WO2022195739A1 - 活動痕跡抽出装置、活動痕跡抽出方法および活動痕跡抽出プログラム - Google Patents
活動痕跡抽出装置、活動痕跡抽出方法および活動痕跡抽出プログラム Download PDFInfo
- Publication number
- WO2022195739A1 WO2022195739A1 PCT/JP2021/010706 JP2021010706W WO2022195739A1 WO 2022195739 A1 WO2022195739 A1 WO 2022195739A1 JP 2021010706 W JP2021010706 W JP 2021010706W WO 2022195739 A1 WO2022195739 A1 WO 2022195739A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- malware
- activity
- unit
- activity trace
- trace
- Prior art date
Links
- 230000000694 effects Effects 0.000 title claims abstract description 256
- 238000000034 method Methods 0.000 title claims description 50
- 239000000284 extract Substances 0.000 claims abstract description 13
- 238000000605 extraction Methods 0.000 claims description 99
- 238000001514 detection method Methods 0.000 claims description 46
- 230000008569 process Effects 0.000 claims description 38
- 230000001419 dependent effect Effects 0.000 claims description 25
- 238000004891 communication Methods 0.000 claims description 20
- 239000008186 active pharmaceutical agent Substances 0.000 description 70
- 238000012545 processing Methods 0.000 description 57
- 230000006399 behavior Effects 0.000 description 33
- 238000010586 diagram Methods 0.000 description 14
- 230000015654 memory Effects 0.000 description 7
- 230000007613 environmental effect Effects 0.000 description 6
- 238000012544 monitoring process Methods 0.000 description 6
- 230000036962 time dependent Effects 0.000 description 5
- 230000008859 change Effects 0.000 description 4
- 230000008520 organization Effects 0.000 description 4
- 230000000644 propagated effect Effects 0.000 description 4
- 239000000700 radioactive tracer Substances 0.000 description 3
- 230000002123 temporal effect Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000001902 propagating effect Effects 0.000 description 2
- 244000035744 Hura crepitans Species 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 230000003542 behavioural effect Effects 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 230000003203 everyday effect Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 230000000717 retained effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
Abstract
Description
以下に、本実施形態に係る活動痕跡抽出システムの構成、活動痕跡抽出装置の構成、各種情報の具体例、処理全体の流れ、テイント解析処理の流れ、依存性判定処理の流れ、活動痕跡抽出処理の流れを順に説明し、最後に本実施形態の効果を説明する。
図1を用いて、本実施形態に係る活動痕跡抽出システム(適宜、本システム)1の構成を詳細に説明する。図1は、第1の実施形態に係る活動痕跡抽出システムの構成例を示す図である。本システム1は、活動痕跡抽出装置100、各種端末等のユーザ端末20(20A、20B、20C)、SOC(Security Operation Center)やCSIRT(Computer Security Incident Response Team)等のセキュリティ対策組織30(30A、30B、30C)およびAPIリストデータベース40を有する。ここで、活動痕跡抽出装置100とユーザ端末20とセキュリティ対策組織30とAPIリストデータベース40とは、図示しない所定の通信網を介して、有線または無線により通信可能に接続される。なお、図1に示した活動痕跡抽出システム1には、複数台の活動痕跡抽出装置100や、複数台のAPIリストデータベース40が含まれてもよい。
図2を用いて、本実施形態に係る活動痕跡抽出装置100の構成を詳細に説明する。図2は、本実施形態に係る活動痕跡抽出装置の構成例を示すブロック図である。活動痕跡抽出装置100は、入力部110、入力部120、通信部130、記憶部140および制御部150を有する。
図3~図6を用いて、本実施形態に係る各種情報の具体例を詳細に説明する。図3は、第1の実施形態に係るAPIトレースと活動痕跡の一例を示す図である。図4は、第1の実施形態に係る時間依存性のある活動痕跡の一例を示す図である。図5は、第1の実施形態に係る環境依存性のある活動痕跡の一例を示す図である。図6は、第1の実施形態に係るテイントタグによる依存性のある活動痕跡の検出の一例を示す図である。
図7を用いて、本実施形態に係る処理全体の流れを詳細に説明する。図7は、第1の実施形態に係る処理全体の流れの一例を示すフローチャートである。
取得部151は、マルウェアの挙動を解析し、活動痕跡を得るための情報源である挙動情報を取得する(ステップS102)。このとき、取得部151は、マルウェアを隔離環境で監視しながら実行することで、挙動を解析する。例えば、取得部151は、マルウェアのAPI呼び出しを監視して、APIトレースを取得する。また、取得部151は、ファイルやレジストリ、通信等を監視する。すなわち、取得部151は、API呼び出しの監視、もしくはファイルやレジストリ、通信等の監視のいずれかの監視により、マルウェアの挙動情報を取得する。なお、取得部151がマルウェアの挙動情報を取得するための処理は、特に限定されない。また、取得部151が取得するマルウェアの挙動情報は、APIトレースでもよいし、ファイルやレジストリ、通信等の監視によって得られた情報であってもよく、特に限定されない。
検出部152は、取得部151からマルウェアの挙動情報を取得する。このとき、検出部152は、取得部151以外の機器からマルウェアの挙動情報を取得してもよい。また、検出部152は、入力部110を介して直接入力されたマルウェアの挙動情報を取得してもよい。
付与部153は、マルウェアに対してテイント解析を実行する(ステップS104)。ここで、テイント解析とは、属性情報を表わすテイントタグの付与と伝播によってデータフローを追跡する手法である。例えば、付与部153は、テイント解析エンジン上でマルウェアを実行する。このとき、付与部153は、システム情報等を取得するAPIの出力値にテイントタグを付与する。具体的には、システム情報等を取得するAPIとその出力箇所はあらかじめ列挙しておき、APIリストとして受け取る。テイント解析実行中、付与されたテイントタグは、テイント解析エンジンの処理によってデータフローにあわせて伝播していく。
判定部154は、ステップS103で検出された活動痕跡と、ステップS104で付与されたテイントタグとに基づいて、マルウェアの活動痕跡の依存性の有無を判定する(ステップS106)。なお、判定部154による詳細な依存性判定処理については、[依存性判定処理の流れ]にて後述する。
抽出部155は、ステップS106で判定された活動痕跡の依存性の有無に基づいて、ステップS103で検出された活動痕跡から、依存性のない活動痕跡のみを選択的に抽出する(ステップS107)。なお、抽出部155による詳細な活動痕跡抽出処理については、[活動痕跡抽出処理の流れ]にて後述する。
図8を用いて、本実施形態に係るテイント解析処理の流れを詳細に説明する。図8は、第1の実施形態に係るテイント解析処理の流れの一例を示すフローチャートである。まず、活動痕跡抽出装置100の取得部151は、痕跡情報(IOC)を生成する対象のマルウェアの入力を受け付ける(ステップS201)。
図9を用いて、本実施形態に係る依存性判定処理の流れを詳細に説明する。図9は、第1の実施形態に係る依存性判定処理の流れの一例を示すフローチャートである。まず、活動痕跡抽出装置100の判定部154は、タグマップ記憶部142からタグマップを取得する(ステップS301)。また、判定部154は、検出部152によって検出されたマルウェアの活動痕跡を1つ取得する(ステップS302)。なお、ステップS301とステップS302の処理は同時に行われてもよい。また、ステップS302の処理がステップS301の処理より先に行われてもよい。
図10を用いて、本実施形態に係る活動痕跡抽出処理の流れを詳細に説明する。図10は、第1の実施形態に係る活動痕跡抽出処理の流れの一例を示すフローチャートである。まず、活動痕跡抽出装置100の抽出部155は、活動痕跡記憶部141から活動痕跡を1つ取得する(ステップS401)。また、抽出部155は、判定部154によって判定された、当該活動痕跡に対応する判定結果を取得する(ステップS402)。なお、ステップS401とステップS402の処理は同時に行われてもよい。
第1に、上述した本実施形態に係る活動痕跡抽出処理では、マルウェアの挙動に関する情報を取得し、取得したマルウェアの挙動に関する情報に基づいて、マルウェアの活動痕跡を検出し、マルウェアに対してテイント解析を実行し、マルウェアが所定のAPIを呼び出す場合には、APIの出力値にテイント解析に基づくテイントタグを付与し、付与したテイントタグに基づいて、活動痕跡の依存性の有無を判定し、依存性がないと判定した場合には、活動痕跡をマルウェアを検知するために有効な活動痕跡として抽出する。このため、本処理では、マルウェアのデータフローの追跡に基づいて活動痕跡の依存性の有無を精緻に検出し、依存性がなくマルウェアの検知に有効な活動痕跡を選択的に抽出できる。
上記実施形態に係る図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示のごとく構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
また、上記実施形態において説明した活動痕跡抽出装置100が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。この場合、コンピュータがプログラムを実行することにより、上記実施形態と同様の効果を得ることができる。さらに、かかるプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータに読み込ませて実行することにより上記実施形態と同様の処理を実現してもよい。
100 活動痕跡抽出装置
110 入力部
120 出力部
130 通信部
140 記憶部
141 活動痕跡記憶部
142 タグマップ記憶部
150 制御部
151 取得部
152 検出部
153 付与部
154 判定部
155 抽出部
156 生成部
20、20A、20B、20C ユーザ端末
30、30A、30B、30C セキュリティ対応組織
40 APIリストデータベース
Claims (6)
- マルウェアの挙動に関する情報を取得する取得部と、
前記取得部によって取得された前記情報に基づいて、前記マルウェアの活動痕跡を検出する検出部と、
前記マルウェアに対してテイント解析を実行し、前記マルウェアが所定のAPI(Application Programming Interface)を呼び出す場合には、該APIの出力値に該テイント解析に基づくテイントタグを付与する付与部と、
前記付与部によって付与された前記テイントタグに基づいて、前記活動痕跡の依存性の有無を判定する判定部と、
前記判定部によって前記依存性がないと判定された場合には、前記活動痕跡を前記マルウェアを検知するために有効な活動痕跡として抽出する抽出部と
を備えることを特徴とする活動痕跡抽出装置。 - 前記付与部は、前記マルウェアがシステム情報、時刻情報、デバイス情報、またはアプリケーションに固有の情報を取得する前記APIを呼び出す場合には、前記出力値に前記テイントタグを付与し、
前記判定部は、前記活動痕跡の時間依存性または環境依存性の有無を判定することを特徴とする請求項1に記載の活動痕跡抽出装置。 - 前記取得部は、ネットワーク通信、ファイル操作、レジストリ操作またはプロセス生成に関与するAPI呼び出しの引数を取得することを特徴とする請求項2に記載の活動痕跡抽出装置。
- 前記判定部は、前記活動痕跡に対応する前記APIの引数に前記テイントタグが付与されている場合には、前記活動痕跡は前記依存性があると判定し、
前記抽出部によって抽出された前記有効な活動痕跡から、前記マルウェアの痕跡情報を生成する生成部をさらに備えることを特徴とする請求項1から3のいずれか1項に記載の活動痕跡抽出装置。 - 活動痕跡抽出装置によって実行される活動痕跡抽出方法であって、
マルウェアの挙動に関する情報を取得する取得工程と、
前記取得工程によって取得された前記情報に基づいて、前記マルウェアの活動痕跡を検出する検出工程と、
前記マルウェアに対してテイント解析を実行し、前記マルウェアが所定のAPIを呼び出す場合には、該APIの出力値に該テイント解析に基づくテイントタグを付与する付与工程と、
前記付与工程によって付与された前記テイントタグに基づいて、前記活動痕跡の依存性の有無を判定する判定工程と、
前記判定工程によって前記依存性がないと判定された場合には、前記活動痕跡を前記マルウェアを検知するために有効な活動痕跡として抽出する抽出工程と
を含むことを特徴とする活動痕跡抽出方法。 - マルウェアの挙動に関する情報を取得する取得ステップと、
前記取得ステップによって取得された前記情報に基づいて、前記マルウェアの活動痕跡を検出する検出ステップと、
前記マルウェアに対してテイント解析を実行し、前記マルウェアが所定のAPIを呼び出す場合には、該APIの出力値に該テイント解析に基づくテイントタグを付与する付与ステップと、
前記付与ステップによって付与された前記テイントタグに基づいて、前記活動痕跡の依存性の有無を判定する判定ステップと、
前記判定ステップによって前記依存性がないと判定された場合には、前記活動痕跡を前記マルウェアを検知するために有効な活動痕跡として抽出する抽出ステップと
をコンピュータに実行させることを特徴とする活動痕跡抽出プログラム。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2021/010706 WO2022195739A1 (ja) | 2021-03-16 | 2021-03-16 | 活動痕跡抽出装置、活動痕跡抽出方法および活動痕跡抽出プログラム |
JP2023506461A JPWO2022195739A1 (ja) | 2021-03-16 | 2021-03-16 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2021/010706 WO2022195739A1 (ja) | 2021-03-16 | 2021-03-16 | 活動痕跡抽出装置、活動痕跡抽出方法および活動痕跡抽出プログラム |
Publications (1)
Publication Number | Publication Date |
---|---|
WO2022195739A1 true WO2022195739A1 (ja) | 2022-09-22 |
Family
ID=83320207
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
PCT/JP2021/010706 WO2022195739A1 (ja) | 2021-03-16 | 2021-03-16 | 活動痕跡抽出装置、活動痕跡抽出方法および活動痕跡抽出プログラム |
Country Status (2)
Country | Link |
---|---|
JP (1) | JPWO2022195739A1 (ja) |
WO (1) | WO2022195739A1 (ja) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2014185165A1 (ja) * | 2013-05-16 | 2014-11-20 | 日本電信電話株式会社 | 情報処理装置、および、情報処理方法 |
WO2014188780A1 (ja) * | 2013-05-20 | 2014-11-27 | 日本電信電話株式会社 | 情報処理装置及び特定方法 |
JP2016040698A (ja) * | 2014-08-13 | 2016-03-24 | Kddi株式会社 | テイント解析装置、テイント解析方法、およびプログラム |
JP2017162042A (ja) * | 2016-03-08 | 2017-09-14 | 株式会社セキュアブレイン | 不正処理解析装置、および不正処理解析方法 |
-
2021
- 2021-03-16 WO PCT/JP2021/010706 patent/WO2022195739A1/ja active Application Filing
- 2021-03-16 JP JP2023506461A patent/JPWO2022195739A1/ja active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2014185165A1 (ja) * | 2013-05-16 | 2014-11-20 | 日本電信電話株式会社 | 情報処理装置、および、情報処理方法 |
WO2014188780A1 (ja) * | 2013-05-20 | 2014-11-27 | 日本電信電話株式会社 | 情報処理装置及び特定方法 |
JP2016040698A (ja) * | 2014-08-13 | 2016-03-24 | Kddi株式会社 | テイント解析装置、テイント解析方法、およびプログラム |
JP2017162042A (ja) * | 2016-03-08 | 2017-09-14 | 株式会社セキュアブレイン | 不正処理解析装置、および不正処理解析方法 |
Also Published As
Publication number | Publication date |
---|---|
JPWO2022195739A1 (ja) | 2022-09-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20200233736A1 (en) | Enabling symptom verification | |
EP3200115B1 (en) | Specification device, specification method, and specification program | |
US8555385B1 (en) | Techniques for behavior based malware analysis | |
CN108667855B (zh) | 网络流量异常监测方法、装置、电子设备及存储介质 | |
JP7115552B2 (ja) | 解析機能付与装置、解析機能付与方法及び解析機能付与プログラム | |
EP1543396A2 (en) | Method and apparatus for the automatic determination of potentially worm-like behaviour of a program | |
KR101676366B1 (ko) | 사이버 공격 대응을 위한 악성코드 침해 경로 및 행위 추적을 수행하는 침해 공격 추적 시스템 및 방법 | |
JP7024720B2 (ja) | マルウェア解析装置、マルウェア解析方法、及び、マルウェア解析プログラム | |
RU2634177C1 (ru) | Система и способ обнаружения нежелательного программного обеспечения | |
US20160124795A1 (en) | Evaluation method and apparatus | |
CN111183620B (zh) | 入侵调查 | |
WO2015073469A1 (en) | Functional validation of software | |
CN105247533A (zh) | 信息处理装置和确定方法 | |
JP2007109016A (ja) | アクセスポリシ生成システム、アクセスポリシ生成方法及びアクセスポリシ生成用プログラム | |
CN106462704B (zh) | 动态读入代码分析装置和动态读入代码分析方法 | |
WO2022195739A1 (ja) | 活動痕跡抽出装置、活動痕跡抽出方法および活動痕跡抽出プログラム | |
JP2005234661A (ja) | アクセスポリシ生成システム、アクセスポリシ生成方法およびアクセスポリシ生成用プログラム | |
JP6075013B2 (ja) | ログ取得プログラム、ログ取得装置及びログ取得方法 | |
CN111886594A (zh) | 恶意进程跟踪 | |
US11573887B2 (en) | Extracting code patches from binary code for fuzz testing | |
US20180276382A1 (en) | System and Method for Automation of Malware Unpacking and Analysis | |
JP5386015B1 (ja) | バグ検出装置およびバグ検出方法 | |
US20170123959A1 (en) | Optimized instrumentation based on functional coverage | |
WO2022195737A1 (ja) | 活動痕跡抽出装置、活動痕跡抽出方法及び活動痕跡抽出プログラム | |
WO2022195728A1 (ja) | 活動痕跡抽出装置、活動痕跡抽出方法及び活動痕跡抽出プログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 21931491 Country of ref document: EP Kind code of ref document: A1 |
|
WWE | Wipo information: entry into national phase |
Ref document number: 2023506461 Country of ref document: JP |
|
WWE | Wipo information: entry into national phase |
Ref document number: 18281776 Country of ref document: US |
|
NENP | Non-entry into the national phase |
Ref country code: DE |
|
122 | Ep: pct application non-entry in european phase |
Ref document number: 21931491 Country of ref document: EP Kind code of ref document: A1 |