標的型攻撃対策ソフトウェアを用いた文書型

平成 26 年度電子情報通信学会東京支部学生会研究発表会
講演番号： 159
標的型攻撃対策ソフトウェアを用いた文書型マルウェアの解析手法
Analysis method of the document type malware
using the mark type aggressive measure software
阿部 巧 †
古林 忠史 †† 宮保 憲治 †
D-19
Takumi Abe †
† 東京電機大学
Tadahumi Kobayashi †† Noriharu Miyaho †
情報環境学部
†† ＮＴＴアドバンステクノロジ株式会社
† School of Information Environment, Tokyo Denki University
1 はじめに
†† NTT Advanced Technology
を抽出の対象とした.仮想環境上のWindows XPとWindows ７に脆弱
近年、ハッカーは国際的に組織化され攻撃のテクノロジーは急
速に高度化し、マルウェア発生件数は増加の一途をたどっている。
性のある AdobeReader9.2をインストールし動的解析した結果を表1
に示す.
それに伴い、マルウェアの解析は複雑化し、マルウェアの爆発的
表1 解析結果
OS
Windows7
WindowsXP
検出数
19/88
14/88
な増加に追いつくことが出来なくなっているのが現状である.
一般に標的型攻撃では、特定の組織を狙って攻撃コードを含む
不正なファイルを添付した電子メールを送りマルウェア感染させる.
PDF マルウェア検体が、Windows が持つ不正プログラムの実行防
この場合、メールに添付される悪性ファイルにPDFが利用されるこ
止機能を回避し、攻撃成功率を高めることにより、ヒープと呼ばれる
とに着目し、PDFマルウェアを動的解析し、PDFマルウェアの挙動
メモリ領域に対して不正なプログラムの大量書き込み、および（不
パターンを監視することによって、今後のマルウェア解析の効率化
正プログラムが実行される可能性を高める）ヒープスプレー攻撃を
を図ることが可能である.本稿では、動的解析ツールであるFFRI
行ったことが原因で、検出数に差が生じたと思われる.各OSで共通
Yarai Analyzer Professional［1］を用いて文書型マルウェアの解析・評
して検出されたマルウェアの API の呼び出し履歴を確認した.呼び
価を行った結果を報告する.
出し回数の多い API種別を表2に示す.
2 動的解析ツール
表2 OS共通で呼び出し履歴を持つ API（上位3位）
動的解析を比較検証するにあたりYarai Analyzer Professionalを使
用した.Yarai Analyzer Professional はプログラムファイルや文書ファ
イル、各種データファイルを Yarai Analyzer Professionalに投入し自
動的に仮想環境（異なる OS）上で実行、解析し、マルウェア判定や
API履歴などの解析結果をHTMLやXMLファイル形式でレポート
を出力するツールである.（図1参照）
4 まとめ
文書型マルウェアの解析においては呼び出し用のAPI
を抽出することが効果的であり，OS毎に呼び出される
API種別が異なることなどが明確になった。今後は、マル
ウェアを含む検体数を増やして解析実験データを積み
上げることにより，未知および既知の文書型マルウェアの
効率的な判別手法の検討を進める予定である。
図１ ＹａｒａｉAnalyzerのシステム構成
参考文献
3 実験内容
[1]株式会社FFRI ’YaraiAnalyzer’, http://www.ffri.jp/products/yarai_analyzer/index.htm
D3Mデータセット［2］内でマルウェアの詳細ログがある 2012 年
3月、8月、10月、2014 年4月のデータからPDF マルウェア 88 個
-159-
[2]神薗雅紀他: マルウェア対策のための研究用データセット ～MWS Datasets 2013～,
[3]CSS2013(MWS2013) (2013.10)Konrad Rieck, Thorsten Holz, Carsten Willems, Patrick Dussel,
and Pavel Laskov，”Learning and Classification of Malware Behavior”，DIMVA-2008(2008)
Copyright © 2015 IEICE