Windows APIフックの通信監視による攻撃コードを含むPDFファイルの検知

Search this article

Abstract

ドライブ・バイ・ダウンロード攻撃では,端末を悪性のWebサイトへ誘導してマルウェアに感染させる際にPDF閲覧ソフトの脆弱性を悪用する.閲覧時に脆弱性を突いてマルウェアをダウンロードし実行する攻撃コードを組み込んだPDFファイルが攻撃に使用される.攻撃コードはアンチウイルスソフトに検知されないように難読化されていることがあり,詳細な検査が求められるが解析に時間をかけると業務が滞る.そこで,PDFファイルの善悪を短時間で判断するために,閲覧時に発生する通信を監視するモジュールを提案する.通信に使用するWindows APIをフックし,攻撃コードがマルウェア配布サイトへアクセスする動作を検知する.PDF通信監視モジュールを試作し,D3M(Drive-by-Download Data by Marionette)データセットから取り出したPDF検体を用いて評価した.

Journal

Details 詳細情報について

Report a problem

Back to top