JP2017228153A - 攻撃内容分析プログラム、攻撃内容分析方法及び攻撃内容分析装置 - Google Patents
攻撃内容分析プログラム、攻撃内容分析方法及び攻撃内容分析装置 Download PDFInfo
- Publication number
- JP2017228153A JP2017228153A JP2016124825A JP2016124825A JP2017228153A JP 2017228153 A JP2017228153 A JP 2017228153A JP 2016124825 A JP2016124825 A JP 2016124825A JP 2016124825 A JP2016124825 A JP 2016124825A JP 2017228153 A JP2017228153 A JP 2017228153A
- Authority
- JP
- Japan
- Prior art keywords
- machine
- program
- network
- attack
- command
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【解決手段】サンドボックスシステムは、第1のネットワークIN_NWに接続された第1のマシン5宛てに第2のネットワークEX_NWから送信された第1のプログラムを含む送信データを受信し、第1のプログラムの起動後に、第1のマシン5に対する読み出し系命令を、第1のマシン5とは異なる第2のマシン9と前記サンドボックスシステムとの間で確立された第1のセッションを経由して第2のマシン9に送信し、第1のプログラムの起動後に、第1のマシン5に対する書き込み系命令を第1のマシン5に代わって実行する。
【選択図】図5
Description
標的型サイバー攻撃により攻撃対象マシンが不正プログラムに感染し、不正プログラムの実行により機密情報が被害にあうことを防止する方法として、サンドボックスと呼ばれる隔離された領域で動作するマシンまたはシステム(以下サンドボックスシステム)を設けることが提案されている。
第1の実施の形態におけるサンドボックスシステムは、不正プログラムの実行に伴う命令が読み出し系命令の場合、あらかじめ構築したリモートセッションを介して攻撃対象マシンとは異なる囮マシンにその命令を送信し、書き込み系命令の場合、その命令をサンドボックスシステム内で実行する。また、サンドボックスシステムは二次攻撃以降においても、攻撃側マシン2からの読み出し系命令をリモートセッションを介して囮マシンに送信し、攻撃側マシンからの書き込み系命令をサンドボックス内で実行する。そして、囮マシンは、攻撃対象マシンではなく、但し、通常業務で人間が操作するマシンである。
第1の実施の形態における図5のサンドボックスシステムは、外部ネットワークEX_NETと攻撃対象マシン5との間の内部ネットワークIN_NETの経路上に設けられるゲートウエイタイプの例である。それに対して、第2の実施の形態におけるサンドボックスシステムは、攻撃対象マシン5の物理マシン内に生成される仮想マシンによって構成されるエンドポイントタイプの例である。
図14は、第3の実施の形態におけるサンドボックスシステムと攻撃対象ネットワークシステムの構成を示す図である。このサンドボックスシステムSBは、外部ネットワークEX_NETに近い内部ネットワークIN_NWの経路上に設けられたスイッチSWの分岐ポートに接続される。一方、攻撃対象マシン5や囮マシン9は、スイッチSWを介して外部ネットワークEX_NW経由の通信が可能である。このスイッチSWは、例えば物理スイッチであり、外部ネットワークから送信されセキュリティ装置4を通り抜けた受信データは、攻撃対象マシン5や囮マシン9に送信され、サンドボックスシステムSBはその受信データを傍受する。
コンピュータに、
第1のネットワークに接続された第1のマシン宛てに第2のネットワークから送信された第1のプログラムを含む送信データを受信し、
前記第1のプログラムの起動後に、前記第1のマシンに対する読み出し系命令を、前記第1のマシンとは異なる第2のマシンと前記コンピュータとの間で確立された第1のセッションを経由して第2のマシンに送信し、
前記第1のプログラムの起動後に、前記第1のマシンに対する書き込み系命令を前記第1のマシンに代わって実行する、
処理を実行させる、コンピュータ読み取り可能な攻撃内容分析プログラム。
前記処理は、さらに、前記読み出し系命令及び書き込み系命令の履歴を収集する処理を有する、付記1に記載の攻撃内容分析プログラム。
前記書き込み系命令は、前記第1のプログラムを前記第1のマシンにインストールする命令、前記第1のプログラムの起動後に第2のプログラムを前記第1のマシンにインストールする命令のいずれか一方または両方を含む、付記1に記載の攻撃内容分析プログラム。
前記読み出し系命令は、前記第1のマシンのマシン情報または設定情報を問い合わせるコマンドを含む、付記1に記載の攻撃内容分析プログラム。
前記処理は、さらに、
前記読み出し系命令の実行により読み出された前記マシン情報または設定情報を記憶し、
第2のネットワーク上の第3のマシンとの間に第2のセッションを確立する命令を実行する処理を含む、付記4に記載の攻撃内容分析プログラム。
前記処理は、さらに、
前記第2のセッションを確立する命令を実行した後、第2のプログラムを前記第1のマシンにインストールする命令を実行する処理を有する、付記5に記載の攻撃内容分析プログラム。
前記処理は、さらに、画面キャプチャ画像を取得させる命令を、前記第1のセッションを経由して前記第2のマシンに送信する処理を有する、付記6に記載の攻撃内容分析プログラム。
前記コンピュータは前記第1のマシンから隔離されている、付記1に記載の攻撃内容分析プログラム。
前記処理は更に、
前記送信データの受信に応答して、受信した前記第1のプログラムを前記第1のマシンに代わって起動することを有する、付記1に記載の攻撃内容分析プログラム。
コンピュータに、
第1のネットワークに接続された第1のマシン宛てに第2のネットワークから送信された第1のプログラムを含む送信データを受信し、
前記第1のプログラムの起動後に、前記第1のマシンに対する読み出し系命令を、前記第1のマシンとは異なる第2のマシンと前記コンピュータとの間で確立された第1のセッションを経由して前記第2のマシンに送信し、
前記第1のプログラムの起動後に、前記第1のマシンに対する書き込み系命令を実行する、
処理を実行させる攻撃内容分析方法。
前記処理は、さらに、前記読み出し系命令及び書き込み系命令の履歴を収集する処理を有する、付記10に記載の攻撃内容分析方法。
第1のネットワークに接続された第1のマシン宛てに第2のネットワークから送信された第1のプログラムを含む送信データを受信する通信制御部と、
前記第1のプログラムの起動後に、前記第1のマシンに対する読み出し系命令を、前記第1のマシンとは異なる第2のマシンとの間で確立された第1のセッションを経由して前記第2のマシンに送信し、前記第1のマシンに対する書き込み系命令を前記第1のマシンに代わって実行する検査処理部とを、有する攻撃内容分析装置。
さらに、前記読み出し系命令及び書き込み系命令の履歴を収集する命令収集部を有する、付記12に記載の攻撃内容分析装置。
メモリと、
第1のネットワークに接続された第1のマシン宛てに第2のネットワークから送信された第1のプログラムを含む送信データの受信し、前記第1のプログラムの起動後に、前記第1のマシンに対する読み出し系命令を、前記第1のマシンとは異なる第2のマシンとの間に確立された第1のセッションを経由して前記第2のマシンに送信し、前記第1のマシンに対する書き込み系命令を前記第1のマシンに代わって実行するよう構成されたプロセッサとを有する、攻撃内容分析装置。
2:攻撃側マシン
3:ウエブサイト
4:セキュリティ装置
5:攻撃対象マシン
9:囮マシン
IN_NET:内部ネットワーク、第1のネットワーク
EX_NET:外部ネットワーク、第2のネットワーク
SB:サンドボックスシステム、攻撃内容分析装置
VM1:検査再生処理装置
30:通信制御部、通信制御プログラム
32:検査制御部、検査制御プログラム
VM2:不正動作解析装置
39:不正動作解析プログラム
VM3:不正動作記録装置
41:ログ収集プログラム
Claims (11)
- コンピュータに、
第1のネットワークに接続された第1のマシン宛てに第2のネットワークから送信された第1のプログラムを含む送信データを受信し、
前記第1のプログラムの起動後に、前記第1のマシンに対する読み出し系命令を、前記第1のマシンとは異なる第2のマシンと前記コンピュータとの間で確立された第1のセッションを経由して第2のマシンに送信し、
前記第1のプログラムの起動後に、前記第1のマシンに対する書き込み系命令を前記第1のマシンに代わって実行する、
処理を実行させる、コンピュータ読み取り可能な攻撃内容分析プログラム。 - 前記処理は、さらに、前記読み出し系命令及び書き込み系命令の履歴を収集する処理を有する、請求項1に記載の攻撃内容分析プログラム。
- 前記書き込み系命令は、前記第1のプログラムを前記第1のマシンにインストールする命令、前記第1のプログラムの起動後に第2のプログラムを前記第1のマシンにインストールする命令のいずれか一方または両方を含む、請求項1に記載の攻撃内容分析プログラム。
- 前記読み出し系命令は、前記第1のマシンのマシン情報または設定情報を問い合わせるコマンドを含む、請求項1に記載の攻撃内容分析プログラム。
- 前記処理は、さらに、
前記読み出し系命令の実行により読み出された前記マシン情報または設定情報を記憶し、
第2のネットワーク上の第3のマシンとの間に第2のセッションを確立する命令を実行する処理を含む、請求項4に記載の攻撃内容分析プログラム。 - 前記処理は、さらに、
前記第2のセッションを確立する命令を実行した後、第2のプログラムを前記第1のマシンにインストールする命令を実行する処理を有する、請求項5に記載の攻撃内容分析プログラム。 - 前記処理は、さらに、画面キャプチャ画像を取得させる命令を、前記第1のセッションを経由して前記第2のマシンに送信する処理を有する、請求項6に記載の攻撃内容分析プログラム。
- 前記コンピュータは前記第1のマシンから隔離されている、請求項1に記載の攻撃内容分析プログラム。
- 前記処理は更に、
前記送信データの受信に応答して、受信した前記第1のプログラムを前記第1のマシンに代わって起動することを有する、請求項1に記載の攻撃内容分析プログラム。 - コンピュータに、
第1のネットワークに接続された第1のマシン宛てに第2のネットワークから送信された第1のプログラムを含む送信データを受信し、
前記第1のプログラムの起動後に、前記第1のマシンに対する読み出し系命令を、前記第1のマシンとは異なる第2のマシンと前記コンピュータとの間で確立された第1のセッションを経由して前記第2のマシンに送信し、
前記第1のプログラムの起動後に、前記第1のマシンに対する書き込み系命令を実行する、
処理を実行させる攻撃内容分析方法。 - 第1のネットワークに接続された第1のマシン宛てに第2のネットワークから送信された第1のプログラムを含む送信データを受信する通信制御部と、
前記第1のプログラムの起動後に、前記第1のマシンに対する読み出し系命令を、前記第1のマシンとは異なる第2のマシンとの間で確立された第1のセッションを経由して前記第2のマシンに送信し、前記第1のマシンに対する書き込み系命令を前記第1のマシンに代わって実行する検査処理部とを、有する攻撃内容分析装置。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016124825A JP6738013B2 (ja) | 2016-06-23 | 2016-06-23 | 攻撃内容分析プログラム、攻撃内容分析方法及び攻撃内容分析装置 |
US15/607,808 US10601867B2 (en) | 2016-06-23 | 2017-05-30 | Attack content analysis program, attack content analysis method, and attack content analysis apparatus |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016124825A JP6738013B2 (ja) | 2016-06-23 | 2016-06-23 | 攻撃内容分析プログラム、攻撃内容分析方法及び攻撃内容分析装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2017228153A true JP2017228153A (ja) | 2017-12-28 |
JP6738013B2 JP6738013B2 (ja) | 2020-08-12 |
Family
ID=60678098
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016124825A Active JP6738013B2 (ja) | 2016-06-23 | 2016-06-23 | 攻撃内容分析プログラム、攻撃内容分析方法及び攻撃内容分析装置 |
Country Status (2)
Country | Link |
---|---|
US (1) | US10601867B2 (ja) |
JP (1) | JP6738013B2 (ja) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2020047175A (ja) * | 2018-09-21 | 2020-03-26 | 株式会社日立ハイテクソリューションズ | セキュリティシステム |
JP2020194503A (ja) * | 2019-05-30 | 2020-12-03 | 株式会社デンソーウェーブ | 送信システム及び送信方法 |
WO2021262600A1 (en) * | 2020-06-21 | 2021-12-30 | Apple Inc. | Application specific network data filtering |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10621357B2 (en) * | 2017-08-31 | 2020-04-14 | Microsoft Technology Licensing, Llc | Off node scanning |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH01196655A (ja) * | 1988-02-01 | 1989-08-08 | Nec Corp | 不正ログイン防止方式 |
JP2002041468A (ja) * | 2000-07-26 | 2002-02-08 | Nec Software Chubu Ltd | 不正アクセス防止サービスシステム |
JP2002318739A (ja) * | 2001-02-14 | 2002-10-31 | Mitsubishi Electric Corp | 不正侵入データ対策処理装置、不正侵入データ対策処理方法及び不正侵入データ対策処理システム |
US20140317745A1 (en) * | 2013-04-19 | 2014-10-23 | Lastline, Inc. | Methods and systems for malware detection based on environment-dependent behavior |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7945642B1 (en) * | 2005-10-06 | 2011-05-17 | Sprint Spectrum L.P. | Method and system for providing software to a machine |
TWI407328B (zh) | 2010-09-15 | 2013-09-01 | Chunghwa Telecom Co Ltd | 網路病毒防護方法及系統 |
US20170134405A1 (en) * | 2015-11-09 | 2017-05-11 | Qualcomm Incorporated | Dynamic Honeypot System |
US20170163664A1 (en) * | 2015-12-04 | 2017-06-08 | Bottomline Technologies (De) Inc. | Method to secure protected content on a mobile device |
-
2016
- 2016-06-23 JP JP2016124825A patent/JP6738013B2/ja active Active
-
2017
- 2017-05-30 US US15/607,808 patent/US10601867B2/en active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH01196655A (ja) * | 1988-02-01 | 1989-08-08 | Nec Corp | 不正ログイン防止方式 |
JP2002041468A (ja) * | 2000-07-26 | 2002-02-08 | Nec Software Chubu Ltd | 不正アクセス防止サービスシステム |
JP2002318739A (ja) * | 2001-02-14 | 2002-10-31 | Mitsubishi Electric Corp | 不正侵入データ対策処理装置、不正侵入データ対策処理方法及び不正侵入データ対策処理システム |
US20140317745A1 (en) * | 2013-04-19 | 2014-10-23 | Lastline, Inc. | Methods and systems for malware detection based on environment-dependent behavior |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2020047175A (ja) * | 2018-09-21 | 2020-03-26 | 株式会社日立ハイテクソリューションズ | セキュリティシステム |
JP7198617B2 (ja) | 2018-09-21 | 2023-01-04 | 株式会社日立ハイテクソリューションズ | セキュリティシステム |
JP2020194503A (ja) * | 2019-05-30 | 2020-12-03 | 株式会社デンソーウェーブ | 送信システム及び送信方法 |
JP7247753B2 (ja) | 2019-05-30 | 2023-03-29 | 株式会社デンソーウェーブ | 送信システム及び送信方法 |
WO2021262600A1 (en) * | 2020-06-21 | 2021-12-30 | Apple Inc. | Application specific network data filtering |
Also Published As
Publication number | Publication date |
---|---|
US10601867B2 (en) | 2020-03-24 |
JP6738013B2 (ja) | 2020-08-12 |
US20170374099A1 (en) | 2017-12-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109684832B (zh) | 检测恶意文件的系统和方法 | |
AU2020203503B2 (en) | Automated runtime detection of malware | |
US20200366694A1 (en) | Methods and systems for malware host correlation | |
US8539582B1 (en) | Malware containment and security analysis on connection | |
US10339300B2 (en) | Advanced persistent threat and targeted malware defense | |
US11232201B2 (en) | Cloud based just in time memory analysis for malware detection | |
CN110119619B (zh) | 创建防病毒记录的系统和方法 | |
Srivastava et al. | Automatic discovery of parasitic malware | |
Qbeitah et al. | Dynamic malware analysis of phishing emails | |
US11909761B2 (en) | Mitigating malware impact by utilizing sandbox insights | |
Megira et al. | Malware analysis and detection using reverse engineering technique | |
JP6738013B2 (ja) | 攻撃内容分析プログラム、攻撃内容分析方法及び攻撃内容分析装置 | |
Grégio et al. | Behavioral analysis of malicious code through network traffic and system call monitoring | |
Mirza et al. | Ransomware analysis using cyber kill chain | |
Tirli et al. | Virmon: a virtualization-based automated dynamic malware analysis system | |
US20220327207A1 (en) | Arrangement and method of threat detection in a computer or computer network | |
Anand et al. | Comparative study of ransomwares | |
JPWO2015178002A1 (ja) | 情報処理装置、情報処理システム及び通信履歴解析方法 | |
Shi et al. | Design of a comprehensive virtual machine monitoring system | |
Garg et al. | Analysis and categorization of emotet iot botnet malware | |
Hong et al. | New malware analysis method on digital forensics | |
RU2673407C1 (ru) | Система и способ определения вредоносного файла | |
Grammatikakis et al. | System threats | |
Arunanshu et al. | Evaluating the Efficacy of Antivirus Software Against Malware and Rats Using Metasploit and Asyncrat | |
Sridhar | Testbed Design For Evaluation Of Active Cyber Defense Systems |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190311 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20200129 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20200303 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200427 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200616 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200629 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6738013 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |