情報処理学会 第75回全国大会講演要旨
3Z-9
Windows APIフックの通信監視による攻撃コードを含むPDFファイルの検知
ドライブ・バイ・ダウンロード攻撃では,端末を悪性のWebサイトへ誘導して
マルウェアに感染させる際にPDF閲覧ソフトの脆弱性を悪用する.閲覧時に
脆弱性を突いてマルウェアをダウンロードし実行する攻撃コードを組み込んだ
PDFファイルが攻撃に使用される.攻撃コードはアンチウイルスソフトに検知
されないように難読化されていることがあり,詳細な検査が求められるが解析
に時間をかけると業務が滞る.そこで,PDFファイルの善悪を短時間で判断する
ために,閲覧時に発生する通信を監視するモジュールを提案する.通信に使用
するWindows APIをフックし,攻撃コードがマルウェア配布サイトへアクセス
する動作を検知する.PDF通信監視モジュールを試作し,D3M(Drive-by-Download
Data by Marionette)データセットから取り出したPDF検体を用いて評価した.
マルウェアに感染させる際にPDF閲覧ソフトの脆弱性を悪用する.閲覧時に
脆弱性を突いてマルウェアをダウンロードし実行する攻撃コードを組み込んだ
PDFファイルが攻撃に使用される.攻撃コードはアンチウイルスソフトに検知
されないように難読化されていることがあり,詳細な検査が求められるが解析
に時間をかけると業務が滞る.そこで,PDFファイルの善悪を短時間で判断する
ために,閲覧時に発生する通信を監視するモジュールを提案する.通信に使用
するWindows APIをフックし,攻撃コードがマルウェア配布サイトへアクセス
する動作を検知する.PDF通信監視モジュールを試作し,D3M(Drive-by-Download
Data by Marionette)データセットから取り出したPDF検体を用いて評価した.
