JP6050162B2 - 接続先情報抽出装置、接続先情報抽出方法、及び接続先情報抽出プログラム - Google Patents
接続先情報抽出装置、接続先情報抽出方法、及び接続先情報抽出プログラム Download PDFInfo
- Publication number
- JP6050162B2 JP6050162B2 JP2013054155A JP2013054155A JP6050162B2 JP 6050162 B2 JP6050162 B2 JP 6050162B2 JP 2013054155 A JP2013054155 A JP 2013054155A JP 2013054155 A JP2013054155 A JP 2013054155A JP 6050162 B2 JP6050162 B2 JP 6050162B2
- Authority
- JP
- Japan
- Prior art keywords
- destination information
- connection destination
- communication
- software
- connection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000605 extraction Methods 0.000 title claims description 76
- 238000004891 communication Methods 0.000 claims description 101
- 230000004044 response Effects 0.000 claims description 33
- 230000003211 malignant effect Effects 0.000 claims description 10
- 230000006870 function Effects 0.000 description 19
- 238000005516 engineering process Methods 0.000 description 12
- 238000005316 response function Methods 0.000 description 9
- 230000006399 behavior Effects 0.000 description 5
- 238000000034 method Methods 0.000 description 5
- 239000000284 extract Substances 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 238000001914 filtration Methods 0.000 description 2
- 230000000903 blocking effect Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000004904 shortening Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Images
Landscapes
- Information Transfer Between Computers (AREA)
Description
本発明は、有害な動作を行う意図で作成された悪意のあるソフトウェアであるマルウェアの解析技術に係り、特に、マルウェアの接続先情報を取得し、当該接続先情報をブラックリストとして利用する技術に関するものである。
近年、様々なマルウェアが出現している。特に、実行されると、まず、C&Cサーバやダウンロードサーバへ接続するものが増えている。なお、C&Cサーバとは、マルウェアに感染してボットと化したコンピュータ群(ボットネット)に指令(Command)を送り、制御(Control)の中心となるサーバのことである。また、C&Cサーバやダウンロードサーバ等の有害なサーバのURLを悪性URLと呼ぶ。
マルウェアの接続先等を入手する既存技術として、安全な仮想環境でマルウェアを動作させ、実際に外部に接続させることで接続先等を入手する技術がある。この技術を用いマルウェアの挙動を把握するとともに、悪性URLの特定にもつなげている。このような悪性URLをブラックリストとして保持し、フィルタリング等に用いることでユーザを保護することができる。
なお、効果的なフィルタリングを行うためにはブラックリストが常に最新の状態に保たれている必要があり、例えば、ブラックリストの維持管理のために特許文献1に記載された技術がある。
しかしながら、従来からあるマルウェアの解析においては、マルウェアの挙動を調べることが主眼となっており、悪性URLの取得は付随的なものである。例えば、従来からあるマルウェアの解析では、その挙動からマルウェアを特定するシグニチャを作成し、作成したシグニチャを用いてマルウェアを検出することや、マルウェアを動作させ、実際の攻撃者サーバに接続させ、次の通信から次の新しいマルウェアを入手すること等が主に行われている。
そのため、従来から存在するブラックリストに対して、最新のものに保つ技術等を用いたとしても、そもそもの悪性URLのブラックリストの量が十分でなく、ブラックリストを利用したサービス、例えば、ユーザが悪性URLに接続することなく安全にブラウジングを可能とするようなサービスに適用した場合、ユーザを保護するのには不十分である。
本発明は上記の点に鑑みてなされたものであり、有害なサーバのURL等のマルウェアの接続先情報を迅速に多く取得することを可能とした技術を提供することを目的とする。
上記の課題を解決するために、本発明は、ネットワークを介して外部サーバと通信を行う通信機能を備え、当該ネットワークとの接続が遮断されている接続先情報抽出装置であって、
ソフトウェアを実行するソフトウェア実行手段と、
前記ソフトウェア実行手段により実行される前記ソフトウェアによる外部サーバへの接続動作を観測し、当該接続動作に関する通信ログを取得する通信観測手段と、
前記通信観測手段により取得された通信ログから、前記ソフトウェアの接続先情報を抽出し、当該接続先情報を接続先情報格納手段に格納する接続先情報抽出手段とを備え、
前記接続先情報抽出手段は、前記接続先情報であるURLに記述されているファイル名の拡張子に基づいて、当該接続先情報の悪性種別を判定することを特徴とする接続先情報抽出装置として構成される。
ソフトウェアを実行するソフトウェア実行手段と、
前記ソフトウェア実行手段により実行される前記ソフトウェアによる外部サーバへの接続動作を観測し、当該接続動作に関する通信ログを取得する通信観測手段と、
前記通信観測手段により取得された通信ログから、前記ソフトウェアの接続先情報を抽出し、当該接続先情報を接続先情報格納手段に格納する接続先情報抽出手段とを備え、
前記接続先情報抽出手段は、前記接続先情報であるURLに記述されているファイル名の拡張子に基づいて、当該接続先情報の悪性種別を判定することを特徴とする接続先情報抽出装置として構成される。
前記通信観測手段により取得される通信ログには、例えば、前記ソフトウェアによる外部サーバへの接続通信に対する応答が届かない環境で解析することにより、当該ソフトウェアが別の複数の外部サーバへ次々と再接続を試みることによる通信のログが含まれる。
また、前記接続先情報抽出装置は、前記ソフトウェアから外部サーバへの接続通信を受信し、擬似的にエラー応答を返す擬似応答手段を内部に備えるか、もしくは、当該擬似応答手段と接続されることとしてもよく、その場合、前記通信観測手段により取得される通信ログには、前記ソフトウェアによる外部サーバへの接続通信に対する前記擬似応答手段によるエラー応答に起因して、当該ソフトウェアが別の外部サーバへ再接続を試みることによる通信のログが含まれる。
前記接続先情報抽出手段は、前記通信ログから抽出した接続先情報を、ブラックリストを構成する接続先情報として前記接続先情報格納手段に格納するようにしてもよい。また、前記ソフトウェアは例えばマルウェアである。
また、本発明は、ネットワークを介して外部サーバと通信を行う通信機能を備え、当該ネットワークとの接続が遮断されている接続先情報抽出装置が実行する接続先情報抽出方法として構成することもできる。また、本発明は、ネットワークを介して外部サーバと通信を行う通信機能と、ソフトウェアを実行するソフトウェア実行手段とを備え、当該ネットワークとの接続が遮断されているコンピュータを、前記接続先情報抽出装置における前記通信観測手段、及び前記接続先情報抽出手段として機能させるための接続先情報抽出プログラムとして構成することも可能である。
本発明によれば、有害なサーバのURL等のマルウェアの接続先情報を迅速に多く取得することが可能となる。
以下、図面を参照して本発明の実施の形態を説明する。なお、以下で説明する実施の形態は一例に過ぎず、本発明が適用される実施の形態は、以下の実施の形態に限られるわけではない。例えば、本実施の形態では、マルウェアの接続先情報をブラックリストを構成する接続先情報として取得することとしているが、接続先情報を抽出する対象ソフトウェアはマルウェアに限られない。例えば、本実施の形態の技術を利用して、ネットワーク上の様々なサーバに接続する特性を有するマルウェア以外のソフトウェアの接続先情報を取得し、リスト(例:ホワイトリスト、ブラックリスト)としてもよい。
(実施の形態の概要)
近年、増加している特定のタイプのマルウェアは、攻撃の起点となるサーバを多数持っている場合が多い。本実施の形態ではこのようなマルウェアの性質を利用し、マルウェアの通信を失敗させ、再接続を促すことでマルウェアの接続先を監視し、接続先サーバのURL(=悪性URL)等のアドレスを抽出することとしている。なお、接続先サーバのアドレスとしてURLを取得することは一例であり、接続先サーバを識別する情報であればどのような情報を取得してもよい。例えば、IPアドレスでもよい。
近年、増加している特定のタイプのマルウェアは、攻撃の起点となるサーバを多数持っている場合が多い。本実施の形態ではこのようなマルウェアの性質を利用し、マルウェアの通信を失敗させ、再接続を促すことでマルウェアの接続先を監視し、接続先サーバのURL(=悪性URL)等のアドレスを抽出することとしている。なお、接続先サーバのアドレスとしてURLを取得することは一例であり、接続先サーバを識別する情報であればどのような情報を取得してもよい。例えば、IPアドレスでもよい。
図1を参照して本実施の形態の概要を説明する。図1には、マルウェアを実行するブラックリスト抽出装置10、及び、マルウェアの実行によりブラックリスト抽出装置10が接続しようとする複数のサーバ(例:C&Cサーバ、ダウンロードサーバ)が示されている。ただし、ブラックリスト抽出装置10はネットワーク(本実施の形態ではインターネット)に接続されておらず遮断されており、サーバとの通信を行うことができない。
このような環境の中で、ブラックリスト抽出装置10においてマルウェアを実行させる。すると、マルウェアはまずサーバ1に接続しようとするが、ネットワーク接続されていないので、この通信は失敗となり、サーバ1からの応答をマルウェアは受信できない。つまり無応答となる。サーバ1への接続が失敗したので、マルウェアはサーバ1と異なるサーバ2への接続を試みるが、この接続も失敗に終わり、次に、サーバ3への接続を試みる。ブラックリスト抽出装置10は、このようなマルウェアの通信動作を観測し、接続先URL(図1の例ではサーバ1、2、3のURL)を抽出し、記憶手段(メモリ等)に格納する。格納された接続先URLのリストは、例えばブラックリストとして外部に出力される。
以下では、ブラックリスト抽出装置10の機能構成例をより詳細に説明する。
(機能構成例1)
図2に、本実施の形態に係るブラックリスト抽出装置10の機能構成例1を示す。ブラックリスト抽出装置10は、通信機能を有するコンピュータにより実現されるものであり、図2は、そのコンピュータ内部における本実施の形態に関わる機能構成を示すものである。
図2に、本実施の形態に係るブラックリスト抽出装置10の機能構成例1を示す。ブラックリスト抽出装置10は、通信機能を有するコンピュータにより実現されるものであり、図2は、そのコンピュータ内部における本実施の形態に関わる機能構成を示すものである。
図2に示すように、本例に係るブラックリスト抽出装置10は、マルウェア実行部11、通信機能部12、通信観測部13、接続先情報抽出部14、ブラックリスト格納部15、出力部16を備える。
マルウェア実行部11は、マルウェア(プログラム)を実行する機能部である。マルウェア実行部11は、例えば、マルウェアの実行後に元の状態に容易に戻せるように、仮想化ソフトウェアにより実現される仮想化環境である。また、この仮想化環境において、マルウェアが正常に動作するように、脆弱性を持つアプリケーション(例えば古いバージョンのブラウザ等)をインストールしてある環境である。ただし、マルウェア実行部11は、これに限られるわけではなく、マルウェアを実行できる機能部であればよい。
マルウェア実行部11においてマルウェアが実行されると、マルウェアの機能により、ダウンロードサーバやC&Cサーバ等に接続を試みるが、その動作の基はマルウェアであるので、以下では、マルウェアが実行された場合の通信動作の主体を「マルウェア」とする。
通信機能部12は、インターネットとの通信を行うための機能部であり、例えば、TCP/IPソフト、LANドライバ等のソフトウェア、LAN−IF等のハードウェアを含む。本実施の形態では、インターネットへの回線を接続しないが、通信機能部12(通信インタフェースと呼んでもよい)は正常であり、回線が接続されれば正常にインターネットとの通信を行うことができる状態になっている。
通信観測部13は、マルウェア実行部11において実行されるマルウェアの外部サーバへの接続動作を観測し、通信ログを取得し、メモリ等からなる通信ログ格納部131に格納する機能部である。接続先情報抽出部14は、通信観測部13により取得された通信ログから、接続先情報を抽出し、ブラックリストを構成する接続先情報としてブラックリスト格納部15に格納する機能部である。出力部16は、ブラックリスト格納部15に格納されたブラックリストを出力(例:表示)する機能部である。また、出力部16は、通信観測部13において観測される通信ログをリアルタイムに表示する動作を行うこともできる。
上記の機能構成を有するブラックリスト抽出装置10の動作は以下のとおりである。
まず、例えばハニーポットにより収集されたマルウェア(検体)をマルウェア実行部11に入力し、マルウェア実行部11にマルウェアを実行させる。
マルウェア実行部11において実行されたマルウェアは、図1に示したように、あるサーバへの通信を行うことを試みるが、ブラックリスト抽出装置10とインターネットとを接続する回線が切断されているために、サーバからの応答はなく、無応答となる。すると、マルウェアは接続タイムアウトを起こし、次のサーバへの接続を行うが、これも無応答となる。
このような動作を繰り返しマルウェアに行わせ、マルウェアの通信動作を通信観測部13が観測し、通信ログを通信ログ格納部131に格納する。ここで、通信観測部13が観測するプロトコルやレイヤは、接続先を判別できるものであれば特に限定はないが、本実施の形態では、例えば、HTTPプロトコルの通信、IPプロトコルの通信等を観測し、そのログを取得する。また、例えば、SMTP等のプロトコルを観測してもよい。
接続先情報抽出部14は、通信観測部13により取得され、通信ログ格納部131に格納された通信ログから、マルウェアの接続先情報を抽出する。この抽出は、通信ログ格納部131に通信ログが格納される毎にリアルタイムに行ってもよいし、マルウェアの再接続動作が終了した後に行ってもよい。ただし、解析時間を短縮する観点からは、リアルタイムに行うほうがよい。
接続先情報抽出部14が抽出する情報は、マルウェアが通信を行う宛先のアドレス等の情報、及び/又は、宛先へ送信しようとした情報であり、具体的には例えば、IPアドレス、ポート番号、URL、URLパラメータ、ペイロード等である。これらの情報のうちどの情報を抽出するかは設定で変更できる。例えば、URL、URLパラメータ、及びペイロードのセットを抽出するように、接続先情報抽出部14に設定(指示)を行うことで、接続先情報抽出部14は、マルウェアが接続しようとしたサーバのURLとそのURLパラメータ、及びペイロードを抽出する。抽出された情報は、ブラックリスト格納部15に格納される。
上記のように接続先情報抽出部14により解析(接続先情報抽出)をリアルタイムに行う場合、マルウェアの再接続の試行が停止した際に解析(接続先情報抽出)を終了することとしてよい。具体的には、例えば、接続先情報抽出部14は、一定時間以上、マルウェアによる再接続がないことを通信ログの格納状況から判断し、その場合に解析を終了する。また、接続先情報抽出部14がタイマーを有し、予め定めた1検体あたりの解析にかける上限時間に達した場合に、解析を終了することとしてもよい。また、接続先情報抽出部14は、通信ログを解析することにより、接続先が一巡したと判定した場合(例えば、接続先が一番最初の接続先と一致した場合等)に解析を終了してもよい。
本例のブラックリスト抽出装置10における通信観測部13、及び接続先情報抽出部14は、ブラックリスト抽出装置10として使用するコンピュータ(マルウェア実行部11と通信機能部12を含む)に、本実施の形態で説明する通信観測部13、及び接続先情報抽出部14の処理内容を記述したプログラムを実行させることにより実現可能である。すなわち、通信観測部13、及び接続先情報抽出部14は、コンピュータに内蔵されるCPUやメモリ、ハードディスクなどのハードウェア資源を用いて、各部で実施される処理に対応するプログラムを実行することによって実現することが可能である。上記プログラムは、コンピュータが読み取り可能な記録媒体(可搬メモリ等)に記録して、保存したり、配布したりすることが可能である。また、上記プログラムをインターネットや電子メールなど、ネットワークを通して提供することも可能である。
また、本例のブラックリスト抽出装置10における各機能部を複数の装置に分けることとしてもよい。
(機能構成例2)
図3に、本実施の形態に係るブラックリスト抽出装置10の機能構成例2を示す。図3に示すように、本例のブラックリスト抽出装置10は、図2に示したブラックリスト抽出装置10に、擬似応答機能部17を加えたものである。擬似応答機能部17以外の機能部は、図2に示したものと同じである。
図3に、本実施の形態に係るブラックリスト抽出装置10の機能構成例2を示す。図3に示すように、本例のブラックリスト抽出装置10は、図2に示したブラックリスト抽出装置10に、擬似応答機能部17を加えたものである。擬似応答機能部17以外の機能部は、図2に示したものと同じである。
擬似応答機能部17は、マルウェアからの接続通信を受け、擬似的に応答をマルウェアに返すソフトウェアにより実現される機能部である。この応答は、マルウェアに再接続動作を促すようなエラー等の応答である。この擬似応答機能部17により、機能構成例1の場合と同様に、マルウェアに再接続を行わせ、接続先情報を収集することが可能となる。
なお、擬似応答機能部17を用いて擬似応答を行うよりも、機能構成例1にように、無応答としたほうが、マルウェアによる別サーバへの再接続通信を発生させやすい。
擬似応答機能部17は、図3に示すようにブラックリスト抽出装置内にソフトウェアとして備えることの他、ブラックリスト抽出装置10の外部に備えられ、ブラックリスト抽出装置10と接続される装置(コンピュータ)であってもよい。
図4に、本例における動作例を示す。図4では、擬似応答部17が、ブラックリスト抽出装置10の外部に示されているが、これは動作を説明するための便宜上のものである。図4に示すように、マルウェアは、サーバ1への接続を行うが、擬似応答部17はエラーを返すことで、マルウェアは別のサーバ2への接続を行う。ここでもエラーを返すことで、マルウェアは更に別のサーバ3への接続を行う。このような通信動作を、装置構成例1の場合と同様に、通信観測部13が観測して通信ログを取得し、更に、接続先情報抽出部14が通信ログから接続先情報を抽出する。
なお、擬似応答部17が、最適な応答(無応答とするか、擬似エラー応答を返すか)を探し出す動作を行ってもよい。例えば、擬似応答部17は、マルウェア動作の最初の段階で、接続から無応答の場合の再接続までの時間(X秒)と、接続からエラー応答を行って再接続するまでの時間(Y秒)とを取得し、X>Yであれば当該マルウェアに対してはエラー応答を行うことにより解析を早くすることができるため、それ以降はエラー応答を行うこととし、X<Yであれば無応答とするようにしてもよい。
本例のブラックリスト抽出装置10における通信観測部13、接続先情報抽出部14、及び擬似応答機能部17は、ブラックリスト抽出装置10として使用するコンピュータ(マルウェア実行部11と通信機能部12を含む)に、本実施の形態で説明する通信観測部13、接続先情報抽出部14、及び擬似応答機能部17の処理内容を記述したプログラムを実行させることにより実現可能である。すなわち、通信観測部13、接続先情報抽出部14、及び擬似応答機能部17は、コンピュータに内蔵されるCPUやメモリ、ハードディスクなどのハードウェア資源を用いて、各部で実施される処理に対応するプログラムを実行することによって実現することが可能である。上記プログラムは、コンピュータが読み取り可能な記録媒体(可搬メモリ等)に記録して、保存したり、配布したりすることが可能である。また、上記プログラムをインターネットや電子メールなど、ネットワークを通して提供することも可能である。
また、本例のブラックリスト抽出装置10における各機能部を複数の装置に分けることとしてもよい。
(接続先情報抽出部14による解析例)
接続先情報抽出部14には、通信ログから、指定された接続先情報を抽出する機能だけでなく、以下のように、URLが悪性URLかどうかを判断することに関わる解析機能を備えてもよい。
接続先情報抽出部14には、通信ログから、指定された接続先情報を抽出する機能だけでなく、以下のように、URLが悪性URLかどうかを判断することに関わる解析機能を備えてもよい。
本実施の形態では、接続先情報抽出部14は、通信ログ(URL、URLパラメータ、ペイロード等)に基づき、マルウェアによる複数の接続先(複数ドメインへの通信)における接続先情報(URLの文字列等)を解析し、悪性URLの種類(悪性種別)や接続先情報間の類似性を判定し、判定結果等をブラックリスト格納部15に格納する。
例えば、通信ログから抽出したURLの中に図5(a)に示すURL(+URLパラメータ)が存在するものとする。このとき、接続先情報抽出部14は、これらのURL文字列の中の「hoge.pl?action=1」を識別する。そして、接続先情報抽出部14は、このようにスクリプトを指定したURLは、サーバに何らかのアクション(攻撃)を起こさせる攻撃URLであると判定する。また、「hoge.pl?action=1」が2つあることからこれらのURLの類似数を2と算出し、例えば、図5(a)に示すURLの各々について、URLと「攻撃URL、類似数2」とをブラックリスト格納部15に出力する。
また、例えば、通信ログから抽出したURLの中に図5(b)に示すURLが存在するものとする。このとき、接続先情報抽出部14は、これらのURL文字列の中の「xxx.exe」を識別する。そして、接続先情報抽出部14は、このようにexeファイル名が記述されたURLは、マルウェアを配布するマルウェア配布URLであると判定する。また、「xxx.exe」が2つあることから類似数が2であると算出し、例えば、図5(b)に示すURLの各々について、URLと「マルウェア配布URL、類似数2」を出力する。
本例では、URL属性をURLに記述されているファイル名の拡張子で判断し、exe、zip等であればマルウェア配布URLと判定し、スクリプトや引数が指定されていれば攻撃URLであると判断しているが、これは一例に過ぎず、判断手法はこれに限られるわけではない。
また、上記の類似数は、そのまま出力することとしてもよいし、予め定めた閾値以上の類似数に対応するURLのみを悪性URLとしてブラックリスト格納部15に出力してもよい。また、類似数が所定の値以下、あるいは類似数が1であるURLを悪性URLから除外する(ブラックリスト格納部15に格納しない)ようにしてもよい。
また、ホワイトリスト等がある場合(接続先情報抽出部14において記憶手段に保持)、接続先情報抽出部14は、抽出されたURLと当該リストとを比較し、正常サイトを除外し、ホワイトリストに該当しないURLをブラックリスト格納部15に格納してもよい。また、例えば、一般に多くアクセスされる正常サイトをリスト(ホワイトリスト)に登録しておき、当該リストにあるURLを悪性URLから除外してもよい。
なお、抽出したURLが悪性か否かは既存技術を用いて直接的に判定することも可能である。そのような既存技術としては、例えば、クライアント型ハニーポット技術を用い、仮想環境上で実際に脆弱なブラウザでURLにアクセスさせて挙動を観察することにより、当該URLが悪性かどうかを判定する技術がある。
(ブラックリストの運用例)
本実施の形態に係る技術を用いて取得されたブラックリストを、例えばユーザ端末とサーバ間の機器に適用することにより、ユーザ端末とサーバ間の通信をリアルタイムに監視し、警告や遮断等を行うことが可能となる。
本実施の形態に係る技術を用いて取得されたブラックリストを、例えばユーザ端末とサーバ間の機器に適用することにより、ユーザ端末とサーバ間の通信をリアルタイムに監視し、警告や遮断等を行うことが可能となる。
また、ユーザ端末にブラックリストを備え、ユーザ端末においてユーザ端末とサーバ間の通信をリアルタイムに監視し、警告や遮断等を行うこととしてもよい。
また、ブラックリストにおいて、悪性URLに加えて、属性情報を付加することとしてもよい。属性情報としては、例えば、最後に悪性と判定した日時、悪性URLの種類(例:起点URL、攻撃URL、マルウェア配布URL、C&CサーバURL等)がある。また、ユーザ向け、企業向け等、用途に応じてブラックリストを変更することとしてもよい。更に、ブラックリストは適宜更新を行い、最新状態に保てるようにしてもよい。
(実施の形態のまとめ、効果等)
これまでに説明したとおり、本実施の形態では、インターネットに繋がない環境でブラックリスト抽出装置においてマルウェアを実行させ、マルウェアにより発生する通信を観測し、接続先を抽出し、ブラックリストとして出力することとしている。一部のマルウェアは攻撃の起点となる入口C&Cサーバやダウンロードサーバを多数有しており、本実施の形態のように当該マルウェアによる通信を失敗させて次のサーバへの通信を観測することで、インターネット上の潜在的な悪性URL(悪性アドレス)を収集し、悪性URLのブラックリストを拡大することが可能となる。
これまでに説明したとおり、本実施の形態では、インターネットに繋がない環境でブラックリスト抽出装置においてマルウェアを実行させ、マルウェアにより発生する通信を観測し、接続先を抽出し、ブラックリストとして出力することとしている。一部のマルウェアは攻撃の起点となる入口C&Cサーバやダウンロードサーバを多数有しており、本実施の形態のように当該マルウェアによる通信を失敗させて次のサーバへの通信を観測することで、インターネット上の潜在的な悪性URL(悪性アドレス)を収集し、悪性URLのブラックリストを拡大することが可能となる。
マルウェアの種類は膨大になってきており、リバースエンジニアリング等で解析を行う静的解析や、マルウェアの挙動を見ることを主眼とする従来の動的解析を用いることでは、各マルウェアについて迅速に十分な量の悪性URL等からなるブラックリストを作成することは難しい。一方、本実施の形態に係る技術を用いることにより、迅速に多量の悪性URL等からなるブラックリストを作成することが可能となる。
つまり、本実施の形態により、ブラックリストにおける悪性URLの量を拡大でき、ブラックリストを利用した商用サービス等の精度を向上させることが可能となる。
本発明は、上記の実施の形態に限定されることなく、特許請求の範囲内において、種々変更・応用が可能である。
10 ブラックリスト抽出装置
11 マルウェア実行部、
12 通信機能部
13 通信観測部
131 通信ログ格納部
14 接続先情報抽出部
15 ブラックリスト格納部
16 出力部
17 擬似応答機能部
11 マルウェア実行部、
12 通信機能部
13 通信観測部
131 通信ログ格納部
14 接続先情報抽出部
15 ブラックリスト格納部
16 出力部
17 擬似応答機能部
Claims (7)
- ネットワークを介して外部サーバと通信を行う通信機能を備え、当該ネットワークとの接続が遮断されている接続先情報抽出装置であって、
ソフトウェアを実行するソフトウェア実行手段と、
前記ソフトウェア実行手段により実行される前記ソフトウェアによる外部サーバへの接続動作を観測し、当該接続動作に関する通信ログを取得する通信観測手段と、
前記通信観測手段により取得された通信ログから、前記ソフトウェアの接続先情報を抽出し、当該接続先情報を接続先情報格納手段に格納する接続先情報抽出手段とを備え、
前記接続先情報抽出手段は、前記接続先情報であるURLに記述されているファイル名の拡張子に基づいて、当該接続先情報の悪性種別を判定する
ことを特徴とする接続先情報抽出装置。 - 前記通信観測手段により取得される通信ログには、前記ソフトウェアによる外部サーバへの接続通信に対する応答がないことにより、当該ソフトウェアが別の外部サーバへ再接続を試みることによる通信のログが含まれる
ことを特徴とする請求項1に記載の接続先情報抽出装置。 - 前記接続先情報抽出装置は、前記ソフトウェアから外部サーバへの接続通信を受信し、擬似的にエラー応答を返す擬似応答手段を内部に備えるか、もしくは、当該擬似応答手段と接続されており、
前記通信観測手段により取得される通信ログには、前記ソフトウェアによる外部サーバへの接続通信に対する前記擬似応答手段によるエラー応答に起因して、当該ソフトウェアが別の外部サーバへ再接続を試みることによる通信のログが含まれる
ことを特徴とする請求項1に記載の接続先情報抽出装置。 - 前記接続先情報抽出手段は、前記通信ログから抽出した接続先情報を、ブラックリストを構成する接続先情報として前記接続先情報格納手段に格納する
ことを特徴とする請求項1ないし3のうちいずれか1項に記載の接続先情報抽出装置。 - 前記ソフトウェアはマルウェアであることを特徴とする請求項1ないし4のうちいずれか1項に記載の接続先情報抽出装置。
- ネットワークを介して外部サーバと通信を行う通信機能を備え、当該ネットワークとの接続が遮断されている接続先情報抽出装置が実行する接続先情報抽出方法であって、
ソフトウェアを実行するソフトウェア実行ステップと、
前記ソフトウェア実行ステップにより実行される前記ソフトウェアによる外部サーバへの接続動作を観測し、当該接続動作に関する通信ログを取得する通信観測ステップと、
前記通信観測ステップにより取得された通信ログから、前記ソフトウェアの接続先情報を抽出し、当該接続先情報を接続先情報格納手段に格納する接続先情報抽出ステップとを備え、
前記接続先情報抽出ステップにおいて、前記接続先情報抽出装置は、前記接続先情報であるURLに記述されているファイル名の拡張子に基づいて、当該接続先情報の悪性種別を判定する
ことを特徴とする接続先情報抽出方法。 - ネットワークを介して外部サーバと通信を行う通信機能と、ソフトウェアを実行するソフトウェア実行手段とを備え、当該ネットワークとの接続が遮断されているコンピュータを、請求項1ないし5のうちいずれか1項に記載の接続先情報抽出装置における前記通信観測手段、及び前記接続先情報抽出手段として機能させるための接続先情報抽出プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013054155A JP6050162B2 (ja) | 2013-03-15 | 2013-03-15 | 接続先情報抽出装置、接続先情報抽出方法、及び接続先情報抽出プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013054155A JP6050162B2 (ja) | 2013-03-15 | 2013-03-15 | 接続先情報抽出装置、接続先情報抽出方法、及び接続先情報抽出プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2014179025A JP2014179025A (ja) | 2014-09-25 |
| JP6050162B2 true JP6050162B2 (ja) | 2016-12-21 |
Family
ID=51698874
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2013054155A Active JP6050162B2 (ja) | 2013-03-15 | 2013-03-15 | 接続先情報抽出装置、接続先情報抽出方法、及び接続先情報抽出プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6050162B2 (ja) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6514897B2 (ja) * | 2015-01-16 | 2019-05-15 | Kddi株式会社 | 受信機、表示方法及びプログラム |
| JP6870386B2 (ja) * | 2017-02-28 | 2021-05-12 | 沖電気工業株式会社 | マルウェア不正通信対処システム及び方法 |
| JP6716051B2 (ja) | 2018-07-26 | 2020-07-01 | デジタルア−ツ株式会社 | 情報処理装置、情報処理方法、及び情報処理プログラム |
| JP6955527B2 (ja) * | 2019-04-05 | 2021-10-27 | デジタルア−ツ株式会社 | 情報処理装置、情報処理方法、及び情報処理プログラム |
| JP7297249B2 (ja) | 2019-08-07 | 2023-06-26 | 株式会社日立製作所 | 計算機システム及び情報の共有方法 |
| JP7099566B2 (ja) * | 2021-02-02 | 2022-07-12 | 日本電気株式会社 | マルウェア解析方法、マルウェア解析装置およびマルウェア解析システム |
| KR102617219B1 (ko) * | 2023-09-09 | 2023-12-27 | 주식회사 엔키 | 악성 코드를 이용한 침투 테스트 방법 및 장치 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007334536A (ja) * | 2006-06-14 | 2007-12-27 | Securebrain Corp | マルウェアの挙動解析システム |
| JP4755658B2 (ja) * | 2008-01-30 | 2011-08-24 | 日本電信電話株式会社 | 解析システム、解析方法および解析プログラム |
-
2013
- 2013-03-15 JP JP2013054155A patent/JP6050162B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2014179025A (ja) | 2014-09-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6050162B2 (ja) | 接続先情報抽出装置、接続先情報抽出方法、及び接続先情報抽出プログラム | |
| US10225280B2 (en) | System and method for verifying and detecting malware | |
| US10354072B2 (en) | System and method for detection of malicious hypertext transfer protocol chains | |
| CN105991595B (zh) | 网络安全防护方法及装置 | |
| RU2726032C2 (ru) | Системы и способы обнаружения вредоносных программ с алгоритмом генерации доменов (dga) | |
| CN110704836A (zh) | 实时无签名恶意软件检测 | |
| US12069076B2 (en) | System and method for detecting and classifying malware | |
| WO2018076697A1 (zh) | 僵尸特征的检测方法和装置 | |
| WO2018131199A1 (ja) | 結合装置、結合方法および結合プログラム | |
| JP5739034B1 (ja) | 攻撃検知システム、攻撃検知装置、攻撃検知方法および攻撃検知プログラム | |
| JP5752642B2 (ja) | 監視装置および監視方法 | |
| US10645107B2 (en) | System and method for detecting and classifying malware | |
| JP5389739B2 (ja) | 解析システム、解析装置、解析方法及び解析プログラム | |
| US9270689B1 (en) | Dynamic and adaptive traffic scanning | |
| JP6092759B2 (ja) | 通信制御装置、通信制御方法、および通信制御プログラム | |
| JP6592196B2 (ja) | 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム | |
| JP6333763B2 (ja) | マルウェア解析装置およびマルウェア解析方法 | |
| JP6314036B2 (ja) | マルウェア特徴抽出装置、マルウェア特徴抽出システム、マルウェア特徴方法及び対策指示装置 | |
| JP6676790B2 (ja) | リクエスト制御装置、リクエスト制御方法、および、リクエスト制御プログラム | |
| JP2024023875A (ja) | インラインマルウェア検出 | |
| WO2015178002A1 (ja) | 情報処理装置、情報処理システム及び通信履歴解析方法 | |
| JP6286314B2 (ja) | マルウェア通信制御装置 | |
| WO2020255185A1 (ja) | 攻撃グラフ加工装置、方法およびプログラム | |
| JP5456636B2 (ja) | ファイル収集監視方法、ファイル収集監視装置及びファイル収集監視プログラム | |
| JP6900328B2 (ja) | 攻撃種別判定装置、攻撃種別判定方法、及びプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20150902 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20160714 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20160809 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20161011 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20161101 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20161124 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6050162 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |