特許ウォッチ

公開番号2025141479
公報種別公開特許公報(A)
公開日2025-09-29
出願番号2024041432
出願日2024-03-15
発明の名称マルウェア解析継続システム及びマルウェア解析継続方法
出願人株式会社日立製作所
代理人青稜弁理士法人
主分類G06F 21/56 20130101AFI20250919BHJP(計算;計数)
要約【課題】マルウェア解析継続システムにおいて、攻撃者サーバが稼働しておらず通信できない場合でもマルウェアの解析を継続する。
【解決手段】マルウェア解析継続システムは、攻撃者サーバとの通信を観測して、過去データとして前記通信の応答を蓄積する通信先観測プログラムと、マルウェアの動的解析を実施する動的解析プログラムと、動的解析された前記マルウェアの通信を仲介し、前記攻撃者サーバとの通信が停止した場合でも、前記過去データとして蓄積された前記応答を返却することにより前記動的解析を継続するように制御する通信仲介プログラムと、前記マルウェアが発した通信と類似する過去の通信を類似通信として前記過去データから抽出する類似通信抽出プログラムと、前記マルウェアに関する情報を画面に描写する画面描写プログラムと、を実行する。
【選択図】図1
特許請求の範囲【請求項１】
インターネットに接続されたマルウェア解析継続システムであって、
攻撃者サーバとの通信を観測して、過去データとして前記通信の応答を蓄積する通信先観測部と、
マルウェアの動的解析を実施する動的解析部と、
動的解析された前記マルウェアの通信を仲介し、前記攻撃者サーバとの通信が停止した場合でも、前記過去データとして蓄積された前記応答を返却することにより前記動的解析を継続するように制御する通信仲介部と、
前記マルウェアが発した通信と類似する過去の通信を類似通信として前記過去データから抽出する類似通信抽出部と、
前記マルウェアに関する情報を画面に描写する画面描写部と、
を有することを特徴とするマルウェア解析継続システム。
続きを表示（約 1,100 文字）【請求項２】
前記通信仲介部は、
前記攻撃者サーバとの通信を一時停止させて前記通信の通信先の状態を確認し、
前記通信先が稼働中か否かを判定し、
前記通信先が稼働中と判定した場合は、前記マルウェアの通信を再開することを特徴とする請求項１に記載のマルウェア解析継続システム。
【請求項３】
前記通信仲介部は、
前記通信先が稼働中でないと判定した場合は、前記通信先が過去に観測済みか否かを判定し、
前記通信先が過去に観測済と判定した場合は、一時停止させた前記通信について、前記観測済の結果を前記応答して返却することを特徴とする請求項２に記載のマルウェア解析継続システム。
【請求項４】
前記通信仲介部は、
前記通信先が過去に観測済でない判定した場合は、一時停止させた前記通信について、前記類似通信を前記応答して返却することを特徴とする請求項３に記載のマルウェア解析継続システム。
【請求項５】
前記類似通信抽出部は、
前記マルウェアの特徴又は前記通信の特徴に基づいて、前記過去のデータから前記類似通信を抽出することを特徴とする請求項１に記載のマルウェア解析継続システム。
【請求項６】
前記類似通信抽出部は、
前記通信のＵＲＬパスの特徴に基づいて、前記過去のデータから前記類似通信を抽出することを特徴とする請求項５に記載のマルウェア解析継続システム。
【請求項７】
前記類似通信抽出部は、
前記通信のパラメータの特徴に基づいて、前記過去のデータから前記類似通信を抽出することを特徴とする請求項５に記載のマルウェア解析継続システム。
【請求項８】
前記類似通信抽出部は、
前記マルウェアの検体ファミリの特徴に基づいて、前記過去のデータから前記類似通信を抽出することを特徴とする請求項５に記載のマルウェア解析継続システム。
【請求項９】
所定のネットワークを介して接続されたユーザ端末を有し、
前記画面描画部は、
前記マルウェアに関する情報を前記ユーザ端末の画面に表示することを特徴とする請求項１に記載のマルウェア解析継続システム。
【請求項１０】
前記画面描写部は、
前記マルウェアに関する情報として、前記通信の通信概要と前記類似通信の内容を前記画面に表示することを特徴とする請求項９に記載のマルウェア解析継続システム。
（【請求項１１】以降は省略されています）
発明の詳細な説明【技術分野】
【０００１】
本発明は、マルウェア解析継続システム及びマルウェア解析継続方法に関する。
続きを表示（約 1,600 文字）【背景技術】
【０００２】
マルウェアを実際に動作させることで、その挙動を記録し、解析を図る動的解析がある。本解析手法は、半自動で実施可能であることから効率的に解析することが可能であるため、広く活用されている。また、マルウェアのコードを解読し、マルウェアの挙動を明らかにする静的解析もあるものの、本解析手法は、時間や専門性が必要であるため、動的解析のほうが広く用いられる傾向にある。
【０００３】
他方で、マルウェア動的解析は、実際にマルウェアが動作する必要がある。このため、Ｃ２（Ｃｏｍｍａｎｄ＆Ｃｏｎｔｒｏｌ）サーバをはじめとするような、攻撃者のサーバと通信しながら動作を行う等、外部に依存性がある場合はその条件が満たされない場合、例えば本例のよう既に攻撃が終了しており攻撃者のサーバが稼働しておらず通信できない場合、解析を継続することが困難である。これに関連する技術として、特許文献１、特許文献２、非特許文献１、非特許文献２がある。
【先行技術文献】
【特許文献】
【０００４】
特開２０１８－１６９７９２号公報
特開２０１８－１６９７９２号公報
【非特許文献】
【０００５】
ＺｈａｏｙａｎＸｕ，ＡｎｔｏｎｉｏＮａｐｐａ，ＲｏｂｅｒｔＢａｙｋｏｖ，ＧｕａｎｇｌｉａｎｇＹａｎｇ，ＪｕａｎＣａｂａｌｌｅｒｏ，ＧｕｏｆｅｉＧｕ：ＡＵＴＯＰＲＯＢＥ：ＴｏｗａｒｄｓＡｕｔｏｍａｔｉｃＡｃｔｉｖｅＭａｌｉｃｉｏｕｓＳｅｒｖｅｒＰｒｏｂｉｎｇＵｓｉｎｇＤｙｎａｍｉｃＢｉｎａｒｙＡｎａｌｙｓｉｓ，２１ｓｔＡＣＭＣｏｎｆｅｒｅｎｃｅｏｎＣｏｍｐｕｔｅｒａｎｄＣｏｍｍｕｎｉｃａｔｉｏｎｓＳｅｃｕｒｉｔｙ（ＣＣＳ’１４），ｐｐ．１７９－１９０（２０１４）．
島川貴裕，久山真宏，佐藤信，名和利男，高倉弘喜，佐々木良一：標的型攻撃に対する知的ネットワークフォレンジックシステムＬＩＦＴの開発－模擬Ｃ＆Ｃサーバを用いたマルウェアの挙動解析－，マルチメディア，分散，協調とモバイル（ＤＩＣＯＭＯ２０１６）シンポジウム，ｐｐ．１０８７－１０９２（２０１６）．
【発明の概要】
【発明が解決しようとする課題】
【０００６】
マルウェア動的解析は、実際にマルウェアが動作する必要がある。このため、攻撃者のサーバと通信しながら動作を行う等、外部に依存性がある場合はその条件が満たされない場合、例えば本例のよう既に攻撃が終了しており攻撃者のサーバが稼働しておらず通信できない場合、解析を継続することが困難である。
【０００７】
特許文献１や特許文献２は、マルウェアによる通信が発生した際に当該通信を一時停止し、マルウェアの静的解析を実施後、その結果に基づきマルウェアが期待する応答を行うことで、処理を誘発するものである。
【０００８】
しかし、マルウェアの静的解析には高度なスキルと時間が必要である。また、静的解析の結果を基にマルウェアが期待する通信を適切に作成することは容易ではない。
【０００９】
非特許文献１は、シンボリック実行、ファジング、レジスタの書き換え等でＣ２のレスポンスに係る処理を強制的に実行し、Ｃ２からのレスポンスに依存する実行経路を探索するものである。
【００１０】
しかし、ファジング等の特性から、実行経路の発見にランダム性が伴う。また、動的解析の継続ではなくＣ２サーバのフィンガプリントを作成することが本技術の目的である。
（【００１１】以降は省略されています）

関連特許