JP6050162B2 - Connection destination information extraction device, connection destination information extraction method, and connection destination information extraction program - Google Patents
Connection destination information extraction device, connection destination information extraction method, and connection destination information extraction program Download PDFInfo
- Publication number
- JP6050162B2 JP6050162B2 JP2013054155A JP2013054155A JP6050162B2 JP 6050162 B2 JP6050162 B2 JP 6050162B2 JP 2013054155 A JP2013054155 A JP 2013054155A JP 2013054155 A JP2013054155 A JP 2013054155A JP 6050162 B2 JP6050162 B2 JP 6050162B2
- Authority
- JP
- Japan
- Prior art keywords
- destination information
- connection destination
- communication
- software
- connection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Information Transfer Between Computers (AREA)
Description
本発明は、有害な動作を行う意図で作成された悪意のあるソフトウェアであるマルウェアの解析技術に係り、特に、マルウェアの接続先情報を取得し、当該接続先情報をブラックリストとして利用する技術に関するものである。 The present invention relates to malware analysis technology that is malicious software created with the intention of performing harmful operations, and more particularly, to technology for acquiring malware connection destination information and using the connection destination information as a blacklist. Is.
近年、様々なマルウェアが出現している。特に、実行されると、まず、C&Cサーバやダウンロードサーバへ接続するものが増えている。なお、C&Cサーバとは、マルウェアに感染してボットと化したコンピュータ群(ボットネット)に指令(Command)を送り、制御(Control)の中心となるサーバのことである。また、C&Cサーバやダウンロードサーバ等の有害なサーバのURLを悪性URLと呼ぶ。 In recent years, various malware has appeared. In particular, when it is executed, firstly, there are increasing numbers connected to C & C servers and download servers. Note that the C & C server is a server that sends a command (Command) to a computer group (botnet) infected with malware and turned into a bot, and is the center of control. In addition, URLs of harmful servers such as C & C servers and download servers are called malignant URLs.
マルウェアの接続先等を入手する既存技術として、安全な仮想環境でマルウェアを動作させ、実際に外部に接続させることで接続先等を入手する技術がある。この技術を用いマルウェアの挙動を把握するとともに、悪性URLの特定にもつなげている。このような悪性URLをブラックリストとして保持し、フィルタリング等に用いることでユーザを保護することができる。 As an existing technology for obtaining a connection destination of malware, there is a technology for obtaining a connection destination by operating the malware in a safe virtual environment and actually connecting it to the outside. This technology is used to understand the behavior of malware and to identify malicious URLs. Such a malicious URL is stored as a black list and used for filtering or the like, thereby protecting the user.
なお、効果的なフィルタリングを行うためにはブラックリストが常に最新の状態に保たれている必要があり、例えば、ブラックリストの維持管理のために特許文献1に記載された技術がある。
Note that in order to perform effective filtering, it is necessary that the black list is always kept up-to-date. For example, there is a technique described in
しかしながら、従来からあるマルウェアの解析においては、マルウェアの挙動を調べることが主眼となっており、悪性URLの取得は付随的なものである。例えば、従来からあるマルウェアの解析では、その挙動からマルウェアを特定するシグニチャを作成し、作成したシグニチャを用いてマルウェアを検出することや、マルウェアを動作させ、実際の攻撃者サーバに接続させ、次の通信から次の新しいマルウェアを入手すること等が主に行われている。 However, in the conventional malware analysis, the main purpose is to examine the behavior of the malware, and the acquisition of a malicious URL is incidental. For example, in conventional malware analysis, a signature that identifies malware is created from its behavior, the malware is detected using the created signature, and the malware is operated and connected to the actual attacker server. The following new malware is mainly obtained from the communication.
そのため、従来から存在するブラックリストに対して、最新のものに保つ技術等を用いたとしても、そもそもの悪性URLのブラックリストの量が十分でなく、ブラックリストを利用したサービス、例えば、ユーザが悪性URLに接続することなく安全にブラウジングを可能とするようなサービスに適用した場合、ユーザを保護するのには不十分である。 For this reason, even if the technology for keeping the latest black list is used, the amount of the black list of malicious URLs is not sufficient in the first place, and the service using the black list, for example, the user When applied to a service that allows browsing safely without connecting to a malicious URL, it is insufficient to protect the user.
本発明は上記の点に鑑みてなされたものであり、有害なサーバのURL等のマルウェアの接続先情報を迅速に多く取得することを可能とした技術を提供することを目的とする。 The present invention has been made in view of the above points, and an object of the present invention is to provide a technique that can quickly acquire a large amount of malware connection destination information such as URLs of harmful servers.
上記の課題を解決するために、本発明は、ネットワークを介して外部サーバと通信を行う通信機能を備え、当該ネットワークとの接続が遮断されている接続先情報抽出装置であって、
ソフトウェアを実行するソフトウェア実行手段と、
前記ソフトウェア実行手段により実行される前記ソフトウェアによる外部サーバへの接続動作を観測し、当該接続動作に関する通信ログを取得する通信観測手段と、
前記通信観測手段により取得された通信ログから、前記ソフトウェアの接続先情報を抽出し、当該接続先情報を接続先情報格納手段に格納する接続先情報抽出手段とを備え、
前記接続先情報抽出手段は、前記接続先情報であるURLに記述されているファイル名の拡張子に基づいて、当該接続先情報の悪性種別を判定することを特徴とする接続先情報抽出装置として構成される。
In order to solve the above-described problem, the present invention is a connection destination information extraction device that includes a communication function for communicating with an external server via a network, and is disconnected from the network.
Software execution means for executing the software;
A communication observation means for observing a connection operation to an external server by the software executed by the software execution means, and acquiring a communication log related to the connection operation;
Connection destination information extracting means for extracting connection destination information of the software from the communication log acquired by the communication observation means, and storing the connection destination information in the connection destination information storage means ;
The connection destination information extracting unit is configured to determine a malignant type of the connection destination information based on an extension of a file name described in a URL that is the connection destination information. Composed.
前記通信観測手段により取得される通信ログには、例えば、前記ソフトウェアによる外部サーバへの接続通信に対する応答が届かない環境で解析することにより、当該ソフトウェアが別の複数の外部サーバへ次々と再接続を試みることによる通信のログが含まれる。 In the communication log acquired by the communication observation means, for example, by analyzing in an environment where a response to the connection communication to the external server by the software does not reach, the software is reconnected to other external servers one after another. Contains a log of communications resulting from attempts.
また、前記接続先情報抽出装置は、前記ソフトウェアから外部サーバへの接続通信を受信し、擬似的にエラー応答を返す擬似応答手段を内部に備えるか、もしくは、当該擬似応答手段と接続されることとしてもよく、その場合、前記通信観測手段により取得される通信ログには、前記ソフトウェアによる外部サーバへの接続通信に対する前記擬似応答手段によるエラー応答に起因して、当該ソフトウェアが別の外部サーバへ再接続を試みることによる通信のログが含まれる。 In addition, the connection destination information extraction device includes a pseudo response unit that receives connection communication from the software to an external server and returns a pseudo error response, or is connected to the pseudo response unit. In that case, in the communication log acquired by the communication observation unit, the software is transferred to another external server due to an error response by the pseudo response unit to the connection communication to the external server by the software. Contains a log of communication due to reconnection attempts.
前記接続先情報抽出手段は、前記通信ログから抽出した接続先情報を、ブラックリストを構成する接続先情報として前記接続先情報格納手段に格納するようにしてもよい。また、前記ソフトウェアは例えばマルウェアである。 The connection destination information extraction unit may store the connection destination information extracted from the communication log in the connection destination information storage unit as connection destination information constituting a black list. The software is malware, for example.
また、本発明は、ネットワークを介して外部サーバと通信を行う通信機能を備え、当該ネットワークとの接続が遮断されている接続先情報抽出装置が実行する接続先情報抽出方法として構成することもできる。また、本発明は、ネットワークを介して外部サーバと通信を行う通信機能と、ソフトウェアを実行するソフトウェア実行手段とを備え、当該ネットワークとの接続が遮断されているコンピュータを、前記接続先情報抽出装置における前記通信観測手段、及び前記接続先情報抽出手段として機能させるための接続先情報抽出プログラムとして構成することも可能である。 The present invention can also be configured as a connection destination information extraction method that is executed by a connection destination information extraction apparatus that includes a communication function for communicating with an external server via a network and is disconnected from the network. . In addition, the present invention provides a computer having a communication function for communicating with an external server via a network and software execution means for executing software, wherein the computer disconnected from the network is connected to the connection destination information extracting device. It is also possible to configure as a connection destination information extraction program for functioning as the communication observation means and the connection destination information extraction means.
本発明によれば、有害なサーバのURL等のマルウェアの接続先情報を迅速に多く取得することが可能となる。 According to the present invention, it is possible to quickly acquire a large amount of malware connection destination information such as URLs of harmful servers.
以下、図面を参照して本発明の実施の形態を説明する。なお、以下で説明する実施の形態は一例に過ぎず、本発明が適用される実施の形態は、以下の実施の形態に限られるわけではない。例えば、本実施の形態では、マルウェアの接続先情報をブラックリストを構成する接続先情報として取得することとしているが、接続先情報を抽出する対象ソフトウェアはマルウェアに限られない。例えば、本実施の形態の技術を利用して、ネットワーク上の様々なサーバに接続する特性を有するマルウェア以外のソフトウェアの接続先情報を取得し、リスト(例:ホワイトリスト、ブラックリスト)としてもよい。 Embodiments of the present invention will be described below with reference to the drawings. The embodiment described below is only an example, and the embodiment to which the present invention is applied is not limited to the following embodiment. For example, in the present embodiment, malware connection destination information is acquired as connection destination information constituting a blacklist, but target software for extracting connection destination information is not limited to malware. For example, by using the technology of the present embodiment, connection destination information of software other than malware having the characteristic of connecting to various servers on the network may be acquired and used as a list (eg, white list, black list). .
(実施の形態の概要)
近年、増加している特定のタイプのマルウェアは、攻撃の起点となるサーバを多数持っている場合が多い。本実施の形態ではこのようなマルウェアの性質を利用し、マルウェアの通信を失敗させ、再接続を促すことでマルウェアの接続先を監視し、接続先サーバのURL(=悪性URL)等のアドレスを抽出することとしている。なお、接続先サーバのアドレスとしてURLを取得することは一例であり、接続先サーバを識別する情報であればどのような情報を取得してもよい。例えば、IPアドレスでもよい。
(Outline of the embodiment)
In recent years, an increasing number of specific types of malware often have a large number of servers from which attacks start. In the present embodiment, such malware characteristics are used, the malware communication is failed, the connection destination of the malware is monitored by prompting reconnection, and the address of the connection destination server (= malignant URL) is set. We are going to extract it. Note that acquiring the URL as the address of the connection destination server is merely an example, and any information may be acquired as long as the information identifies the connection destination server. For example, an IP address may be used.
図1を参照して本実施の形態の概要を説明する。図1には、マルウェアを実行するブラックリスト抽出装置10、及び、マルウェアの実行によりブラックリスト抽出装置10が接続しようとする複数のサーバ(例:C&Cサーバ、ダウンロードサーバ)が示されている。ただし、ブラックリスト抽出装置10はネットワーク(本実施の形態ではインターネット)に接続されておらず遮断されており、サーバとの通信を行うことができない。
The outline of the present embodiment will be described with reference to FIG. FIG. 1 shows a black
このような環境の中で、ブラックリスト抽出装置10においてマルウェアを実行させる。すると、マルウェアはまずサーバ1に接続しようとするが、ネットワーク接続されていないので、この通信は失敗となり、サーバ1からの応答をマルウェアは受信できない。つまり無応答となる。サーバ1への接続が失敗したので、マルウェアはサーバ1と異なるサーバ2への接続を試みるが、この接続も失敗に終わり、次に、サーバ3への接続を試みる。ブラックリスト抽出装置10は、このようなマルウェアの通信動作を観測し、接続先URL(図1の例ではサーバ1、2、3のURL)を抽出し、記憶手段(メモリ等)に格納する。格納された接続先URLのリストは、例えばブラックリストとして外部に出力される。
In such an environment, the black
以下では、ブラックリスト抽出装置10の機能構成例をより詳細に説明する。
Hereinafter, an example of a functional configuration of the black
(機能構成例1)
図2に、本実施の形態に係るブラックリスト抽出装置10の機能構成例1を示す。ブラックリスト抽出装置10は、通信機能を有するコンピュータにより実現されるものであり、図2は、そのコンピュータ内部における本実施の形態に関わる機能構成を示すものである。
(Function configuration example 1)
FIG. 2 shows a functional configuration example 1 of the
図2に示すように、本例に係るブラックリスト抽出装置10は、マルウェア実行部11、通信機能部12、通信観測部13、接続先情報抽出部14、ブラックリスト格納部15、出力部16を備える。
As shown in FIG. 2, the
マルウェア実行部11は、マルウェア(プログラム)を実行する機能部である。マルウェア実行部11は、例えば、マルウェアの実行後に元の状態に容易に戻せるように、仮想化ソフトウェアにより実現される仮想化環境である。また、この仮想化環境において、マルウェアが正常に動作するように、脆弱性を持つアプリケーション(例えば古いバージョンのブラウザ等)をインストールしてある環境である。ただし、マルウェア実行部11は、これに限られるわけではなく、マルウェアを実行できる機能部であればよい。
The
マルウェア実行部11においてマルウェアが実行されると、マルウェアの機能により、ダウンロードサーバやC&Cサーバ等に接続を試みるが、その動作の基はマルウェアであるので、以下では、マルウェアが実行された場合の通信動作の主体を「マルウェア」とする。
When malware is executed in the
通信機能部12は、インターネットとの通信を行うための機能部であり、例えば、TCP/IPソフト、LANドライバ等のソフトウェア、LAN−IF等のハードウェアを含む。本実施の形態では、インターネットへの回線を接続しないが、通信機能部12(通信インタフェースと呼んでもよい)は正常であり、回線が接続されれば正常にインターネットとの通信を行うことができる状態になっている。
The
通信観測部13は、マルウェア実行部11において実行されるマルウェアの外部サーバへの接続動作を観測し、通信ログを取得し、メモリ等からなる通信ログ格納部131に格納する機能部である。接続先情報抽出部14は、通信観測部13により取得された通信ログから、接続先情報を抽出し、ブラックリストを構成する接続先情報としてブラックリスト格納部15に格納する機能部である。出力部16は、ブラックリスト格納部15に格納されたブラックリストを出力(例:表示)する機能部である。また、出力部16は、通信観測部13において観測される通信ログをリアルタイムに表示する動作を行うこともできる。
The
上記の機能構成を有するブラックリスト抽出装置10の動作は以下のとおりである。
The operation of the
まず、例えばハニーポットにより収集されたマルウェア(検体)をマルウェア実行部11に入力し、マルウェア実行部11にマルウェアを実行させる。
First, for example, malware (specimen) collected by a honeypot is input to the
マルウェア実行部11において実行されたマルウェアは、図1に示したように、あるサーバへの通信を行うことを試みるが、ブラックリスト抽出装置10とインターネットとを接続する回線が切断されているために、サーバからの応答はなく、無応答となる。すると、マルウェアは接続タイムアウトを起こし、次のサーバへの接続を行うが、これも無応答となる。
As shown in FIG. 1, the malware executed in the
このような動作を繰り返しマルウェアに行わせ、マルウェアの通信動作を通信観測部13が観測し、通信ログを通信ログ格納部131に格納する。ここで、通信観測部13が観測するプロトコルやレイヤは、接続先を判別できるものであれば特に限定はないが、本実施の形態では、例えば、HTTPプロトコルの通信、IPプロトコルの通信等を観測し、そのログを取得する。また、例えば、SMTP等のプロトコルを観測してもよい。
Such operation is repeatedly performed by the malware, the
接続先情報抽出部14は、通信観測部13により取得され、通信ログ格納部131に格納された通信ログから、マルウェアの接続先情報を抽出する。この抽出は、通信ログ格納部131に通信ログが格納される毎にリアルタイムに行ってもよいし、マルウェアの再接続動作が終了した後に行ってもよい。ただし、解析時間を短縮する観点からは、リアルタイムに行うほうがよい。
The connection destination
接続先情報抽出部14が抽出する情報は、マルウェアが通信を行う宛先のアドレス等の情報、及び/又は、宛先へ送信しようとした情報であり、具体的には例えば、IPアドレス、ポート番号、URL、URLパラメータ、ペイロード等である。これらの情報のうちどの情報を抽出するかは設定で変更できる。例えば、URL、URLパラメータ、及びペイロードのセットを抽出するように、接続先情報抽出部14に設定(指示)を行うことで、接続先情報抽出部14は、マルウェアが接続しようとしたサーバのURLとそのURLパラメータ、及びペイロードを抽出する。抽出された情報は、ブラックリスト格納部15に格納される。
The information extracted by the connection destination
上記のように接続先情報抽出部14により解析(接続先情報抽出)をリアルタイムに行う場合、マルウェアの再接続の試行が停止した際に解析(接続先情報抽出)を終了することとしてよい。具体的には、例えば、接続先情報抽出部14は、一定時間以上、マルウェアによる再接続がないことを通信ログの格納状況から判断し、その場合に解析を終了する。また、接続先情報抽出部14がタイマーを有し、予め定めた1検体あたりの解析にかける上限時間に達した場合に、解析を終了することとしてもよい。また、接続先情報抽出部14は、通信ログを解析することにより、接続先が一巡したと判定した場合(例えば、接続先が一番最初の接続先と一致した場合等)に解析を終了してもよい。
When the analysis (connection destination information extraction) is performed in real time by the connection destination
本例のブラックリスト抽出装置10における通信観測部13、及び接続先情報抽出部14は、ブラックリスト抽出装置10として使用するコンピュータ(マルウェア実行部11と通信機能部12を含む)に、本実施の形態で説明する通信観測部13、及び接続先情報抽出部14の処理内容を記述したプログラムを実行させることにより実現可能である。すなわち、通信観測部13、及び接続先情報抽出部14は、コンピュータに内蔵されるCPUやメモリ、ハードディスクなどのハードウェア資源を用いて、各部で実施される処理に対応するプログラムを実行することによって実現することが可能である。上記プログラムは、コンピュータが読み取り可能な記録媒体(可搬メモリ等)に記録して、保存したり、配布したりすることが可能である。また、上記プログラムをインターネットや電子メールなど、ネットワークを通して提供することも可能である。
The
また、本例のブラックリスト抽出装置10における各機能部を複数の装置に分けることとしてもよい。
In addition, each functional unit in the black
(機能構成例2)
図3に、本実施の形態に係るブラックリスト抽出装置10の機能構成例2を示す。図3に示すように、本例のブラックリスト抽出装置10は、図2に示したブラックリスト抽出装置10に、擬似応答機能部17を加えたものである。擬似応答機能部17以外の機能部は、図2に示したものと同じである。
(Function configuration example 2)
FIG. 3 shows a functional configuration example 2 of the
擬似応答機能部17は、マルウェアからの接続通信を受け、擬似的に応答をマルウェアに返すソフトウェアにより実現される機能部である。この応答は、マルウェアに再接続動作を促すようなエラー等の応答である。この擬似応答機能部17により、機能構成例1の場合と同様に、マルウェアに再接続を行わせ、接続先情報を収集することが可能となる。
The pseudo
なお、擬似応答機能部17を用いて擬似応答を行うよりも、機能構成例1にように、無応答としたほうが、マルウェアによる別サーバへの再接続通信を発生させやすい。
Rather than using the
擬似応答機能部17は、図3に示すようにブラックリスト抽出装置内にソフトウェアとして備えることの他、ブラックリスト抽出装置10の外部に備えられ、ブラックリスト抽出装置10と接続される装置(コンピュータ)であってもよい。
As shown in FIG. 3, the pseudo
図4に、本例における動作例を示す。図4では、擬似応答部17が、ブラックリスト抽出装置10の外部に示されているが、これは動作を説明するための便宜上のものである。図4に示すように、マルウェアは、サーバ1への接続を行うが、擬似応答部17はエラーを返すことで、マルウェアは別のサーバ2への接続を行う。ここでもエラーを返すことで、マルウェアは更に別のサーバ3への接続を行う。このような通信動作を、装置構成例1の場合と同様に、通信観測部13が観測して通信ログを取得し、更に、接続先情報抽出部14が通信ログから接続先情報を抽出する。
FIG. 4 shows an operation example in this example. In FIG. 4, the
なお、擬似応答部17が、最適な応答(無応答とするか、擬似エラー応答を返すか)を探し出す動作を行ってもよい。例えば、擬似応答部17は、マルウェア動作の最初の段階で、接続から無応答の場合の再接続までの時間(X秒)と、接続からエラー応答を行って再接続するまでの時間(Y秒)とを取得し、X>Yであれば当該マルウェアに対してはエラー応答を行うことにより解析を早くすることができるため、それ以降はエラー応答を行うこととし、X<Yであれば無応答とするようにしてもよい。
Note that the
本例のブラックリスト抽出装置10における通信観測部13、接続先情報抽出部14、及び擬似応答機能部17は、ブラックリスト抽出装置10として使用するコンピュータ(マルウェア実行部11と通信機能部12を含む)に、本実施の形態で説明する通信観測部13、接続先情報抽出部14、及び擬似応答機能部17の処理内容を記述したプログラムを実行させることにより実現可能である。すなわち、通信観測部13、接続先情報抽出部14、及び擬似応答機能部17は、コンピュータに内蔵されるCPUやメモリ、ハードディスクなどのハードウェア資源を用いて、各部で実施される処理に対応するプログラムを実行することによって実現することが可能である。上記プログラムは、コンピュータが読み取り可能な記録媒体(可搬メモリ等)に記録して、保存したり、配布したりすることが可能である。また、上記プログラムをインターネットや電子メールなど、ネットワークを通して提供することも可能である。
The
また、本例のブラックリスト抽出装置10における各機能部を複数の装置に分けることとしてもよい。
In addition, each functional unit in the black
(接続先情報抽出部14による解析例)
接続先情報抽出部14には、通信ログから、指定された接続先情報を抽出する機能だけでなく、以下のように、URLが悪性URLかどうかを判断することに関わる解析機能を備えてもよい。
(Example of analysis by connection destination information extraction unit 14)
The connection destination
本実施の形態では、接続先情報抽出部14は、通信ログ(URL、URLパラメータ、ペイロード等)に基づき、マルウェアによる複数の接続先(複数ドメインへの通信)における接続先情報(URLの文字列等)を解析し、悪性URLの種類(悪性種別)や接続先情報間の類似性を判定し、判定結果等をブラックリスト格納部15に格納する。
In the present embodiment, the connection destination
例えば、通信ログから抽出したURLの中に図5(a)に示すURL(+URLパラメータ)が存在するものとする。このとき、接続先情報抽出部14は、これらのURL文字列の中の「hoge.pl?action=1」を識別する。そして、接続先情報抽出部14は、このようにスクリプトを指定したURLは、サーバに何らかのアクション(攻撃)を起こさせる攻撃URLであると判定する。また、「hoge.pl?action=1」が2つあることからこれらのURLの類似数を2と算出し、例えば、図5(a)に示すURLの各々について、URLと「攻撃URL、類似数2」とをブラックリスト格納部15に出力する。
For example, it is assumed that the URL (+ URL parameter) shown in FIG. 5A exists in the URL extracted from the communication log. At this time, the connection destination
また、例えば、通信ログから抽出したURLの中に図5(b)に示すURLが存在するものとする。このとき、接続先情報抽出部14は、これらのURL文字列の中の「xxx.exe」を識別する。そして、接続先情報抽出部14は、このようにexeファイル名が記述されたURLは、マルウェアを配布するマルウェア配布URLであると判定する。また、「xxx.exe」が2つあることから類似数が2であると算出し、例えば、図5(b)に示すURLの各々について、URLと「マルウェア配布URL、類似数2」を出力する。
Further, for example, it is assumed that the URL shown in FIG. 5B exists in the URL extracted from the communication log. At this time, the connection destination
本例では、URL属性をURLに記述されているファイル名の拡張子で判断し、exe、zip等であればマルウェア配布URLと判定し、スクリプトや引数が指定されていれば攻撃URLであると判断しているが、これは一例に過ぎず、判断手法はこれに限られるわけではない。 In this example, the URL attribute is determined by the extension of the file name described in the URL. If exe, zip, etc., it is determined as a malware distribution URL, and if a script or argument is specified, it is an attack URL Although it is determined, this is only an example, and the determination method is not limited to this.
また、上記の類似数は、そのまま出力することとしてもよいし、予め定めた閾値以上の類似数に対応するURLのみを悪性URLとしてブラックリスト格納部15に出力してもよい。また、類似数が所定の値以下、あるいは類似数が1であるURLを悪性URLから除外する(ブラックリスト格納部15に格納しない)ようにしてもよい。
Further, the number of similarities may be output as it is, or only URLs corresponding to the number of similarities equal to or greater than a predetermined threshold may be output to the
また、ホワイトリスト等がある場合(接続先情報抽出部14において記憶手段に保持)、接続先情報抽出部14は、抽出されたURLと当該リストとを比較し、正常サイトを除外し、ホワイトリストに該当しないURLをブラックリスト格納部15に格納してもよい。また、例えば、一般に多くアクセスされる正常サイトをリスト(ホワイトリスト)に登録しておき、当該リストにあるURLを悪性URLから除外してもよい。
When there is a white list or the like (stored in the storage means in the connection destination information extraction unit 14), the connection destination
なお、抽出したURLが悪性か否かは既存技術を用いて直接的に判定することも可能である。そのような既存技術としては、例えば、クライアント型ハニーポット技術を用い、仮想環境上で実際に脆弱なブラウザでURLにアクセスさせて挙動を観察することにより、当該URLが悪性かどうかを判定する技術がある。 Note that it is also possible to directly determine whether or not the extracted URL is malicious using existing technology. As such an existing technology, for example, a technology that determines whether a URL is malicious by using a client-type honeypot technology and observing the behavior by accessing the URL with a weak browser in a virtual environment. There is.
(ブラックリストの運用例)
本実施の形態に係る技術を用いて取得されたブラックリストを、例えばユーザ端末とサーバ間の機器に適用することにより、ユーザ端末とサーバ間の通信をリアルタイムに監視し、警告や遮断等を行うことが可能となる。
(Blacklist operation example)
By applying the blacklist acquired using the technology according to the present embodiment to, for example, a device between the user terminal and the server, the communication between the user terminal and the server is monitored in real time, and a warning or blocking is performed. It becomes possible.
また、ユーザ端末にブラックリストを備え、ユーザ端末においてユーザ端末とサーバ間の通信をリアルタイムに監視し、警告や遮断等を行うこととしてもよい。 Further, the user terminal may be provided with a black list, and the communication between the user terminal and the server may be monitored in real time at the user terminal, and a warning or interruption may be performed.
また、ブラックリストにおいて、悪性URLに加えて、属性情報を付加することとしてもよい。属性情報としては、例えば、最後に悪性と判定した日時、悪性URLの種類(例:起点URL、攻撃URL、マルウェア配布URL、C&CサーバURL等)がある。また、ユーザ向け、企業向け等、用途に応じてブラックリストを変更することとしてもよい。更に、ブラックリストは適宜更新を行い、最新状態に保てるようにしてもよい。 In the black list, attribute information may be added in addition to the malicious URL. The attribute information includes, for example, the date and time when it was last determined to be malignant, and the type of malignant URL (eg, origin URL, attack URL, malware distribution URL, C & C server URL, etc.). Moreover, it is good also as changing a black list according to a use, such as for users and for companies. Further, the black list may be updated as appropriate so as to keep the latest state.
(実施の形態のまとめ、効果等)
これまでに説明したとおり、本実施の形態では、インターネットに繋がない環境でブラックリスト抽出装置においてマルウェアを実行させ、マルウェアにより発生する通信を観測し、接続先を抽出し、ブラックリストとして出力することとしている。一部のマルウェアは攻撃の起点となる入口C&Cサーバやダウンロードサーバを多数有しており、本実施の形態のように当該マルウェアによる通信を失敗させて次のサーバへの通信を観測することで、インターネット上の潜在的な悪性URL(悪性アドレス)を収集し、悪性URLのブラックリストを拡大することが可能となる。
(Summary of the embodiment, effects, etc.)
As described so far, in this embodiment, in the environment where there is no connection to the Internet, malware is executed in the blacklist extraction device, communication generated by the malware is observed, connection destinations are extracted, and the blacklist is output. It is said. Some malware has many entrance C & C servers and download servers that are the starting points of attacks, and by observing communication to the next server by failing communication by the malware as in this embodiment, Potential malicious URLs (malicious addresses) on the Internet can be collected, and the black list of malicious URLs can be expanded.
マルウェアの種類は膨大になってきており、リバースエンジニアリング等で解析を行う静的解析や、マルウェアの挙動を見ることを主眼とする従来の動的解析を用いることでは、各マルウェアについて迅速に十分な量の悪性URL等からなるブラックリストを作成することは難しい。一方、本実施の形態に係る技術を用いることにより、迅速に多量の悪性URL等からなるブラックリストを作成することが可能となる。 The number of types of malware has become enormous, and using static analysis that performs analysis by reverse engineering, etc., and conventional dynamic analysis that focuses on the behavior of malware, it is sufficient for each malware quickly. It is difficult to create a black list consisting of a large amount of malicious URLs. On the other hand, by using the technique according to the present embodiment, it is possible to quickly create a black list including a large number of malicious URLs.
つまり、本実施の形態により、ブラックリストにおける悪性URLの量を拡大でき、ブラックリストを利用した商用サービス等の精度を向上させることが可能となる。 In other words, according to the present embodiment, the amount of malicious URLs in the black list can be increased, and the accuracy of commercial services using the black list can be improved.
本発明は、上記の実施の形態に限定されることなく、特許請求の範囲内において、種々変更・応用が可能である。 The present invention is not limited to the above-described embodiments, and various modifications and applications are possible within the scope of the claims.
10 ブラックリスト抽出装置
11 マルウェア実行部、
12 通信機能部
13 通信観測部
131 通信ログ格納部
14 接続先情報抽出部
15 ブラックリスト格納部
16 出力部
17 擬似応答機能部
10
12
Claims (7)
ソフトウェアを実行するソフトウェア実行手段と、
前記ソフトウェア実行手段により実行される前記ソフトウェアによる外部サーバへの接続動作を観測し、当該接続動作に関する通信ログを取得する通信観測手段と、
前記通信観測手段により取得された通信ログから、前記ソフトウェアの接続先情報を抽出し、当該接続先情報を接続先情報格納手段に格納する接続先情報抽出手段とを備え、
前記接続先情報抽出手段は、前記接続先情報であるURLに記述されているファイル名の拡張子に基づいて、当該接続先情報の悪性種別を判定する
ことを特徴とする接続先情報抽出装置。 A connection destination information extraction device having a communication function for communicating with an external server via a network, and being disconnected from the network,
Software execution means for executing the software;
A communication observation means for observing a connection operation to an external server by the software executed by the software execution means, and acquiring a communication log related to the connection operation;
Connection destination information extracting means for extracting connection destination information of the software from the communication log acquired by the communication observation means, and storing the connection destination information in the connection destination information storage means ;
The connection destination information extraction unit, wherein the connection destination information extraction unit determines a malignant type of the connection destination information based on an extension of a file name described in a URL that is the connection destination information.
ことを特徴とする請求項1に記載の接続先情報抽出装置。 The communication log acquired by the communication observing means includes a communication log when the software tries to reconnect to another external server due to no response to the connection communication to the external server by the software. The connection destination information extracting device according to claim 1, wherein:
前記通信観測手段により取得される通信ログには、前記ソフトウェアによる外部サーバへの接続通信に対する前記擬似応答手段によるエラー応答に起因して、当該ソフトウェアが別の外部サーバへ再接続を試みることによる通信のログが含まれる
ことを特徴とする請求項1に記載の接続先情報抽出装置。 The connection destination information extracting device includes a pseudo response unit that receives connection communication from the software to an external server and returns a pseudo error response, or is connected to the pseudo response unit,
In the communication log acquired by the communication observation unit, communication caused by the software attempting to reconnect to another external server due to an error response by the pseudo response unit with respect to connection communication to the external server by the software The connection destination information extracting device according to claim 1, wherein:
ことを特徴とする請求項1ないし3のうちいずれか1項に記載の接続先情報抽出装置。 4. The connection destination information extracting unit stores the connection destination information extracted from the communication log in the connection destination information storage unit as connection destination information constituting a black list. The connection destination information extraction device according to claim 1.
ソフトウェアを実行するソフトウェア実行ステップと、
前記ソフトウェア実行ステップにより実行される前記ソフトウェアによる外部サーバへの接続動作を観測し、当該接続動作に関する通信ログを取得する通信観測ステップと、
前記通信観測ステップにより取得された通信ログから、前記ソフトウェアの接続先情報を抽出し、当該接続先情報を接続先情報格納手段に格納する接続先情報抽出ステップとを備え、
前記接続先情報抽出ステップにおいて、前記接続先情報抽出装置は、前記接続先情報であるURLに記述されているファイル名の拡張子に基づいて、当該接続先情報の悪性種別を判定する
ことを特徴とする接続先情報抽出方法。 A connection destination information extraction method executed by a connection destination information extraction device having a communication function for communicating with an external server via a network, and being disconnected from the network,
A software execution step for executing the software;
A communication observation step of observing a connection operation to an external server by the software executed by the software execution step, and acquiring a communication log related to the connection operation;
From the communication log acquired by the communication observation step, the connection destination information extraction step of extracting the connection destination information of the software and storing the connection destination information in the connection destination information storage unit ,
In the connection destination information extraction step, the connection destination information extraction device determines a malignant type of the connection destination information based on an extension of a file name described in a URL that is the connection destination information. Connection destination information extraction method.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013054155A JP6050162B2 (en) | 2013-03-15 | 2013-03-15 | Connection destination information extraction device, connection destination information extraction method, and connection destination information extraction program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013054155A JP6050162B2 (en) | 2013-03-15 | 2013-03-15 | Connection destination information extraction device, connection destination information extraction method, and connection destination information extraction program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2014179025A JP2014179025A (en) | 2014-09-25 |
JP6050162B2 true JP6050162B2 (en) | 2016-12-21 |
Family
ID=51698874
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2013054155A Active JP6050162B2 (en) | 2013-03-15 | 2013-03-15 | Connection destination information extraction device, connection destination information extraction method, and connection destination information extraction program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6050162B2 (en) |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6514897B2 (en) * | 2015-01-16 | 2019-05-15 | Kddi株式会社 | Receiver, display method and program |
JP6870386B2 (en) * | 2017-02-28 | 2021-05-12 | 沖電気工業株式会社 | Malware unauthorized communication countermeasure system and method |
JP6716051B2 (en) | 2018-07-26 | 2020-07-01 | デジタルア−ツ株式会社 | Information processing apparatus, information processing method, and information processing program |
JP6955527B2 (en) * | 2019-04-05 | 2021-10-27 | デジタルア−ツ株式会社 | Information processing equipment, information processing methods, and information processing programs |
JP7297249B2 (en) | 2019-08-07 | 2023-06-26 | 株式会社日立製作所 | Computer system and information sharing method |
JP7099566B2 (en) * | 2021-02-02 | 2022-07-12 | 日本電気株式会社 | Malware analysis method, malware analysis device and malware analysis system |
KR102617219B1 (en) * | 2023-09-09 | 2023-12-27 | 주식회사 엔키 | Apparatus and method of penetration test utilizing malware |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007334536A (en) * | 2006-06-14 | 2007-12-27 | Securebrain Corp | Behavior analysis system for malware |
JP4755658B2 (en) * | 2008-01-30 | 2011-08-24 | 日本電信電話株式会社 | Analysis system, analysis method and analysis program |
-
2013
- 2013-03-15 JP JP2013054155A patent/JP6050162B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2014179025A (en) | 2014-09-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6050162B2 (en) | Connection destination information extraction device, connection destination information extraction method, and connection destination information extraction program | |
US10225280B2 (en) | System and method for verifying and detecting malware | |
US10354072B2 (en) | System and method for detection of malicious hypertext transfer protocol chains | |
RU2726032C2 (en) | Systems and methods for detecting malicious programs with a domain generation algorithm (dga) | |
CN110704836A (en) | Real-time signature-free malware detection | |
US20210182388A1 (en) | Corrective action on malware intrusion detection using file introspection | |
US12069076B2 (en) | System and method for detecting and classifying malware | |
WO2018076697A1 (en) | Method and apparatus for detecting zombie feature | |
JP5739034B1 (en) | Attack detection system, attack detection device, attack detection method, and attack detection program | |
WO2018131199A1 (en) | Combining device, combining method and combining program | |
JP5752642B2 (en) | Monitoring device and monitoring method | |
JP5389739B2 (en) | Analysis system, analysis apparatus, analysis method, and analysis program | |
US9270689B1 (en) | Dynamic and adaptive traffic scanning | |
US10645107B2 (en) | System and method for detecting and classifying malware | |
JP6592196B2 (en) | Malignant event detection apparatus, malignant event detection method, and malignant event detection program | |
JP6092759B2 (en) | COMMUNICATION CONTROL DEVICE, COMMUNICATION CONTROL METHOD, AND COMMUNICATION CONTROL PROGRAM | |
JP2024023875A (en) | Inline malware detection | |
JP6333763B2 (en) | Malware analysis apparatus and malware analysis method | |
CN114070632A (en) | Automatic penetration testing method and device and electronic equipment | |
JP6676790B2 (en) | Request control device, request control method, and request control program | |
WO2015178002A1 (en) | Information processing device, information processing system, and communication history analysis method | |
WO2020255185A1 (en) | Attack graph processing device, method, and program | |
JP6286314B2 (en) | Malware communication control device | |
JP6900328B2 (en) | Attack type determination device, attack type determination method, and program | |
JP5456636B2 (en) | File collection monitoring method, file collection monitoring apparatus, and file collection monitoring program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20150902 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20160714 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20160809 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20161011 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20161101 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20161124 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6050162 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |