| Item type |
Journal(1) |
| 公開日 |
2016-09-15 |
| タイトル |
|
|
タイトル |
マルウェア感染ホストへのリモート再侵入により感染拡大を阻止する手法 |
| タイトル |
|
|
言語 |
en |
|
タイトル |
Malware Expansion Interception Method Focused on Remote Takeover against Malware-infected Hosts |
| 言語 |
|
|
言語 |
jpn |
| キーワード |
|
|
主題Scheme |
Other |
|
主題 |
[特集:社会の変革に挑戦するセキュリティ技術とプライバシー保護技術(特選論文)] マルウェア対策,再侵入,脆弱性,組み込みシステム |
| 資源タイプ |
|
|
資源タイプ識別子 |
http://purl.org/coar/resource_type/c_6501 |
|
資源タイプ |
journal article |
| 著者所属 |
|
|
|
横浜国立大学 |
| 著者所属 |
|
|
|
横浜国立大学 |
| 著者所属 |
|
|
|
横浜国立大学 |
| 著者所属 |
|
|
|
横浜国立大学大学院環境情報研究院/横浜国立大学先端科学高等研究院 |
| 著者所属 |
|
|
|
横浜国立大学大学院環境情報研究院/横浜国立大学先端科学高等研究院 |
| 著者所属(英) |
|
|
|
en |
|
|
Yokohama National University |
| 著者所属(英) |
|
|
|
en |
|
|
Yokohama National University |
| 著者所属(英) |
|
|
|
en |
|
|
Yokohama National University |
| 著者所属(英) |
|
|
|
en |
|
|
Graduate School of Environment and Information Sciences, Yokohama National University / Institute of Advanced Sciences, Yokohama National University |
| 著者所属(英) |
|
|
|
en |
|
|
Graduate School of Environment and Information Sciences, Yokohama National University / Institute of Advanced Sciences, Yokohama National University |
| 著者名 |
田辺, 瑠偉
鈴木, 将吾
イン, ミン パ,パ
吉岡, 克成
松本, 勉
|
| 著者名(英) |
Rui, Tanabe
Shogo, Suzuki
Yin, Minn Pa Pa
Katsunari, Yoshioka
Tsutomu, Matsumoto
|
| 論文抄録 |
|
|
内容記述タイプ |
Other |
|
内容記述 |
マルウェアには,攻撃対象ホスト上のネットワークサービスの脆弱性を突いてその権限を奪取するリモートエクスプロイト攻撃や脆弱なパスワードが設定されている機器へ不正侵入を行うことで感染を拡大するものが存在し,インターネット上の重大な脅威となっている.こうしたマルウェアに感染したホストは,その脆弱性を修正しない限り感染中もさらなるリモート侵入を受ける可能性がある.一部のマルウェアは自らが侵入する際に悪用した脆弱性を感染後に修正することで他のマルウェアによる侵入を防ぐことが知られているが,マルウェア感染ホストへのリモート再侵入の可能性についてはこれまで詳しく検証されていない.そこで本稿では,実マルウェア検体を用いた動的解析実験によりマルウェア感染ホストへのリモート再侵入の可否を検証し,マルウェアに感染したホストへのリモート再侵入により感染の拡大を阻止する手法を提案する.検証実験では,ハニーポットを用いて収集したリモートエクスプロイト攻撃を行う294検体のうち,181検体においてリモート再侵入が成功した.同様に,ハニーポットを用いて収集した組み込みシステムを狙うマルウェア18検体のうち7検体においてリモート再侵入が成功した.リモート再侵入が成功したマルウェア感染ホストについては,侵入に用いたサービスや感染拡大を行っているプロセスの停止,通信の制限を行うことができた.提案手法を用いることで,保護対象ネットワーク内で発生した感染拡大活動を観測し,マルウェア感染ホストへのリモート再侵入により感染が拡大するのを阻止する,マルウェアへの早期対応を目指す. |
| 論文抄録(英) |
|
|
内容記述タイプ |
Other |
|
内容記述 |
Malware which expand infection by exploiting vulnerable network services have been a great threat on the Internet for several years. Moreover machines with default passwords and configurations, mainly embedded device, are being attacked and many security incidents have been reported. Malware infected hosts have the possibility of being takeover by other malware unless the vulnerability which the first malware abused is replaced. Although some malware are known to replace the vulnerability, not much research has been done for inspecting remote takeover. In this paper, by executing several malware samples which expand infection using remote exploit attack and password cracking, we examine the potentiality of remote takeover against malware infected hosts and propose a malware infection expansion interception method. From the results of our experiment, out of 294 malware samples which were collected by honeypot and expanding infection by remote exploit attack, 181 malware samples were successful for remote takeover. Equally, out of 18 malware samples which targeted embedded device and expanded infection by password cracking, 7 malware samples were successful for remote takeover. By using remote takeover, we were successful to stop the service which was used for remote takeover and the malicious processes which was expanding infection. We were also successful to drop packets which were targeted to expand infection for embedded devices. Our proposal method is to intercept malware infection expansion at target network by conducting remote takeover against hosts which are attacking others. |
| 書誌レコードID |
|
|
収録物識別子タイプ |
NCID |
|
収録物識別子 |
AN00116647 |
| 書誌情報 |
情報処理学会論文誌
巻 57,
号 9,
p. 2021-2033,
発行日 2016-09-15
|
| ISSN |
|
|
収録物識別子タイプ |
ISSN |
|
収録物識別子 |
1882-7764 |
IPSJ-JNL5709018.pdf (2.0 MB)
