マルウェア動的解析システムAlkanetによるWindowsサービスの追跡
書誌事項
- タイトル別名
-
- Tracing of Windows Services Using Malware Dynamic Analysis System Alkanet
説明
マルウェアの中には解析されることを避けるため単一のプロセスとして動作せず,Windowsに内蔵されたOSの機能により他のプロセスを利用することで解析を回避するものが存在する.そうしたOSの機能の一つにWindowsサービスがあり,Windowsによって提供される複数のサービスが,それぞれ単一のプロセスとして動作する.サービスへのリクエスト送信にはAdvanced Local Procedure Call (ALPC)が主に用いられる.ALPCの仕様は文書化されておらず,リクエスト内容や送信先の特定が難しいことから,マルウェアによるサービスの利用を動的解析により追跡することは難しい.本論文では,我々が開発してきたWindowsマルウェアの動的解析向けのシステムコールトレーサであるAlkanetからALPCを新たに観測し,マルウェアによるサービスの利用を追跡可能にした.
Some malware evades detection by avoiding execution as a single process and using operating system functions to spawn other processes. Windows services are one of these functions, with each service running as an independent process. Advanced Local Procedure Call (ALPC) is used to communicate with these services. However, identifying the content and destination of requests is difficult due to the lack of published documentation on the ALPC specifications. As a result, it is difficult to track the use of services by malware through dynamic analysis. This paper presents Alkanet, a system call tracer designed for dynamic analysis of Windows malware, which can trace malware's use of Windows services.
収録刊行物
-
- コンピュータセキュリティシンポジウム2024論文集
-
コンピュータセキュリティシンポジウム2024論文集 1697-1704, 2024-10-15
情報処理学会
- Tweet
詳細情報 詳細情報について
-
- CRID
- 1050302237609672448
-
- 本文言語コード
- ja
-
- 資料種別
- conference paper
-
- データソース種別
-
- IRDB