间为要素而指定优先次序。即,指定部133对于登记日期时间越新的检体,将优先次序指定为越高。另外,对于登记日期时间相同的检体,指定部133对通信目的地件数越多的检体,将优先次序设定为越高。
并且,指定部133更新分析对象DB30内的本分析的优先次序(步骤S406)。从而,结束通过指定部133进行的指定处理。
[变形例]
在上述的实施方式中,对恶意软件分析系统1在封闭环境或开放环境下对恶意软件进行动态分析,从而根据与从恶意软件发起的通信相关的信息,选定执行本分析的检体的情况进行了说明。
在此,恶意软件分析系统1也可以根据与检体相关的外部信息而判定是否为本分析的对象。例如,恶意软件分析系统1使用附属于所收集的检体的信息而执行检体的判定。具体地,恶意软件分析系统1可进行如下判定:在检体最初被登记到检体共享站点等的时期比规定的时期晚的情况下,从本分析对象中除去。根据恶意软件的不同,有的恶意软件从相当的期间之前开始(例如,从10年以上之前开始)存在于因特网上,并且还在继续进行拡散。而这样的恶意软件想必只要按照通常的方式对网络的系统进行维修则即可完成对策,本分析的优先次序并不高。因此,在向检体共享站点等登记的登记时期早于事先设定的规定期间的情况下,恶意软件分析系统1从本分析的对象中除去。从而,恶意软件分析系统1在不进行特殊的处理的情况下,能够将上述这样的检体从本分析的对象除去。
另外,恶意软件分析系统1可使用与为了登记到检体共享站点等而进行投稿的人数相关的信息选定检体。在该情况下,恶意软件分析系统1中的预备分析部131取得向检体共享站点等投稿了与恶意软件相关的信息的人数即投稿者数。另外,判定部132根据投稿者数而判定是否将恶意软件作为分析的对象。另外,指定部133根据通过判定部132而判定为分析的对象的恶意软件之中的投稿者数的大小,指定被分析的次序的高低。具体地,恶意软件分析系统1以将向检体共享站点等的投稿者少于规定的数量的检体优先地作为本分析的对象的方式进行判定。进行目标型攻击这样的恶意软件,即,以瞄准特定的组织而构成的恶意软件与以邮件的附件的形态扩散而瞄准不特定多数的这样的恶意软件相比,想必发现者数量少。利用相关的情况,恶意软件分析系统1取得与向检体共享站点等投稿的投稿者数相关的信息,将投稿者数越少的检体,优先地作为本分析的对象。这样,恶意软件分析系统1从投稿者少的检体开始优先地作为本分析的对象,从而对成为在目标型攻击中使用的检体的可能性高的检体优先地进行本分析,生成与检体相关的黑名单。
[效果]
如上述,实施方式的预备分析装置100包括:预备分析部131,其通过执行作为分析对象的候选而取得的恶意软件,取得与从恶意软件发起的通信相关的信息;判定部132,其根据通过预备分析部131取得的信息,判定是否将恶意软件作为分析的对象;及指定部133,其对于通过判定部132判定为分析的对象的恶意软件,根据通过预备分析部131取得的信息,指定所分析的次序。
这样,实施方式的恶意软件分析系统1对于恶意软件而执行预备分析处理,根据预备分析的结果而判定本分析对象。另外,恶意软件分析系统1对于成为本分析的对象的恶意软件而指定处理的优先次序。从而,恶意软件分析系统1能够有效地选定希望进行本分析处理的恶意软件。
另外,在将恶意软件与外部的通信网络(例如,因特网)隔离的环境即封闭环境下执行恶意软件的情况下,预备分析部131作为与从恶意软件发起的通信相关的信息,取得与通信目的地即IP地址的直接指定的有无或成功进行名称解决的通信的有无相关的信息。并且,在通过预备分析部131取得的信息中存在IP地址的直接指定或成功进行名称解决的通信的任何一个的情况下,判定部132将该恶意软件判定为分析的对象。并且,指定部133根据IP地址或通过成功进行名称解决的通信而确定的通信目的地的件数,指定分析该恶意软件的次序。
这样,实施方式的恶意软件分析系统1通过在封闭环境下执行恶意软件,从而在不被攻击者所知的情况下,取得与恶意软件的通信相关的信息。从而,恶意软件分析系统1能够有效地进行恶意软件的分析。
另外,在可将恶意软件与外部的通信网络连接的环境即开放环境下执行恶意软件的情况下,预备分析部131作为与从恶意软件发起的通信相关的信息,取得与获得错误以外的响应的通信的有无相关的信息。并且,在通过预备分析部131而取得的信息中存在获得错误以外的响应的通信的情况下,判定部132将该恶意软件判定为分析的对象。并且,指定部133根据获得错误以外的响应的通信目的地的件数,指定分析该恶意软件的次序。
这样,实施方式的恶意软件分析系统1通过在开放环境下执行恶意软件,从而能够假设实际恶意软件进行动作的环境而进行分析。在该情况下,能够将在预备分析中确立通信的恶意软件而作为本分析的对象,因此能够节省对实际上不进行通信的恶意软件进行本分析这样的本分析处理中的浪费。其结果,恶意软件分析系统1能够有效地进行恶意软件的分析。
另外,预备分析部131在执行恶意软件的终端中,通过在将安装于终端的OS、库、或应用任意地组合的多个执行环境下执行恶意软件,从而针对每个执行环境取得从该恶意软件发起的通信中的通信目的地的件数。并且,指定部133根据通过预备分析部131而针对每个执行环境所取得的通信目的地的件数之中的最多的通信目的地的件数,指定分析恶意软件的次序。
这样,实施方式的恶意软件分析系统1在预备分析的阶段中在各种执行环境下确认恶意软件的动作。即,恶意软件分析系统1在生成恶意软件进行恶性通信的可能性高的环境的基础上,取得与恶意软件的通信相关的信息,从而适当地判定应优先地进行本分析的恶意软件,并指定优先次序。另外,恶意软件分析系统1在本分析中也取得与执行环境等的分析环境相关的信息,因此能够提高本分析处理的効率。
另外,预备分析部131关于构成处理对象的恶意软件,取得该恶意软件经由通信网络而初次登记到一元地贮存恶意软件的规定的数据库(例如,恶意软件共享站点)中的日期时间即登记日期时间。并且,判定部132根据登记日期时间而判定是否将恶意软件作为分析的对象。并且,指定部133对于在通过判定部132而判定为分析的对象的恶意软件之中登记日期时间越新的恶意软件,将分析的次序指定为越高。
从而,实施方式的恶意软件分析系统1能够适当地选定新发现的恶意软件等应优先地分析的恶意软件。另外,恶意软件分析系统1能够将从相当的期间之前开始被登记到恶意软件共享站点的针对对策的需求不高的恶意软件从本分析的对象除外。因此,恶意软件分析系统1能够有效地进行恶意软件的分析处理。
另外,预备分析部131取得向规定的数据库投稿了与恶意软件相关的信息的人数即投稿者数。并且,判定部132根据投稿者数而判定是否将该恶意软件作为分析的对象。并且,指定部133根据在通过判定部132而判定为分析的对象的恶意软件之中的投稿者数的大小,指定分析的次序的高低。例如,指定部133对于投稿者数越少的恶意软件,将分析的次序指定为越高。
这样,实施方式的恶意软件分析系统1通过将向恶意软件共享站点等的投稿者的人数作为用于指定次序的要素,从而能够对在目标型攻击中使用的危险性高的恶意软件优先地进行本分析。
(结构等)
另外,图示的各个装置的各个结构要素是功能概念性的要素,在物理上无需必须构成为如图所示的结构。即,各装置的分散、综合的具体的形态不限于图示的形态,可根据各种负荷、使用情况等,将其全部或一部分以任意的单位功能性地或物理性地分散、综合而构成。进而,在各装置中进行的各处理功能的全部或任意的一部分可由CPU及通过该CPU而分析执行的程序而实现,或者,作为通过有线逻辑构成的硬件而实现。
另外,在本实施方式中所说明的各处理中,可将以自动地进行的方式进行说明的处理的全部或一部分手动地进行,或将以手动地进行的方式进行说明的处理的全部或一部分以公知的方法自动地进行。此外,关于包括在上述文中、附图中所示的处理过程、控制过程、具体的名称、各种的数据、参数的信息,除了特别记载的情况之外,可任意地进行变更。
(程序)
另外,关于上述实施方式的恶意软件分析系统1所执行的处理,可制作成用计算机可执行的语言所记载的程序。在该情况下,通过由计算机执行程序,从而可获得与上述实施方式相同的效果。进而,将相关的程序记录到计算机可读取的记录介质中,使计算机读入记录在该记录介质中的程序而执行,从而实现与上述实施方式相同的处理。下面,对执行实现与恶意软件分析系统1相同的功能的恶意软件分析程序的计算机的一例进行说明。
图11是表示执行恶意软件分析程序的计算机的图。如图11所示,计算机1000例如具备存储器1010、CPU(Central Processing Unit:中央处理器)1020、硬盘驱动器接口1030、盘驱动器接口1040、串行端口接口1050、视频适配器1060、网络接口1070。这些各个部通过总线1080而连接。
存储器1010包括ROM(Read Only Memory:只读存储器)1011及RAM(Random AccessMemory:随机存取存储器)1012。ROM1011例如存储BIOS(Basic Input Output System:基本输入输出系统)等引导程序。硬盘驱动器接口1030与硬盘驱动器1090连接。盘驱动器接口1040与盘驱动器1041连接。例如,磁盘、光盘等可拆装的存储介质挿入盘驱动器1041中。串行端口接口1050上例如连接有鼠标1110及键盘1120。视频适配器1060上例如连接有显示器1130。
在此,如图11所示,硬盘驱动器1090例如存储OS1091、应用程序1092、程序模块1093及程序数据1094。上述实施方式中说明的各个信息例如存储到硬盘驱动器1090、存储器1010。
另外,将恶意软件分析程序例如作为记载有通过计算机1000而执行的指令的程序模块而存储到硬盘驱动器1090。具体地,将记载有在上述实施方式中说明的预备分析装置100及本分析装置200所执行的各个处理的程序模块存储到硬盘驱动器1090。
另外,将通过恶意软件分析程序而进行的信息处理中所使用的数据作为程序数据而例如存储到硬盘驱动器1090。并且,CPU1020根据需要而在RAM1012读出存储于硬盘驱动器1090的程序模块1093、程序数据1094,从而执行上述的各个过程。
另外,关于恶意软件分析程序的程序模块1093、程序数据1094不限于存储到硬盘驱动器1090的情况,例如,也可以存储到可拆装的存储介质中,并经由盘驱动器1041等而通过CPU1020来读出。或者,也可以将关于恶意软件分析程序的程序模块1093、程序数据1094存储到经由LAN(Local Area Network:局域网)、WAN(Wide Area Network:广域网)等网络而连接的其他的计算机,并经由网络接口1070而通过CPU1020来读出。
符号说明
1 恶意软件分析系统
10 恶意软件收集系统
20 恶意软件DB
30 分析对象DB
100 预备分析装置
110 IF部
120 存储部
121 执行日志DB
122 封闭环境执行日志表
123 开放环境执行日志表
130 控制部
131 预备分析部
132 判定部
133 指定部
200 本分析装置
210 本分析部
220 分析日志DB
Claims (8)
1.一种恶意软件分析系统,其特征在于,其具备:
预备分析部,其通过执行作为分析对象的候选而取得的恶意软件,取得与从该恶意软件发起的通信相关的信息;
判定部,其根据上述预备分析部所取得的信息,判定是否要将上述恶意软件作为分析对象;及
指定部,其根据上述预备分析部所取得的信息,对通过上述判定部判定为分析对象的恶意软件指定分析的次序。
2.根据权利要求1所述的恶意软件分析系统,其特征在于,
在封闭环境下执行了恶意软件的情况下,上述预备分析部作为与从上述恶意软件发起的通信相关的信息,取得与如下情况相关的信息,该情况为作为通信目的地的IP地址的直接指定的有无或名称解决获得成功的通信的有无,其中,该封闭环境是将恶意软件和外部的通信网络隔离的环境,
在上述预备分析部所取得的信息中存在IP地址的直接指定或名称解决获得成功的通信中的任意一个的情况下,上述判定部将该恶意软件判定为分析对象,
上述指定部根据上述IP地址或上述名称解决获得成功的通信所确定的通信目的地的件数,指定分析上述恶意软件的次序。
3.根据权利要求1所述的恶意软件分析系统,其特征在于,
在开放环境下执行了恶意软件的情况下,上述预备分析部作为与从上述恶意软件发起的通信相关的信息,取得与获得了错误以外的响应的通信的有无相关的信息,该开放环境是可将恶意软件和外部的通信网络进行连接的环境,
在上述预备分析部所取得的信息中存在获得了错误以外的响应的通信的情况下,上述判定部将该恶意软件判定为分析对象,
上述指定部根据获得了上述错误以外的响应的通信目的地的件数,指定分析上述恶意软件的次序。
4.根据权利要求1所述的恶意软件分析系统,其特征在于,
上述预备分析部在执行恶意软件的终端中,在任意地组合了安装于该终端的OS、库、或应用的多个执行环境下执行上述恶意软件,由此针对每个执行环境取得从该恶意软件发起的通信中的通信目的地的件数,
上述指定部根据通过上述预备分析部而针对每个执行环境取得的通信目的地的件数中、最多的通信目的地的件数,指定分析上述恶意软件的次序。
5.根据权利要求1所述的恶意软件分析系统,其特征在于,
上述预备分析部关于成为处理对象的恶意软件,取得登记日期时间,该登记日期时间是恶意软件初次登记到规定的数据库中的日期时间,其中,该恶意软件经由通信网络而一元地贮存在该规定的数据库中,
上述判定部根据上述登记日期时间,判定是否要将该恶意软件作为分析对象,
上述指定部对于通过上述判定部判定为分析对象的恶意软件中、上述登记日期时间越新的恶意软件,将分析的次序指定为越高。
6.根据权利要求1所述的恶意软件分析系统,其特征在于,
上述预备分析部关于成为处理对象的恶意软件,取得投稿者数,该投稿者数是向规定的数据库投稿了与恶意软件相关的信息的人数,其中,上述恶意软件经由通信网络而一元地贮存在该规定的数据库中,
上述判定部根据上述投稿者数,判定是否要将该恶意软件作为分析对象,
上述指定部根据通过上述判定部判定为分析对象的恶意软件中、上述投稿者数的多少,指定分析的次序的高低。
7.一种恶意软件分析方法,其特征在于,包括:
预备分析步骤,通过执行作为分析对象的候选而取得的恶意软件,取得与从该恶意软件发起的通信相关的信息;
判定步骤,根据通过上述预备分析步骤取得的信息,判定是否要将上述恶意软件作为分析对象;及
指定步骤,对通过上述判定步骤判定为分析对象的恶意软件指定分析的次序。
8.一种恶意软件分析程序,其特征在于,其使计算机执行如下步骤:
预备分析步骤,通过执行作为分析对象的候选而取得的恶意软件,取得与从该恶意软件发起的通信相关的信息;
判定步骤,根据通过上述预备分析步骤取得的信息,判定是否要将上述恶意软件作为分析对象;及
指定步骤,根据通过上述预备分析步骤取得的信息,对通过上述判定步骤判定为分析对象的恶意软件指定分析的次序。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2015014053 | 2015-01-28 | ||
| JP2015-014053 | 2015-01-28 | ||
| PCT/JP2015/085104 WO2016121255A1 (ja) | 2015-01-28 | 2015-12-15 | マルウェア解析システム、マルウェア解析方法およびマルウェア解析プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107209833A true CN107209833A (zh) | 2017-09-26 |
| CN107209833B CN107209833B (zh) | 2020-12-04 |
Family
ID=56542888
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201580074444.2A Active CN107209833B (zh) | 2015-01-28 | 2015-12-15 | 恶意软件分析系统、恶意软件分析方法及记录介质 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US10645098B2 (zh) |
| EP (1) | EP3232360B1 (zh) |
| JP (1) | JP6174826B2 (zh) |
| CN (1) | CN107209833B (zh) |
| WO (1) | WO2016121255A1 (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10521590B2 (en) * | 2016-09-01 | 2019-12-31 | Microsoft Technology Licensing Llc | Detection dictionary system supporting anomaly detection across multiple operating environments |
| JP6626804B2 (ja) * | 2016-09-12 | 2019-12-25 | 株式会社日立アドバンストシステムズ | 計算機、選定方法、および選定プログラム |
| JP6900328B2 (ja) * | 2018-01-12 | 2021-07-07 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | 攻撃種別判定装置、攻撃種別判定方法、及びプログラム |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010015513A (ja) * | 2008-07-07 | 2010-01-21 | Nippon Telegr & Teleph Corp <Ntt> | マルウェア検知システム、マルウェア検知方法及びマルウェア検知プログラム |
| US20100031353A1 (en) * | 2008-02-04 | 2010-02-04 | Microsoft Corporation | Malware Detection Using Code Analysis and Behavior Monitoring |
| US20110078794A1 (en) * | 2009-09-30 | 2011-03-31 | Jayaraman Manni | Network-Based Binary File Extraction and Analysis for Malware Detection |
| US20110283361A1 (en) * | 2010-01-19 | 2011-11-17 | Damballa, Inc. | Method and system for network-based detecting of malware from behavioral clustering |
| CN102708309A (zh) * | 2011-07-20 | 2012-10-03 | 北京邮电大学 | 恶意代码自动分析方法及系统 |
| US20120304244A1 (en) * | 2011-05-24 | 2012-11-29 | Palo Alto Networks, Inc. | Malware analysis system |
| CN103164653A (zh) * | 2011-12-13 | 2013-06-19 | 三星电子株式会社 | 用于在数据分析系统中分析恶意软件的设备和方法 |
| CN103593613A (zh) * | 2013-11-26 | 2014-02-19 | 北京网秦天下科技有限公司 | 用于计算机病毒检测的方法、终端、服务器和系统 |
| JP2014089593A (ja) * | 2012-10-30 | 2014-05-15 | Hitachi Ltd | プログラム解析システム及び方法 |
| JP2014089609A (ja) * | 2012-10-30 | 2014-05-15 | Hitachi Advanced Systems Corp | プログラム解析方法およびプログラム解析システム |
| CN103886252A (zh) * | 2013-04-26 | 2014-06-25 | 卡巴斯基实验室封闭式股份公司 | 受信进程地址空间中执行的软件代码的恶意性的选择评估 |
Family Cites Families (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20050002320A (ko) * | 2003-06-30 | 2005-01-07 | 신동준 | 전자 메일 관리 시스템 및 그 방법 |
| US8595834B2 (en) * | 2008-02-04 | 2013-11-26 | Samsung Electronics Co., Ltd | Detecting unauthorized use of computing devices based on behavioral patterns |
| US9189629B1 (en) * | 2008-08-28 | 2015-11-17 | Symantec Corporation | Systems and methods for discouraging polymorphic malware |
| US9213838B2 (en) * | 2011-05-13 | 2015-12-15 | Mcafee Ireland Holdings Limited | Systems and methods of processing data associated with detection and/or handling of malware |
| US9516058B2 (en) * | 2010-08-10 | 2016-12-06 | Damballa, Inc. | Method and system for determining whether domain names are legitimate or malicious |
| US8966625B1 (en) * | 2011-05-24 | 2015-02-24 | Palo Alto Networks, Inc. | Identification of malware sites using unknown URL sites and newly registered DNS addresses |
| US20130067577A1 (en) * | 2011-09-14 | 2013-03-14 | F-Secure Corporation | Malware scanning |
| RU2485577C1 (ru) * | 2012-05-11 | 2013-06-20 | Закрытое акционерное общество "Лаборатория Касперского" | Способ увеличения надежности определения вредоносного программного обеспечения |
| US20140053267A1 (en) * | 2012-08-20 | 2014-02-20 | Trusteer Ltd. | Method for identifying malicious executables |
| RU2514140C1 (ru) * | 2012-09-28 | 2014-04-27 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ увеличения качества обнаружений вредоносных объектов с использованием правил и приоритетов |
| US10097567B2 (en) * | 2013-05-20 | 2018-10-09 | Nippon Telegraph And Telephone Corporation | Information processing apparatus and identifying method |
| CN105359156B (zh) * | 2013-07-05 | 2018-06-12 | 日本电信电话株式会社 | 非法访问检测系统和非法访问检测方法 |
| EP3049983B1 (en) * | 2013-09-24 | 2018-07-25 | McAfee, LLC | Adaptive and recursive filtering for sample submission |
| US9350747B2 (en) * | 2013-10-31 | 2016-05-24 | Cyberpoint International Llc | Methods and systems for malware analysis |
| US9178900B1 (en) * | 2013-11-20 | 2015-11-03 | Trend Micro Inc. | Detection of advanced persistent threat having evasion technology |
| WO2016060067A1 (ja) * | 2014-10-14 | 2016-04-21 | 日本電信電話株式会社 | 特定装置、特定方法および特定プログラム |
| US9800588B1 (en) * | 2015-12-16 | 2017-10-24 | Symantec Corporation | Automated analysis pipeline determination in a malware analysis environment |
| US11936604B2 (en) * | 2016-09-26 | 2024-03-19 | Agari Data, Inc. | Multi-level security analysis and intermediate delivery of an electronic message |
| US10331889B2 (en) * | 2017-01-05 | 2019-06-25 | Votiro Cybersec Ltd. | Providing a fastlane for disarming malicious content in received input content |
| US11277423B2 (en) * | 2017-12-29 | 2022-03-15 | Crowdstrike, Inc. | Anomaly-based malicious-behavior detection |
-
2015
- 2015-12-15 WO PCT/JP2015/085104 patent/WO2016121255A1/ja active Application Filing
- 2015-12-15 CN CN201580074444.2A patent/CN107209833B/zh active Active
- 2015-12-15 EP EP15880147.2A patent/EP3232360B1/en active Active
- 2015-12-15 JP JP2016571814A patent/JP6174826B2/ja active Active
- 2015-12-15 US US15/546,201 patent/US10645098B2/en active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100031353A1 (en) * | 2008-02-04 | 2010-02-04 | Microsoft Corporation | Malware Detection Using Code Analysis and Behavior Monitoring |
| JP2010015513A (ja) * | 2008-07-07 | 2010-01-21 | Nippon Telegr & Teleph Corp <Ntt> | マルウェア検知システム、マルウェア検知方法及びマルウェア検知プログラム |
| US20110078794A1 (en) * | 2009-09-30 | 2011-03-31 | Jayaraman Manni | Network-Based Binary File Extraction and Analysis for Malware Detection |
| US20110283361A1 (en) * | 2010-01-19 | 2011-11-17 | Damballa, Inc. | Method and system for network-based detecting of malware from behavioral clustering |
| US20120304244A1 (en) * | 2011-05-24 | 2012-11-29 | Palo Alto Networks, Inc. | Malware analysis system |
| CN102708309A (zh) * | 2011-07-20 | 2012-10-03 | 北京邮电大学 | 恶意代码自动分析方法及系统 |
| CN103164653A (zh) * | 2011-12-13 | 2013-06-19 | 三星电子株式会社 | 用于在数据分析系统中分析恶意软件的设备和方法 |
| JP2014089593A (ja) * | 2012-10-30 | 2014-05-15 | Hitachi Ltd | プログラム解析システム及び方法 |
| JP2014089609A (ja) * | 2012-10-30 | 2014-05-15 | Hitachi Advanced Systems Corp | プログラム解析方法およびプログラム解析システム |
| CN103886252A (zh) * | 2013-04-26 | 2014-06-25 | 卡巴斯基实验室封闭式股份公司 | 受信进程地址空间中执行的软件代码的恶意性的选择评估 |
| CN103593613A (zh) * | 2013-11-26 | 2014-02-19 | 北京网秦天下科技有限公司 | 用于计算机病毒检测的方法、终端、服务器和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3232360A1 (en) | 2017-10-18 |
| CN107209833B (zh) | 2020-12-04 |
| EP3232360A4 (en) | 2018-07-04 |
| JPWO2016121255A1 (ja) | 2017-06-01 |
| US20180020012A1 (en) | 2018-01-18 |
| EP3232360B1 (en) | 2020-01-15 |
| US10645098B2 (en) | 2020-05-05 |
| WO2016121255A1 (ja) | 2016-08-04 |
| JP6174826B2 (ja) | 2017-08-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106796635B (zh) | 确定装置、确定方法 | |
| CN102468985B (zh) | 针对网络安全设备进行渗透测试的方法和系统 | |
| US9614863B2 (en) | System and method for analyzing mobile cyber incident | |
| CN108737417A (zh) | 一种面向工业控制系统的脆弱性检测方法 | |
| CN103279710B (zh) | Internet信息系统恶意代码的检测方法和系统 | |
| WO2014012500A1 (en) | Method and device for processing messages | |
| KR20080037909A (ko) | 취약점 분석 및 공격방식 모델링을 이용한 네트워크기반의인터넷 웜 탐지 장치 및 그 방법 | |
| CN107209833A (zh) | 恶意软件分析系统、恶意软件分析方法及恶意软件分析程序 | |
| JP5739034B1 (ja) | 攻撃検知システム、攻撃検知装置、攻撃検知方法および攻撃検知プログラム | |
| CN110232279A (zh) | 一种漏洞检测方法及装置 | |
| JP6050162B2 (ja) | 接続先情報抽出装置、接続先情報抽出方法、及び接続先情報抽出プログラム | |
| CN107004088A (zh) | 确定装置、确定方法及确定程序 | |
| CN102521543A (zh) | 一种基于动态污点分析进行消息语义解析的方法 | |
| AU2016335722A1 (en) | Identification system, identification device and identification method | |
| EP3367288A1 (en) | Classification method, classification device, and classification program | |
| CN104346279A (zh) | 一种软件测试方法及装置 | |
| JP2017142744A (ja) | 情報処理装置、ウィルス検出方法及びプログラム | |
| CN107346390A (zh) | 一种恶意样本检测方法及装置 | |
| CN105247533B (zh) | 信息处理装置和确定方法 | |
| CN108959936A (zh) | 一种基于路径分析的缓冲区溢出漏洞自动利用方法 | |
| CN111859374A (zh) | 社会工程学攻击事件的检测方法、装置以及系统 | |
| WO2017217247A1 (ja) | 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム | |
| CN114491509A (zh) | 基于沙箱的恶意程序行为分析处理方法及系统 | |
| CN113704749A (zh) | 一种恶意挖矿检测处理方法和装置 | |
| CN103324522B (zh) | 对从各服务器抓取数据的任务进行调度的方法和设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |