WEKO3
-
RootNode
アイテム
Yataglass+:メモリスキャン攻撃を組み込んだ攻撃コードの振舞い解析
https://ipsj.ixsq.nii.ac.jp/records/67265
https://ipsj.ixsq.nii.ac.jp/records/67265931da09f-abba-4f82-ba2a-3c27ff505e5a
| 名前 / ファイル | ライセンス | アクション |
|---|---|---|
IPSJ-TACS0204005.pdf (418.4 kB)
|
Copyright (c) 2009 by the Information Processing Society of Japan
|
|
| オープンアクセス | ||
| Item type | Trans(1) | |||||||
|---|---|---|---|---|---|---|---|---|
| 公開日 | 2009-12-17 | |||||||
| タイトル | ||||||||
| タイトル | Yataglass+:メモリスキャン攻撃を組み込んだ攻撃コードの振舞い解析 | |||||||
| タイトル | ||||||||
| 言語 | en | |||||||
| タイトル | Yataglass+: Network-level Behavior Analysis of Shellcode That Incorporates Memory-scanning Attacks | |||||||
| 言語 | ||||||||
| 言語 | jpn | |||||||
| キーワード | ||||||||
| 主題Scheme | Other | |||||||
| 主題 | セキュリティ | |||||||
| 資源タイプ | ||||||||
| 資源タイプ識別子 | http://purl.org/coar/resource_type/c_6501 | |||||||
| 資源タイプ | journal article | |||||||
| 著者所属 | ||||||||
| 慶應義塾大学理工学部情報工学科 | ||||||||
| 著者所属 | ||||||||
| 慶應義塾大学理工学部情報工学科/科学技術振興機構CREST | ||||||||
| 著者所属(英) | ||||||||
| en | ||||||||
| Department of Information and Computer Science, Keio University | ||||||||
| 著者所属(英) | ||||||||
| en | ||||||||
| Department of Information and Computer Science, Keio University / CREST, Japan Science and Technology Agency | ||||||||
| 著者名 |
嶋村, 誠
河野, 健二
× 嶋村, 誠 河野, 健二
|
|||||||
| 著者名(英) |
Makoto, Shimamura
Kenji, Kono
× Makoto, Shimamura Kenji, Kono
|
|||||||
| 論文抄録 | ||||||||
| 内容記述タイプ | Other | |||||||
| 内容記述 | 遠隔から攻撃コードをネットワークを介して挿入するリモートコードインジェクション攻撃はセキュリティ上の大きな問題の 1 つである.これに対し,攻撃コードを検知・解析するシステムとして,ネットワーク・コードエミュレータが提案されている.ネットワーク・コードエミュレータでは攻撃コードの疑似実行を行うことにより,攻撃コードを精度良く検知したり,攻撃コードの振舞いを詳細に解析したりできる.また,攻撃コードを実行して解析を行うため,暗号化や難読化を施された攻撃コードにも耐性がある.本論文では,被害プロセスのメモリ上のデータを攻撃コードの一部として利用するメモリスキャン攻撃を用いると既存のネットワーク・コードエミュレータによる解析を妨害できることを示し,メモリスキャン攻撃も解析できるネットワーク・コードエミュレータである Yataglass+ を提案する.実際に Yataglass+ のプロトタイプを作成し,実際の攻撃コードにメモリスキャン攻撃を適用し実験を行った結果,Yataglass+ は正しくメモリスキャン攻撃を適用した攻撃コードを解析できた. | |||||||
| 論文抄録(英) | ||||||||
| 内容記述タイプ | Other | |||||||
| 内容記述 | Remote code-injection attacks are one of the most serious problems in computer security because they allow attackers to insert arbitrary code. To detect and analyze injected code (often called shellcode), some researchers have proposed network-level code emulators. A network-level code emulator emulates shellcode's behaviors and thus can detect shellcode accurately and help analysts understand the behaviors. Since it interprets shellcode, it is robust to encryption and obfuscation. We demonstrate that memory-scanning attacks, which use data on the victim process, can evade current network-level code emulators, and propose Yataglass+, an elaborated network-level code emulator, that enables us to analyze shellcode that incorporates memory-scanning attacks. Experimental results show that Yataglass+ successfully analyzes real shellcode into which we had manually incorporated memory-scanning attacks. | |||||||
| 書誌レコードID | ||||||||
| 収録物識別子タイプ | NCID | |||||||
| 収録物識別子 | AA11833852 | |||||||
| 書誌情報 |
情報処理学会論文誌コンピューティングシステム(ACS) 巻 2, 号 4, p. 48-63, 発行日 2009-12-17 |
|||||||
| ISSN | ||||||||
| 収録物識別子タイプ | ISSN | |||||||
| 収録物識別子 | 1882-7829 | |||||||
| 出版者 | ||||||||
| 言語 | ja | |||||||
| 出版者 | 情報処理学会 | |||||||
