4ZA-02
Windows APIコールのログからのマルウェアの動作再現の検討
○末吉真也,福田洋治(近畿大),廣友雅徳(佐賀大),毛利公美(岐阜大),白石善明(神戸大)
インシデント対応では,調査の過程で,情報資産,ネットワーク構成,保存されているログに基づき,被害を受けた可能性のある端末や情報を洗い出し,影響の範囲を確定させるといった,証拠の収集,処理が行われる.しかし,OSやネットワーク,マルウェアに関する相応の知識がないと,ログから当時何が起こったのか,人や機器,ソフトウェアがどのような振る舞いをしたのかを把握することは容易ではない.我々は,これまで,インシデント対応時に,マルウェア等の不正なソフトウェアの動作を再現して,他の端末やシステムと,どのような関わりがあったのか検証できるように,Windows APIコールのログからマルウェアの動作を再現,可視化するツールの試作を進めてきた.本稿では,マルウェアでよく用いられるWin32 APIのうち,ファイル・ディレクトリ操作,HTTP通信の他に,新たにプロセス・スレッド管理,レジストリ操作のAPIに対応した,試作中のツールの機構,動作実験について述べる.
footer 著作権について 倫理綱領 プライバシーポリシー セキュリティ 情報処理学会