マルウェア動的解析オンラインサービスの脆弱性

書誌事項

タイトル別名
  • Vulnerability of Malware Sandbox Analysis as an Online Service

抄録

近年,任意のユーザからの実行ファイル等の検体の提出を受け付け,解析環境 (サンドボックス) 内で実行し,その挙動を解析して結果をユーザに提供するといった 「マルウェア動的解析オンラインサービス」 が人気を集めている.しかし,解析対象の検体が動作中にインターネットにアクセスすることを許す動的解析方法をとる場合,攻撃者は解析サービスに送り込む検体を特別に設計し,検体のアクセス先ホストと連携することで,サンドボックスの IP アドレスなどの,サービスを実施するシステムに関する情報を調べることが可能なはずである.更には,このような情報により,C&C サーバやファイルサーバといった攻撃者が管理するサーバへの,サンドボックス内の検体からのアクセスと,サンドボックス外の検体からのアクセスを区別できるため,動的解析オンラインサービスでは十分にその機能が調べられないようにマルウェアを設計することも可能となるはずである.本報告では,このような脆弱性が現在運用されている多くのマルウェア動的解析オンラインサービスに現実に存在することを示す.

In recent years, malware sandbox analysis as an online service, which receives online submissions ofpossibly malicious executables from an arbitrary user, analyzes their behavior by actually executing them in atesting environment (i.e., a sandbox), and sends analysis reports back to the user, is becoming popular. However,we point out that an IP address of an Internet-connected sandbox could be discovered by an attacker who submitsa dummy sample designed to connect to a server in attacker’s control. Moreover, in order to disturb or avoid thesandbox analysis, malware authors could design their malware to conceal its behavior if it uses the discovered IPaddress when connecting to their Command and Control (C&C) server or file server. In this paper, we show thatsuch vulnerability actually exists in many existing online analysis services.

収録刊行物

詳細情報 詳細情報について

  • CRID
    1050574047114618880
  • NII論文ID
    170000066080
  • Web Site
    http://id.nii.ac.jp/1001/00074923/
  • 本文言語コード
    ja
  • 資料種別
    conference paper
  • データソース種別
    • IRDB
    • CiNii Articles

問題の指摘

ページトップへ