用してマルウェアを
![Alkanet[1, 2] Alkanet CPU CPU 2 Alkanet Alkanet (VMM) VMM Alkanet Windows Alkanet 1 Alkanet VMM BitVisor[3] BitVisor OS ユーザモード カーネルモード マルウェア観測用 PC VM](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACH5BAEAAAAALAAAAAABAAEAAAICRAEAOw==)
Alkanet[1, 2] Alkanet CPU CPU 2 Alkanet Alkanet (VMM) VMM Alkanet Windows Alkanet 1 Alkanet VMM BitVisor[3] BitVisor OS ユーザモード カーネルモード マルウェア観測用 PC VM
... ユーザモードで発生する分岐のみを記録する. 4.2 スレッド毎の分岐記録の取得 BTS にはスレッドやプロセスを区別する機 能はないため,そのままでは複数のスレッド・ プロセスで発生した分岐の情報が混交してしま う.マルウェアのコントロールフローを取得す るためには,スレッド毎に分岐情報を記録する ...
8
統計的手法を用いたマルウェア判定の実験結果 田中恭之 1, 2,a) 有川隼 1 畑田充弘 1 Computer Security Symposium October 2014 概要 : マルウェアが爆発的に増加する中でシグネチャによらない軽量なマルウェア判定方法が望まれている
... の静的な情報から独立変数を定義し,統計的手法を用いて マルウェアらしさを判定する実験を行った結果及び考察を 示した.統計手法としてはロジスティック回帰分析と判別 分析を用いた.有効な独立変数を見つけることができ,フ ...
6
物理マシンを採用したマルウェア動的解析環境における仮想マシンと同等の復旧速度の実現 Computer Security Symposium October 2017 阿曽村一郎 武田康博 株式会社みずほフィナンシャルグループ 東京都千代田区大手町
... 評価は仮想マシン,物理マシンをマルウェアに感染させ て動的解析を行い,解析後の復旧速度を計測する.動的解 析に用いる Windows7 の RPC サービスへの接続が出来なく なった時点でシャットダウンとみなし,次に RPC に接続で きた時点で起動完了とする.RPC への接続できない期間を 3 ...
6
講座の全体構成 講座名称 主な学習内容 フォレンジック基礎編 感染 PC の調査に用いる基本ツールの操作方法 WEB 型マルウェア編 感染源 WEB サイトの特定 遮断方法 感染 PC に潜伏しているマルウェア検体の取得方法 本日 メール型マルウェア編 特定の不審メールの遮断方法 特定の不審メール受
... 設定します します します。 します 。 。 。 • しかし,対応の初期段階では,情報の不足や輻輳が発生しやすく,仮説には,推測が しかし,対応の初期段階では,情報の不足や輻輳が発生しやすく,仮説には,推測が しかし,対応の初期段階では,情報の不足や輻輳が発生しやすく,仮説には,推測が ...
46
Computer Security Symposium October 1 November 2012 ストリーム処理システムを用いたマルウェア検知基盤システム 大桶真宏 川島英之 北川博之 筑波大学情報科学類 茨城県つくば市天王台
... ログラムの整理・起動が面倒であることに加えて,処理結果を受信するインタフェースが統一化され ていないため,処理結果を利用したプログラムの作成は複雑・困難となる.そこで本研究ではストリ ーム処理システムをベースにしたマルウェア検知基盤システムを提案する.提案システムはパケッ ...
7
1007 ステルスデバッガを利用したマルウェア解析手法の提案
... ステルスデバッガの提案 仮想マシンを利用してマルウェアの実行環境から隔離された環境 からデバッグを行える機構の提供 (ring -1) 従来の CPU や OS のデバッグ支援機構に頼らないデバッグ機構の 提供 ...
26
講座の全体構成 講座名称 主な学習内容 フォレンジック基礎編 感染 PC の調査に用いる基本ツールの操作方法 本日 WEB 型マルウェア編 感染源 WEB サイトの特定 遮断方法 感染 PC に潜伏しているマルウェア検体の取得方法 メール型マルウェア編 特定の不審メールの遮断方法 特定の不審メール受
... 推奨 します します します。 。 。 。 – インターネットから他のマルウェアをダウンロードされた可能性もあるため,感染した PC の安 全性の確保には大きな労力がかかります。 • 再発防止対策は,セキュリティパッチ適用などの技術的な対策だけでなく,運用ルール 再発防止対策は,セキュリティパッチ適用などの技術的な対策だけでなく,運用ルール ...
57
1 BitVisor [3] Alkanet[1] Alkanet (DLL) DLL 2 Alkanet Alkanet Alkanet VMM VMM Alkanet Windows [2] マルウェア 観 測 用 VM SystemCall Windows System
... はスタックの先頭から取得 したスタブへの戻りアドレス, “[01]” はスタッ クの先頭から 4 バイトの位置に積まれたスタブ を呼び出した関数への戻りアドレスとなってい る.これらについては,ベースアドレスの代わ りに戻りアドレスを取得したスタックポインタ ...
8
Kullback-Leibler 情報量を用いた亜種マルウェアの同定 電気通信大学 中村燎太 松宮遼 高橋一志 大山恵弘 1
... 提案手法に基づく実験 (3/4) 4社のアンチウイルスソフトウェアによる検査結果を利用 ━ 3社以上のベンダーによる検査結果(科名)が基準検体と 一致した識別対象検体を「亜種」と見なす ...
23
マルウェア対策のための研究用データセット ~ MWS Datasets 2013 ~.pptx
... dropped 検体が実行時に生成したファイル behavior 検体実行時の APIログ(PID、TID、API名、引数、返り値等) processtree 検体実行時のプロセスツリー(親子関係) summary 検体が実行時にアクセスしたファイル、レジストリ等の概要情報 ...
38
アンラボ発信セキュリティ情報 PressAhn Pick Up! マルウェア詳細分析 相手の手札が丸見え レッドギャンブラー アンラボは韓国主要企業を対象に持続的なサイバー攻撃を実行した多数のハッキンググループを追跡中 ある攻撃グループが国内の不正ギャンブルゲームを通してマルウェアを配布したことが分
... る。特にレッドギャンブラー攻撃ケースの場合、韓国ユーザーが主に利用するユーティリティソフトウェアの脆弱性を利用した点やネットカフェなど をターゲットに攻撃を遂行した点を見ると、同攻撃は現在韓国の IT事情に精通している者が関与していると見られる。 ...
7
Vol.66 信頼できるマルウェア (?) に隠された真実
... 最近韓国で最も問題となっているマルウェアは、主に企業を対象に配布されるリモートコントロールバックドア「Ammyy」と、同マルウェアによっ てインストールされるランサムウェア「Clop」だ。バックドアファイルはオンラインに公開されている Ammyy リモート制御プログラムソースを利 ...
7
FOCUS IN-DEPTH - URSNIF ANALYSIS アースニフ ステガノグラフィーで金融圏を攻撃 金融情報を奪取するマルウェアのアースニフ (Ursnif) が再び活動を再開した アースニフは金融圏で最も頻繁に発見されるマルウェアの一つであり 初期は北米 ヨーロッパ オーストラリアなど
... い。しかしアースニフの外、様々なマルウェアが活動しているだけにセキュリティ守則を遵守しながら感染の可能性を最小限に抑えることが大事だ。 マルウェア攻撃者がスパムメールを悪用するケースが多いため、差出人不明のメールは確認せずに即削除するのが望ましい。加えてメール添付ファイ ...
7
ジュールは 音声 HD ビデオなどのクリティカルなアプリケーションに対して ネットワーク負荷が高い時間帯においても最高レベルの QoS 機能を提供し さらに DoS 攻撃およびマルウェアの伝搬を予測的に阻止します S-Series スイッチは 最先端のフローベーススイッチングアーキテクチャを実装する
... Enterasys S-Series® エッジからコアおよびデータセンターでの展開に最適な、コンバージェンス対応のモジュラー型テラビット スイッチ 製品の概要 Enterasys S-Series® モジュラー型スイッチは、業界をリードするフロー ベースのハイパフォ ーマンス スイッチとして、個々のユーザおよび音声/ビデオ/データ アプリケーションのきめ細 ...
8
機械語命令列の類似性に基づく自動マルウェア分類システム
... • 効果 – 縮約命令の種類数<機械語命令の種類数 ビットベクトル化の際のメモリ使用量を減らせる. – 分岐命令と分岐先の間で命令が挿入・削除されても,類似度への影響は 挿入・削除分だけで済む. ...
26
Inside Android Security - 内部構造から探る Android への脆弱性攻撃とマルウェアの脅威
... root 化の悪用 : ウイルス対策ソフトの排除 • マルウェアは root 化さえしてしまえば、ウイルス対策ソフトよりも はるかに強力な権限を行使することができる – ウイルス対策ソフトが自ら root 化の脆弱性を 利用することには倫理上大きな問題がある ...
55
トピック 1 改訂にあたっての状況認識 3 昨年まで よく見られた 標的型攻撃 直接的に扱う 不審なメール ( なりすましメール ) 不審なサイト ( フィッシング詐欺サイト ) マルウェア感染させる文書ファイル マルウェア感染させる外部記憶媒体 ターゲット組織 4
... (他のログ等の情報で利用する「共通キー」)になることが多い。 – 期待通りにログ等の情報が記録されていることは稀である。 • 他の類似事象(攻撃)の分析情報を参考にする、或いは調査対象のネットワーク化された システムの脆弱な部分を見極めながら、仮説と検証を根気よく繰り返すことがある。 – 調査する者は、高いレベルのネットワークスキルと豊富な製品知識に加え、最新の ...
12
マルウェアURSNIFによる漏えい情報を特定せよ ~感染後暗号通信の解読~
... • マルウェアに実装されているコードの再利用 ‒復号処理が実装されていればインタフェースに合わせて使うだけ 実装方法の選択肢 実装されているプログラムをCPUエミュレータで実行 ...
42
ブラジルの決済サービスBoletのマルウェア、C&Cサーバー1台に約1,500万円もの不正送金記録
... CAPTCHA Completely Automated Public Turing tests for telling Computers and Humans Apart: コンピュータと人間を区別する完全に自動化さ ...
10
「2018年サイバー犯罪者のショッピングリスト」と「マルウェアの脅威水準の急激な上昇」
... CAPTCHA Completely Automated Public Turing tests for telling Computers and Humans Apart: コンピュータと人間を区別する完全に自動化さ ...
7