JP2019125243A - Malware detecting system and malware detecting method - Google Patents
Malware detecting system and malware detecting method Download PDFInfo
- Publication number
- JP2019125243A JP2019125243A JP2018006388A JP2018006388A JP2019125243A JP 2019125243 A JP2019125243 A JP 2019125243A JP 2018006388 A JP2018006388 A JP 2018006388A JP 2018006388 A JP2018006388 A JP 2018006388A JP 2019125243 A JP2019125243 A JP 2019125243A
- Authority
- JP
- Japan
- Prior art keywords
- sandbox
- environment
- clone
- received
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Information Transfer Between Computers (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
本発明は、マルウェア検知システムおよびマルウェア検知方法に関する。 The present invention relates to a malware detection system and a malware detection method.
企業等の組織は、他組織と連携をして業務を進めるために、インターネットを利用して情報を送受信するのが一般的となっている。一方で、インターネット上には悪意を持ったユーザが存在し、それらのユーザから送付されるマルウェア等の悪性プログラムが添付されたメールを受信し、その悪性に気付かずに実行すると、組織外部への情報漏えいや組織内のシステムダウンを引き起こす恐れがある。 Organizations such as companies generally use the Internet to transmit and receive information in order to work in cooperation with other organizations. On the other hand, there are malicious users on the Internet, and if they receive emails with malicious programs such as malware sent from those users and execute them without being aware of their maliciousness, they will be sent outside the organization. It may cause information leakage and system down in the organization.
そうした悪性プログラムの対策として、ファイルのパターンを検知し駆除する技術が用いられている。そうした技術は既知の悪性プログラムには有効であるが、未知もしくは新種の悪性プログラムを検知し、駆除することは困難である。 As a countermeasure against such a malicious program, a technology for detecting and eliminating file patterns is used. Such techniques are effective for known malicious programs, but it is difficult to detect and eliminate unknown or new kinds of malignant programs.
また、悪性プログラムが実行されても被害を受けない環境を用意し、実際に悪性プログラムの可能性があるファイルを実行して動作を確認する方法もある。そうした方法の代表例には、特許文献1で示されるサンドボックスと呼ばれる外部から隔離された仮想マシン環境下で分析対象のファイルを実行する技術が挙げられる。
In addition, there is also a method of preparing an environment which is not damaged even if a malignant program is executed, and to execute a file having a possibility of the malignant program to confirm the operation. A representative example of such a method is a technique of executing a file to be analyzed in an externally isolated virtual machine environment called a sandbox shown in
特許文献1に示されたサンドボックスでは、ユーザ環境に合わせた仮想マシンを選択して使用しているが、ユーザ環境と同一の環境までは提供できていない。あくまでも類似の環境であることから、環境に依存するマルウェアに対し、確実な検知ができない可能性も残っている。
In the sandbox shown in
そこで、本発明の目的は、ユーザ環境と同一の環境でマルウェアを解析し検知するシステムおよび方法を、限られたリソースの中で提供することにある。 Therefore, an object of the present invention is to provide a system and method for analyzing and detecting malware in the same environment as the user environment, with limited resources.
本発明では、上記課題を解決するため、メールの添付ファイルを解析するマルウェア検知システムにおいて、クライアント端末を宛先とし、添付ファイルを含むメールを受信し、受信メールに含まれる情報に基づいて、サンドボックス環境の種別を選択し、選択の結果と添付ファイルを、サンドボックス環境での解析のために送信するメールサーバと、前記メールサーバから送信された選択の結果と添付ファイルを受信し、受信した選択の結果にしたがって、前記クライアント端末の環境を利用して構築されたクローンサンドボックス環境、または前記クライアント端末の環境を利用せずに構築された標準サンドボックス環境で、受信した添付ファイルを実行することにより解析するサンドボックス管理装置と、を備えたことを特徴とする。 In the present invention, in order to solve the above problems, in a malware detection system for analyzing an attached file of an email, a client terminal is addressed, an email including an attached file is received, and a sandbox is received based on the information included in the received email. A mail server that selects the type of environment, sends selection results and attachments for analysis in a sandbox environment, receives the selection results and attachments sent from the mail server, and receives selection Execute the received attachment in a clone sandbox environment built using the environment of the client terminal or a standard sandbox environment built without using the environment of the client terminal according to the result of And a sandbox management apparatus for analyzing the information.
本発明によれば、ユーザ環境と同一の環境でマルウェアを解析し検知するシステムおよび方法を、限られたリソースの中で提供することが可能になる。 According to the present invention, it is possible to provide a system and method for analyzing and detecting malware in the same environment as the user environment, with limited resources.
以下、本発明によるクローンを用いたサンドボックスによるマルウェア検知システムの実施形態を、実施例として、図面を用いて説明する。 Hereinafter, an embodiment of a malware detection system by a sandbox using a clone according to the present invention will be described as an example using the drawings.
図1は、一実施形態によるクローンを用いたサンドボックスによるマルウェア検知システムの例を示す図である。図1に示すように、マルウェア検知システムは、メールサーバ兼判定用装置111とサンドボックス管理装置121とを有し、これらの装置間及びクライアント端末101との間はネットワークで結ばれている。
FIG. 1 is a diagram illustrating an example of a sandbox malware detection system using a clone according to one embodiment. As shown in FIG. 1, the malware detection system has a mail server / determination device 111 and a
図1の例では、クライアント端末101が複数であり、メールサーバ兼判定用装置111とサンドボックス管理装置121のそれぞれは1台ずつであるが、メールサーバ兼判定用装置111とサンドボックス管理装置121のそれぞれは複数であってもよい。また、メールサーバ兼判定用装置111とサンドボックス管理装置121は1台の装置であってもよい。さらに、ネットワークは有線でも無線でもよい。
In the example of FIG. 1, there are a plurality of client terminals 101, and there are one mail server and judgment device 111 and one
メールサーバ兼判定用装置111は、メールの処理を実行するメール受信部114と、添付ファイル解析部115と、メール送信部116とを有し、情報が格納された解析判定用テーブル117と端末管理テーブル118とを有する。
The mail server / determination device 111 has a mail reception unit 114 that executes mail processing, an attached
メールサーバ兼判定用装置111は、一般的なコンピュータであってもよい。この場合、メール受信部114と、添付ファイル解析部115と、メール送信部116との処理内容にそれぞれ相当する図示を省略したプログラムが有り、それらのプログラムを演算装置112が実行することによって、演算装置112が各部と成る。
The mail server / determination device 111 may be a general computer. In this case, there are programs (not shown) corresponding to the processing contents of the mail reception unit 114, the attached
また、解析判定用テーブル117と端末管理テーブル118とは、DB(Data Base)として記憶装置113に格納される。ここで、演算装置112はCPU(Central Processing Unit)であってもよく、記憶装置113はメモリまたはHDD(Hard Disk Drive)またはSSD(Solid State Drive)であってもよい。
The analysis determination table 117 and the terminal management table 118 are stored in the
メールサーバ兼判定用装置111は、演算装置112と記憶装置113以外のハードウェアを有してもよく、例えばネットワークアダプタなどを有してもよい。そして、メール受信部114などの一部にネットワークアダプタが含まれてもよい。
The mail server / determination device 111 may have hardware other than the arithmetic device 112 and the
メール受信部114は、メールサーバ兼判定用装置111がクライアント端末101のメールサーバとなるために、マルウェア検知システムの外部またはクライアント端末101のいずれかから、クライアント端末101宛に送信されたメールをクライアント端末101より前に受信する。 The mail reception unit 114 transmits the mail transmitted to the client terminal 101 from the outside of the malware detection system or from the client terminal 101 so that the mail server / determination device 111 becomes the mail server of the client terminal 101. It is received before the terminal 101.
なお、メール受信部114は、メールサーバ兼判定用装置111がクライアント端末101のメールサーバとなるために、クライアント端末101からマルウェア検知システムの外部宛に送信されたメールを受信してもよい。 Note that the mail receiving unit 114 may receive a mail sent from the client terminal 101 to the outside of the malware detection system in order that the mail server / determination device 111 will be the mail server of the client terminal 101.
添付ファイル解析部115は、メール受信部114で受信されたメールを解析し、解析した情報に基づいて、添付ファイルを、クローンを用いたサンドボックス環境、または標準のサンドボックス環境のいずれで実行するかのサンドボックスの種別を選択し、選択した種別の情報や添付ファイルなどの添付ファイルの実行に必要な情報をサンドボックス管理装置へ送信する。
The attached
メール送信部116は、サンドボックス管理装置121から受信したサンドボックス環境での実行による解析結果に基づいて、解析済みのメールを、メールの宛先のクライアント端末101に送信するか、または送信せずに遮断する。
The e-mail transmission unit 116 transmits the analyzed e-mail to the client terminal 101 of the e-mail destination based on the analysis result by the execution in the sandbox environment received from the
解析判定用テーブル117は、添付ファイルに関する情報と、サンドボックス環境に関する情報とを対応付けるテーブルであり、端末管理テーブル118は、宛先メールアドレスと、宛先メールアドレスに対応する端末に関する情報のテーブルである。これらのテーブルについては、図2A、2Bを用いてさらに説明する。 The analysis determination table 117 is a table that associates information on an attached file with information on a sandbox environment, and the terminal management table 118 is a table of a destination e-mail address and information on a terminal corresponding to the destination e-mail address. These tables are further described using FIGS. 2A and 2B.
クライアント端末101は、ユーザが用いる情報端末であり、メールを送受信するメール機能を有する一般的なコンピュータやタブレットなどの情報機器である。また、クライアント端末101は、(プログラム)ファイルを実行できる情報機器であり、これにより受信したメールの添付ファイルを実行することができる。 The client terminal 101 is an information terminal used by a user, and is an information device such as a general computer or tablet having an e-mail function for transmitting and receiving e-mail. The client terminal 101 is an information device capable of executing a (program) file, and can execute an attached file of a received mail.
クライアント端末101のファイルの実行環境として、個別環境103を有する。個別環境103は、複数のクライアント端末101それぞれで異なってもよい環境であり、例えば、ファイルを実行するためのプログラムやライブラリまたはパラメタの設定などである。
An
表データのファイルにマクロや組み込みプログラムが含まれる場合、それを実行するための表計算プログラムが必要であるが、このような表計算プログラムがインストールされていることなども、個別環境103に含まれるし、このような表計算プログラムのインストールされているバージョンなども、個別環境103に含まれる。
If the table data file contains a macro or embedded program, a spreadsheet program is required to execute it, but the
次に説明するような、プラットフォーム102が仮想環境のためのハイパーバイザである場合、個別環境103は、ハイパーバイザ上で実行される仮想マシンのイメージファイルであってもよい。
If the platform 102 is a hypervisor for a virtual environment, as described below, the
個別環境103は、プラットフォーム102の上に構築される。プラットフォーム102は、仮想環境のためのハイパーバイザであってもよいし、クライアント端末101のハードウェアリソースであってもよい。ただし、個別環境103はソフトウェアリソースのみとなるようなプラットフォーム102であることが好ましい。
The
また、プラットフォーム102は、複数のクライアント端末101において、個別環境103に共通のインターフェイスを提供するものであることが好ましい。なお、プラットフォーム102以外のもので、クライアント端末101とサンドボックス管理装置121の違いを吸収できるのであれば、プラットフォーム102は無くてもよい。
Further, preferably, the platform 102 provides a common interface to the
サンドボックス管理装置121は、サンドボックスに関する処理を実行するクローン環境構築部124とサンドボックス管理部125とを有し、プログラムまたはデータが格納されたクローンサンドボックス環境131と、サンドボックス管理テーブル127と、標準サンドボックス環境126とを有する。
The
サンドボックス管理装置121は、一般的なコンピュータであってもよい。この場合、クローン環境構築部124とサンドボックス管理部125の処理内容にそれぞれ相当する図示を省略したプログラムが有り、それらのプログラムを演算装置122が実行することによって、演算装置122が各部と成る。
The
また、クローンサンドボックス環境131と、サンドボックス管理テーブル127と、標準サンドボックス環境126とは記憶装置123に格納される。ここで、演算装置122はCPUであってもよく、記憶装置123はメモリまたはHDDまたはSSDであってもよい。
In addition, the
サンドボックス管理装置121は、演算装置122と記憶装置123以外のハードウェアを有してもよく、例えばネットワークアダプタなどを有してもよい。そして、サンドボックス管理部125などの一部にネットワークアダプタが含まれてもよい。また、プラットフォーム132のために、クライアント端末101と同じハードウェアを有してもよい。
The
サンドボックス管理部125は、添付ファイル解析部115から送信されたサンドボックスの種別に基づき、クローンサンドボックス環境131または標準サンドボックス環境126のいずれかを選択し、添付ファイル解析部115から転送された受信メールの添付ファイルをサンドボックス環境に送付する。
The sandbox management unit 125 selects either the
ここで、サンドボックス管理部125が、クローンサンドボックス環境131を選択する場合は、添付ファイル解析部115から転送された受信メールの宛先となるクライアント端末101のIPアドレス情報に基づき、該当するクローンサンドボックス環境131を選択して添付ファイルを送付する。
Here, when the sandbox management unit 125 selects the
なお、サンドボックス管理部125からクローンサンドボックス環境131への添付ファイルの送付は、クローン環境構築部124経由で送付されてもよいし、直接に送付されてもよい。
The attachment of the attached file from the sandbox management unit 125 to the
クローンサンドボックス環境131は、クライアント端末101と同一の実行環境を有し、標準サンドボックス環境126は複数の実行環境を有しており、それぞれサンドボックス管理部125から送付された添付ファイルを実行して解析する。
The
クローンサンドボックス環境131は、クライアント端末101の個別環境103と同一の個別環境133を有することにより、クライアント端末101と同一の実行環境を実現する。クローンサンドボックス環境131のプラットフォーム132は、クライアント端末101のプラットフォーム102の個別環境103に対するインターフェイスと共通のインターフェイスを提供する。
The
また、プラットフォーム132は、ハイパーバイザであってもよいし、クライアント端末101と同じハードウェアリソースを含んでいてもよい。ただし、個別環境133に対するインターフェイスが共通であれば、プラットフォーム132は、クライアント端末101のプラットフォーム102と同一でなくてもよい。
Also, the
さらに、クライアント端末101がネットワークに接続された時点などの、クライアント端末101のプラットフォーム102が固定された時点で、プラットフォーム132はサンドボックス管理装置121の中に構築されるのが好ましい。なお、クライアント端末101にプラットフォーム102が無い場合は、プラットフォーム132も無くてもよい。
Furthermore, when the platform 102 of the client terminal 101 is fixed, such as when the client terminal 101 is connected to the network, the
サンドボックス管理部125が添付ファイル解析部115から情報を受信した時点で、クローンサンドボックス環境131が構築されていない場合、サンドボックス管理部125はクローン環境構築部124に受信メールの宛先の端末のIPアドレス情報を送付し、クローンサンドボックス環境131を構築させる。
When the sandbox management unit 125 receives the information from the attached
このために、クローン環境構築部124は、IPアドレス情報を基にクライアント端末101から個別環境103をネットワーク経由で取得することによりコピーし、コピーしたものを個別環境133としてクローンサンドボックス環境131を構築する。これにより、クライアント端末101と同一の実行環境が実現される。
For this purpose, the clone
標準サンドボックス環境126は、OS(Operating System)がインストールされただけの環境であってもよく、基本的なアプリケーションプログラムがさらにインストールされただけの環境であってもよい。クローンサンドボックス環境131の構築との対比において、標準サンドボックス環境126は、クライアント端末101の環境(個別環境103)を利用しないで構築された環境というものであってもよい。
The
サンドボックス管理装置121は同一環境の複数の標準サンドボックス環境126を有してもよく、サンドボックス管理部125は、複数の標準サンドボックス環境126のそれぞれへ、添付ファイルを順次振り分けてもよい。
The
なお、メールサーバ兼判定用装置111は、既存のメールサーバを改造したものでもよく、この意味で、メールサーバ兼判定用装置111はメールサーバと称してもよい。マルウェア検知システムは、メールを処理するシステムであるので、メールシステムと称してもよい。 The mail server / determination apparatus 111 may be a modification of an existing mail server. In this sense, the mail server / determination apparatus 111 may be referred to as a mail server. The malware detection system may be referred to as a mail system since it is a system that processes mail.
図2A〜2Cは、マルウェア検知システム内で使用されるデータの一例を示す図である。図2Aに示す解析判定用テーブル117は、識別子であるID201と、添付ファイルの形式202と、添付ファイルに対応するサンドボックス種別203から構成される。
2A-2C illustrate an example of data used within a malware detection system. The analysis determination table 117 illustrated in FIG. 2A includes an
例えば、ID201が「001」では、添付ファイルの形式202が「.xxx」と、対応するサンドボックス種別203として「クローンサンドボックス」が格納され、ID201が「002」及び「003」では、添付ファイルの形式202「.yyy」及び「.zzz」に対応するサンドボックス種別203として「標準サンドボックス」が格納されている。
For example, when the
これにより、解析判定用テーブル117は、添付ファイルの形式202に基づき、サンドボックス種別203が選択可能な情報となっている。この例において、添付ファイルの形式202の「.xxx」は添付ファイルのファイル名の拡張子であるが、添付ファイルの形式202は一例であり、添付ファイルの他の情報であってもよい。
As a result, the analysis determination table 117 is information that allows the
また、添付ファイルの情報に限定されるものではなく、受信メールに含まれるメールヘッダの送信元、宛先、または主題、あるいは本文など、図2Aに示した添付ファイルの形式202以外の情報とサンドボックス種別203が対応付けられてもよい。そして、その情報に基づき、サンドボックス環境の種別が選択されてもよい。
In addition, the present invention is not limited to the information of attached file, but it is a sandbox and information other than the attached
解析判定用テーブル117には、予め情報が格納されていてもよいし、メールサーバ兼判定用装置111が稼働中に、ネットワーク経由で得られた情報または図1では図示を省略した入力装置から得られた情報が格納されてもよい。 Information may be stored in advance in the analysis determination table 117, or obtained from information obtained via the network or from an input device (not shown in FIG. 1) while the mail server / determination device 111 is in operation. The stored information may be stored.
図2Bに示す端末管理テーブル118は、識別子であるID211と、クライアント端末101のメールアドレスであるメールアドレス212と、メールアドレス212のメールアドレスに対応するクライアント端末101の端末IPアドレス213から構成される。
The terminal management table 118 shown in FIG. 2B includes an
端末管理テーブル118には、予めクライアント端末101の情報が格納されている。例えば、ID211が「001」では、メールアドレス212が「aaa@example.com」に対応するクライアント端末101の端末IPアドレス213が「192.168.10.1」である。
The terminal management table 118 stores information of the client terminal 101 in advance. For example, when the
図2Cに示すサンドボックス管理テーブル127は、識別子であるID221と、クライアント端末101のIPアドレスである端末IPアドレス222と、対応するサンドボックス環境のIPアドレスであるサンドボックスIPアドレス223と、サンドボックス種別224と、サンドボックスの環境225から構成される。
The sandbox management table 127 shown in FIG. 2C includes an ID 221 which is an identifier, a
サンドボックス管理テーブル127には、クローンサンドボックス環境131及び標準サンドボックス環境126の情報が格納される。1つのサンドボックス環境にID221の1つの識別子が割り当てられ、サンドボックスIPアドレス223の1つのIPアドレスが割り当てられる。このため、サンドボックス環境のそれぞれは、ID221あるいはサンドボックスIPアドレス223の情報により識別可能である。
The sandbox management table 127 stores information on the
格納される情報は、例えば、ID221が「001」では、端末IPアドレス222が「192.168.10.1」に対応するクローンサンドボックスのサンドボックスIPアドレス223が「10.10.10.1」であり、サンドボックス種別224としては「クローンサンドボックス」が該当し、環境225は端末IPアドレス222の「192.168.10.1」のクライアント端末101と「同一環境」である。
For example, when the ID 221 is "001", the
また、ID221が「003」では、サンドボックス種別224が「標準サンドボックス」のため、サンドボックスIPアドレス223の「10.10.20.1」に対応するクライアント端末101は存在しないため、端末IPアドレス222の情報は有していない。
Also, when the ID 221 is "003", the
そして、ID221が「003」では、環境225がOSとして「OS Ver 1.0」がインストールされていることを示す情報であるが、この環境225の情報は一例であり、OS以外の情報としてアプリケーションの情報などが含まれてもよい。
And, when the ID 221 is "003", it is information indicating that the
サンドボックス管理テーブル127には、クローンサンドボックス環境131の情報が予め格納されていなくてもよく、受信メールに応じて、クローン環境構築部124が構築した時点で格納されてもよい。または、端末IPアドレス222以外の情報が予め格納されており、クローン環境構築部124が構築した時点で、構築対象のクライアント端末101のIPアドレスが端末IPアドレス222に格納されてもよい。
The information on the
サンドボックス管理テーブル127には、標準サンドボックス環境126の情報が予め格納されていてもよく、標準サンドボックス環境126が構築された時点で格納されてもよい。
The information on the
図3Aは、サンドボックス環境選択の処理フローの例を示す図である。図3Aに示す処理フローは、メールサーバ兼判定用装置111が、クライアント端末101またはマルウェア検知システムの外のメールサーバから、クライアント端末101宛の添付ファイル付のメールを受信するところを開始とする。 FIG. 3A is a diagram showing an example of a processing flow of sandbox environment selection. The processing flow shown in FIG. 3A starts with the mail server / determination apparatus 111 receiving a mail with an attached file addressed to the client terminal 101 from the client terminal 101 or a mail server outside the malware detection system.
ステップ301で、メールサーバ兼判定用装置111のメール受信部114は、まず添付ファイル付のメールを受信する。ステップ302で、メール受信部114は、受信したメールを添付ファイル解析部115に送付する。ステップ303で、添付ファイル解析部115は、受信メールの情報から添付ファイルの情報及び宛先メールアドレスを取得する。
In step 301, the mail receiving unit 114 of the mail server / determination apparatus 111 first receives a mail with an attached file. In
ステップ304で、添付ファイル解析部115は、ステップ303で取得した添付ファイルの情報と一致する添付ファイルの形式202の情報を探索し、探索により見つかった添付ファイルの形式202の情報に対応するサンドボックス種別203の情報を解析判定用テーブル117から取得する。
In
また、ステップ304で、添付ファイル解析部115は、ステップ303で取得した宛先メールアドレスと一致するメールアドレス212の情報を端末管理テーブル118から探索し、探索により見つかったメールアドレス212の情報に対応する端末IPアドレス213の情報を端末管理テーブル118から取得する。
Also, in
サンドボックス種別203の情報を取得することにより、添付ファイル解析部115は、ステップ303で取得した添付ファイルが環境に依存する添付ファイルであるかを判定したことになる。
By acquiring the information of the
ステップ305及びステップ306で、添付ファイル解析部115は、ステップ304の判定の結果すなわち解析判定用テーブル117から取得したサンドボックス種別203の情報に基づき、標準サンドボックス環境126(ステップ305)またはクローンサンドボックス環境131(ステップ306)を選択する。
In
なお、ステップ305、306の選択では、標準サンドボックス環境126またはクローンサンドボックス環境131を示す何らかの情報を設定してもよい。また、ステップ304、305、306において、添付ファイル解析部115は、判定と選択の代わりに、サンドボックス種別203などの情報を取得し、次に説明するステップ307で利用可能にするだけでもよい。
In the selection of
ステップ307で、添付ファイル解析部115は、サンドボックス管理装置121のサンドボックス管理部125に対し、ステップ305またはステップ306で選択したサンドボックス環境の情報と、端末IPアドレス213の情報と、ステップ301で受信したメールの添付ファイルを送信する。
In
以上の処理により、サンドボックス管理装置121は、メールサーバ兼判定用装置111から、解析対象となる添付ファイルを受け取る。この際、ステップ302〜306の実行により、環境に依存する添付ファイルなど、クローンを用いたサンドボックス環境を必要とする添付ファイルである場合は、クローンサンドボックス環境131を選択し、それ以外の場合は標準サンドボックス環境126を選択することが可能となる。
By the above processing, the
これによって、ユーザは所持する多くのクライアント端末101の中で、標準サンドボックス環境126を利用しつつ、より最適な環境での解析が必要の場合には、限られたリソースであるクローンサンドボックス環境131を利用することができる。
In this way, the user can use the
図3Bは、選択されたサンドボックス環境を用いる解析の処理フローの例を示す図である。図3Bに示す処理フローは、サンドボックス管理装置121が、メールサーバ兼判定用装置111から、選択されたサンドボックス環境の情報と、端末IPアドレス213の情報と、添付ファイルを受信するところを開始とする。
FIG. 3B is a diagram showing an example of the processing flow of analysis using the selected sandbox environment. The processing flow shown in FIG. 3B starts where the
ステップ311で、サンドボックス管理部125は、選択されたサンドボックス環境の情報と、端末IPアドレス213の情報と、添付ファイルを受信する。
In
ステップ312で、サンドボックス管理部125は、選択されたサンドボックス環境の情報がクローンサンドボックス環境を示す場合、ステップ311で受信した端末IPアドレス213の情報と一致するIPアドレスをサンドボックス管理テーブル127の端末IPアドレス222で探索することにより、使用するサンドボックス環境がないかを判定する。
In
すなわち、端末IPアドレス222の探索により一致するIPアドレスが見つかった場合は、その見つかったIPアドレスに対応するサンドボックスIPアドレス223のIPアドレスが、使用対象のクローンサンドボックス環境131のものであるので、使用するサンドボックス環境があると判定され、探索により一致するIPアドレスが見つからなかった場合は、使用するサンドボックス環境がないと判定される。
That is, when a matching IP address is found by searching the
また、ステップ312で、サンドボックス管理部125は、選択されたサンドボックス環境の情報が標準サンドボックス環境126を示す場合、標準サンドボックス環境は存在するため、使用するサンドボックス環境はあると判定する。
Also, in
使用するサンドボックス環境がないと判定された場合、ステップ313で、サンドボックス管理部125はクローン環境構築部124へサンドボックス環境の構築を指示する。クローン環境構築部124は、ステップ311で受信された端末IPアドレス213の情報に基づいて、クライアント端末101から個別環境103のコピーを取得する。
If it is determined that there is no sandbox environment to be used, in
そして、クローン環境構築部124は、取得したコピーを個別環境133として、プラットフォーム132と合わせてクローンサンドボックス環境131を構築し、構築したクローンサンドボックス環境131の情報をサンドボックス管理テーブル127へ登録する。
Then, the clone
ステップ312の探索により見つかったクローンサンドボックス環境131、ステップ313で構築されたクローンサンドボックス環境131、あるいは標準サンドボックス環境126へ、サンドボックス管理部125は、ステップ314で添付ファイルを送付する。標準サンドボックス環境126が複数であり、標準サンドボックス環境126へ送付される場合、複数の標準サンドボックス環境126へ順次振り分けるように送付されてもよい。
The sandbox management unit 125 sends the attached file in
添付ファイルが送付されたクローンサンドボックス環境131または標準サンドボックス環境126は添付ファイルを実行し、その実行による解析結果をサンドボックス管理部125に送付する。ここで、添付ファイルの実行と解析は、本実施形態の特徴ではないため、詳しい説明を省略する。
The
ステップ315で、サンドボックス管理部125は、メールサーバ兼判定用装置111のメール送信部116に解析結果を送信する。
In
ステップ316で、メール送信部116は、受信した解析結果に悪意のある挙動があるかを判定し、悪意のある挙動があると判定した場合、ステップ318でメールの送信を遮断し、悪意のある挙動がないと判定した場合、ステップ317で宛先のクライアント端末101にメールを送信する。
In
このために、添付ファイルを実行したサンドボックス環境そのもの、またはサンドボックス管理部125が、悪意のある挙動を検知して解析結果に検知の内容を含め、メール送信部116が解析結果に含まれた検知の内容をステップ316で判定してもよい。
For this purpose, the sandbox environment itself that executed the attached file, or the sandbox management unit 125 detects malicious behavior and includes the content of the detection in the analysis result, and the mail transmission unit 116 is included in the analysis result The content of the detection may be determined in
または、サンドボックス環境そのものは添付ファイルの実行による挙動そのものの情報を解析結果とし、サンドボックス管理部125は解析結果を単に転送し、メール送信部116が解析結果に含まれる挙動の情報から悪意のある挙動を検知することにより、ステップ316で判定してもよい。
Alternatively, the sandbox environment itself analyzes the information of the behavior itself by the execution of the attached file as an analysis result, the sandbox management unit 125 simply transfers the analysis result, and the mail transmission unit 116 determines the maliciousness from the information of the behavior included in the analysis result. It may be determined at
以上の処理により、サンドボックス管理装置121は、受信メールの宛先のクライアント端末101の個別環境103と同一の個別環境133を有するクローンサンドボックス環境131で、受信メールの添付ファイルを実行して解析できる。
By the above processing, the
これにより、添付ファイルに悪意のある挙動をするマルウェアが含まれている可能性のある場合、そのマルウェアを実環境と同一の環境で検知することが可能になる。そして、クライアント端末101へのマルウェアの脅威を防ぐことができる。 This makes it possible to detect the malware in the same environment as the real environment, if the attached file may contain malware that exhibits malicious behavior. And the threat of the malware to the client terminal 101 can be prevented.
また、多数のクライアント端末101に対してサンドボックス管理装置121のリソースが十分に確保できない場合、クローンサンドボックス環境131までは必要のない添付ファイルを標準サンドボックス環境126で実行して解析することも可能となるので、リソース不足によるマルウェアの見逃しを抑えることができる。
In addition, when resources of the
サンドボックス管理装置121の不要なリソースの増加を抑えるため、またはクライアント端末101の個別環境103の変化に対応するため、クローンサンドボックス環境131は削除されてもよい。
The
例えば、図3Bに示したステップ315で、サンドボックス管理部125は、ステップ314の実行に使用されたクローンサンドボックス環境131を削除し、サンドボックス管理テーブル127内の削除されたクローンサンドボックス環境131に関する情報を削除してもよい。
For example, in
このようなステップ315での削除は、特に、クライアント端末101の個別環境103の変更が頻繁である場合、その個別環境103とクローンサンドボックス環境131の個別環境133とを一致させる効果がある。
Such deletion at
また、予め設定された時間、例えば1日毎(毎日の予め設定された時刻)で、サンドボックス管理部125は、クローンサンドボックス環境131とその情報を削除してもよい。または、構築されてから予め設定された時間の経過したクローンサンドボックス環境131とその情報を、サンドボックス管理部125は削除してもよい。
In addition, the sandbox management unit 125 may delete the
また、予め設定された時間に、添付ファイルの実行回数が予め設定された回数未満、またはクライアント端末101の個別環境103の変更回数が予め設定された回数を超えるクローンサンドボックス環境131とその情報を、サンドボックス管理部125は削除してもよい。
In addition, the
さらに、クライアント端末101の個別環境103が変更されると、その変更の通知を受けて、サンドボックス管理部125は、変更された個別環境103のコピーである個別環境133を有するクローンサンドボックス環境131とその情報を削除してもよい。
Furthermore, when the
以上のようにクローンサンドボックス環境131を削除することにより、サンドボックス管理装置121のリソース消費量を減らし、新たなクローンサンドボックス環境131を構築できる余地を残すことが可能となる。
By deleting the
101:クライアント端末、103:個別環境、111:メールサーバ兼判定用装置、115:添付ファイル解析部、117:解析判定用テーブル、121:サンドボックス管理装置、124:クローン環境構築部、126:標準サンドボックス環境、131:クローンサンドボックス環境、133:個別環境 101: client terminal, 103: individual environment, 111: mail server and judgment device, 115: attached file analysis unit, 117: analysis judgment table, 121: sandbox management device, 124: clone environment construction unit, 126: standard Sandbox Environment, 131: Clone Sandbox Environment, 133: Individual Environment
Claims (15)
クライアント端末を宛先とし、添付ファイルを含むメールを受信し、
受信メールに含まれる情報に基づいて、サンドボックス環境の種別を選択し、
選択の結果と添付ファイルを、サンドボックス環境での解析のために送信するメールサーバと、
前記メールサーバから送信された選択の結果と添付ファイルを受信し、
受信した選択の結果にしたがって、前記クライアント端末の環境を利用して構築されたクローンサンドボックス環境、または前記クライアント端末の環境を利用せずに構築された標準サンドボックス環境で、受信した添付ファイルを実行することにより解析するサンドボックス管理装置と、
を備えたことを特徴とするマルウェア検知システム。 In a malware detection system that analyzes email attachments,
Address the client terminal and receive the mail including the attached file,
Select the type of sandbox environment based on the information contained in the received email,
A mail server that sends selection results and attachments for analysis in a sandbox environment,
Receive the result of the selection and the attached file sent from the mail server,
In the clone sandbox environment constructed using the environment of the client terminal or the standard sandbox environment constructed without using the environment of the client terminal according to the received selection result A sandbox management device that analyzes by executing
Malware detection system characterized by having.
前記メールサーバは、
受信メールに含まれる添付ファイルのファイル名の拡張子に基づいて、サンドボックス環境の種別を選択すること
を特徴とするマルウェア検知システム。 In the malware detection system according to claim 1,
The mail server is
A malware detection system comprising selecting a type of sandbox environment based on an extension of a file name of an attached file included in an incoming mail.
前記メールサーバは、
受信メールのヘッダの情報に基づいて、サンドボックス環境の種別を選択すること
を特徴とするマルウェア検知システム。 In the malware detection system according to claim 1,
The mail server is
A malware detection system characterized by selecting a type of sandbox environment based on information of a header of an incoming mail.
前記メールサーバは、
選択の結果と添付ファイルと、さらに受信メールの宛先の情報を、サンドボックス環境での解析のために、前記サンドボックス管理装置へ送信し、
前記サンドボックス管理装置は、
複数のクローンサンドボックス環境を有し、
前記メールサーバから送信された選択の結果と添付ファイルと、さらに受信メールの宛先の情報を受信し、
受信した選択の結果がクローンサンドボックス環境である場合、受信した受信メールの宛先の情報に対応するクローンサンドボックス環境を複数のクローンサンドボックス環境の中から探索し、探索により見つかったクローンサンドボックス環境で、受信した添付ファイルを実行することにより解析すること
を特徴とするマルウェア検知システム。 In the malware detection system according to claim 2,
The mail server is
Send the result of the selection, the attached file, and the information of the destination of the received mail to the sandbox management device for analysis in a sandbox environment,
The sandbox management device
Have multiple clone sandbox environments,
Receiving the result of the selection sent from the mail server, the attached file, and the information on the destination of the received mail,
If the received selection result is a clone sandbox environment, a clone sandbox environment corresponding to the received mail destination information is searched from among a plurality of clone sandbox environments, and the clone sandbox environment found by the search And a malware detection system characterized by analyzing the received attached file by executing it.
前記サンドボックス管理装置は、
受信した選択の結果がクローンサンドボックス環境である場合、受信した受信メールの宛先の情報に対応するクローンサンドボックス環境を複数のクローンサンドボックス環境の中から探索し、探索により見つからないと、受信した受信メールの宛先の前記クライアント端末の環境を利用してクローンサンドボックス環境を構築し、構築したクローンサンドボックス環境で、受信した添付ファイルを実行することにより解析すること
を特徴とするマルウェア検知システム。 In the malware detection system according to claim 4,
The sandbox management device
If the received selection result is a clone sandbox environment, a clone sandbox environment corresponding to received mail destination information is searched from among a plurality of clone sandbox environments, and if the search is not found, it is received A malware detection system characterized by constructing a clone sandbox environment using the environment of the client terminal to which an incoming mail is addressed, and executing the received attached file in the constructed clone sandbox environment.
前記サンドボックス管理装置は、
受信した受信メールの宛先の前記クライアント端末の環境をコピーし、コピーした環境を含むクローンサンドボックス環境を構築すること
を特徴とするマルウェア検知システム。 In the malware detection system according to claim 5,
The sandbox management device
A malware detection system, comprising: copying an environment of the client terminal to which a received email is received; and constructing a clone sandbox environment including the copied environment.
前記サンドボックス管理装置は、
複数の標準サンドボックス環境を有し、
受信した選択の結果が標準サンドボックス環境である場合、複数の標準サンドボックスの中から順次選択した標準サンドボックス環境で、受信した添付ファイルを実行することにより解析すること
を特徴とするマルウェア検知システム。 In the malware detection system according to claim 6,
The sandbox management device
Have multiple standard sandbox environments,
A malware detection system characterized in that, when the received result of selection is a standard sandbox environment, analysis is performed by executing the received attached file in a standard sandbox environment sequentially selected from a plurality of standard sandboxes. .
前記サンドボックス管理装置は、
構築したクローンサンドボックス環境で、受信した添付ファイルを実行することにより解析した後、構築したクローンサンドボックス環境を削除すること
を特徴とするマルウェア検知システム。 In the malware detection system according to claim 7,
The sandbox management device
A malware detection system characterized by deleting the constructed clone sandbox environment after analyzing it by executing the received attached file in the constructed clone sandbox environment.
前記サンドボックス管理装置は、
構築したクローンサンドボックス環境で、受信した添付ファイルを実行することにより解析した後、構築から予め設定された時間経過すると、構築したクローンサンドボックス環境を削除すること
を特徴とするマルウェア検知システム。 In the malware detection system according to claim 8,
The sandbox management device
What is claimed is: 1. A malware detection system characterized by deleting a constructed clone sandbox environment when a preset time elapses from construction after analysis by executing the received attached file in the constructed clone sandbox environment.
前記サンドボックス管理装置は、
解析の結果を前記メールサーバへ送信し、
前記メールサーバは、
前記サンドボックス管理装置から送信された解析の結果を受信し、受信した解析の結果にしたがって、受信メールを前記クライアント端末へ送信する、または前記クライアント端末への送信を遮断すること
を特徴とするマルウェア検知システム。 In the malware detection system according to claim 7,
The sandbox management device
Send the result of analysis to the mail server,
The mail server is
Malware that receives the analysis result sent from the sandbox management device, and sends the received e-mail to the client terminal or blocks transmission to the client terminal according to the received analysis result. Detection system.
前記メールシステムは、
クライアント端末を宛先とし、添付ファイルを含むメールを受信し、
受信メールに含まれる情報に基づいて、サンドボックス環境の種別を選択し、
選択の結果にしたがって、前記クライアント端末の環境を利用して構築されたクローンサンドボックス環境、または前記クライアント端末の環境を利用せずに構築された標準サンドボックス環境で、添付ファイルを実行することにより解析すること
を特徴とするマルウェア検知方法。 In the mail system's malware detection method for analyzing mail attachments,
The mail system is
Address the client terminal and receive the mail including the attached file,
Select the type of sandbox environment based on the information contained in the received email,
By executing the attached file in a clone sandbox environment built using the environment of the client terminal or a standard sandbox environment built without using the environment of the client terminal according to the result of selection A malware detection method characterized by analyzing.
前記メールシステムは、
受信メールに含まれる添付ファイルのファイル名の拡張子に基づいて、サンドボックス環境の種別を選択すること
を特徴とするマルウェア検知方法。 In the malware detection method according to claim 11,
The mail system is
A malware detection method comprising selecting a type of sandbox environment based on an extension of a file name of an attached file included in an incoming mail.
前記メールシステムは、
選択の結果がクローンサンドボックス環境である場合、受信メールの宛先の情報に対応するクローンサンドボックス環境を複数のクローンサンドボックス環境の中から探索し、探索により見つかったクローンサンドボックス環境で、添付ファイルを実行することにより解析すること
を特徴とするマルウェア検知方法。 In the malware detection method according to claim 12,
The mail system is
If the selection result is a clone sandbox environment, a clone sandbox environment corresponding to the information on the destination of the received mail is searched from among a plurality of clone sandbox environments, and in the clone sandbox environment found by the search, an attached file A malware detection method characterized by analyzing by executing.
前記メールシステムは、
選択の結果がクローンサンドボックス環境である場合、受信メールの宛先の情報に対応するクローンサンドボックス環境を複数のクローンサンドボックス環境の中から探索し、探索により見つからないと、受信メールの宛先の前記クライアント端末の環境をコピーし、コピーした環境を含むクローンサンドボックス環境を構築し、構築したクローンサンドボックス環境で、添付ファイルを実行することにより解析すること
を特徴とするマルウェア検知方法。 In the malware detection method according to claim 13,
The mail system is
If the selection result is a clone sandbox environment, a clone sandbox environment corresponding to the information on the destination of the received mail is searched from among a plurality of clone sandbox environments, and if it is not found by the search, the above mentioned destination of the received mail A malware detection method comprising: copying a client terminal environment; constructing a clone sandbox environment including the copied environment; and analyzing the executed execution of the attached file in the constructed clone sandbox environment.
前記メールシステムは、
解析の結果にしたがって、受信メールを前記クライアント端末へ送信する、または前記クライアント端末への送信を遮断すること
を特徴とするマルウェア検知方法。 In the malware detection method according to claim 14,
The mail system is
A malware detection method comprising: transmitting a received e-mail to the client terminal or blocking transmission to the client terminal according to a result of analysis.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018006388A JP2019125243A (en) | 2018-01-18 | 2018-01-18 | Malware detecting system and malware detecting method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018006388A JP2019125243A (en) | 2018-01-18 | 2018-01-18 | Malware detecting system and malware detecting method |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2019125243A true JP2019125243A (en) | 2019-07-25 |
Family
ID=67399125
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018006388A Pending JP2019125243A (en) | 2018-01-18 | 2018-01-18 | Malware detecting system and malware detecting method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2019125243A (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2021002257A1 (en) | 2019-07-04 | 2021-01-07 | 株式会社カネカ | Method for purifying virus or virus-like particle |
-
2018
- 2018-01-18 JP JP2018006388A patent/JP2019125243A/en active Pending
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2021002257A1 (en) | 2019-07-04 | 2021-01-07 | 株式会社カネカ | Method for purifying virus or virus-like particle |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10326792B2 (en) | Virus intrusion route identification device, virus intrusion route identification method, and program | |
US8255926B2 (en) | Virus notification based on social groups | |
US20160092684A1 (en) | Dynamically optimizing performance of a security appliance | |
TW201642135A (en) | Detecting malicious files | |
US11157618B2 (en) | Context-based analysis of applications | |
JP6050162B2 (en) | Connection destination information extraction device, connection destination information extraction method, and connection destination information extraction program | |
JP6196740B2 (en) | System and method for informing users about applications available for download | |
WO2018005207A1 (en) | Scalable computer vulnerability testing | |
JPWO2014188780A1 (en) | Information processing apparatus and identification method | |
US8086627B2 (en) | Software inventorying system for a shared file system | |
US10200374B1 (en) | Techniques for detecting malicious files | |
JP2019125243A (en) | Malware detecting system and malware detecting method | |
WO2023124041A1 (en) | Ransomware detection method and related system | |
US10831883B1 (en) | Preventing application installation using system-level messages | |
JP2017204173A (en) | Data protection program, data protection method, and data protection system | |
KR101512462B1 (en) | Method for analyzing update of malicious code on analysis sytem of malicious code based on culture | |
JP6205013B1 (en) | Application usage system | |
JP5667957B2 (en) | Malware detection device and program | |
JP4050253B2 (en) | Computer virus information collection apparatus, computer virus information collection method, and program | |
US20140366084A1 (en) | Management system, management method, and non-transitory storage medium | |
JP2017129893A (en) | Malware detection method and system | |
US8015207B2 (en) | Method and apparatus for unstructured data mining and distributed processing | |
JP2016218984A (en) | Log determining device, log determining method, and log determining program | |
JP6949672B2 (en) | Computer equipment | |
JP6687844B2 (en) | Malware analysis device, malware analysis method, and malware analysis program |