密钥生成源确定装置(10)具有:密钥确定部(11),其使恶意软件执行加密处理,取得表示加密处理的执行状况的执行轨迹,根据执行轨迹确定在加密处理中使用的加密密钥作为解析密钥;以及提取部(31),其从执行轨迹中提取解析密钥依存的命令的列表作为命令列表。并且,密钥生成源确定装置(10)具有取得部(32),该取得部(32)判定由命令列表中包含的调出命令调出的函数是否是取得动态变化的动态信息的动态取得函数,在是动态取得函数的情况下,取得命令列表作为在加密处理中生成了解析密钥的程序的至少一部分即密钥生成源的候选。
【技术实现步骤摘要】
【国外来华专利技术】密钥生成源确定装置、密钥生成源确定方法和密钥生成源确定程序
本专利技术涉及密钥生成源确定装置、密钥生成源确定方法和密钥生成源确定程序。
技术介绍
近年来,频繁发生以窃取机密信息为目的而对企业或政府机构进行的标的型攻击,成为安全上的重大威胁。一般的标的型攻击是从向攻击对象发送巧妙地修改了文本的邮件开始的。在该邮件中添加有包含恶意软件的文档文件,当邮件接收者在终端打开该文档的瞬间,该终端感染恶意软件。攻击者从互联网上的指令服务器(C&C服务器:CommandandControl服务器)控制该恶意软件,从标的组织内部的网络中搜索机密信息,向C&C服务器上传,由此实现目的。以这种机密信息的泄露受害的严重性为背景,对感染了恶意软件的个人计算机或服务器等生成的日志进行解析,从而得知恶意软件在感染终端内的举动的网络取证技术受到关注。但是,在近来的恶意软件中,有的通过公共密钥加密对通信数据进行加密来隐匿通信数据。这种恶意软件的通信数据在被加密的状态下进行记录,因此,无法直接进行解析。因此,恶意软件解析者需要进行确定恶意软件在通信数据的加密中使用的加密算法和在加密中使用的加密密钥并对被加密的通信进行解密的作业。该作业需要恶意软件的逆向工程,因此,一般需要庞大的劳力和时间。因此,研究了自动确定恶意软件的加密算法的方法、确定加密密钥的方法。在专利文献1中公开有如下技术:在内部具有加密函数,为了确定对信息进行加密而上传的恶意软件的加密密钥,记录恶意软件执行的命令的执行轨迹,包含运算的数据在内进行解析,由此确定密钥。在非专利文献1中公开有如下技术:准备已知加密算法的模板,在对该模板和评价对象算法给出相同输入时,如果输出相同,则判断为与模板的算法相同。现有技术文献专利文献专利文献1:日本特开2013-114637号公报非专利文献非专利文献1:JoanCalvet,JoseM.Fernandez,Jean-YvesMarion,Aligot:CryptographicFunctionIdentificationinObfuscatedBinaryPrograms、Proceedingsofthe19thACMConferenceonComputerandCommunicationsSecurity,CCS2012.非专利文献2:川古谷裕平、塩治栄太朗、岩村誠、針生剛男、テイント伝搬に基づく解析対象コードの追跡方法、コンピュータセキュリティシンポジウム2012
技术实现思路
专利技术要解决的课题在现有技术中,存在如下课题:即使能够确定恶意软件利用的加密算法,在动态生成密钥的恶意软件中,也无法确定与解密对象的通信日志对应的密钥。这里,动态生成密钥被定义成,在加密中利用的密钥不是被恶意软件硬编码,而是根据恶意软件活动的环境内的信息等生成并加以利用。动态生成密钥的恶意软件例如使用感染终端上的IP地址作为生成加密密钥的种子,生成在加密中利用的密钥,进行盗取的机密文件的加密。该情况下,在不同终端中生成不同密钥并用于加密。因此,产生受害的终端的密钥(以后称作受害密钥)和恶意软件解析环境下的密钥(以后称作解析密钥)不同。这里,在受害环境下产生泄露信息,因此通过受害密钥进行加密。因此,无法利用在解析环境下得到的解析密钥对被加密的通信日志进行解密。这样,在现有技术中,存在虽然能够确定解析密钥但是无法确定受害密钥这样的课题。本专利技术的目的在于,确定生成受害密钥所需要的信息即密钥生成源,以确定受害密钥。用于解决课题的手段本专利技术的密钥生成源确定装置具有:密钥确定部,其使恶意软件执行加密处理,取得表示所述加密处理的执行状况的执行轨迹,根据所述执行轨迹确定在所述加密处理中使用的加密密钥作为解析密钥;提取部,其从所述执行轨迹中提取所述解析密钥依存的命令的列表作为命令列表;以及取得部,其判定由所述命令列表中包含的调出命令调出的函数是否是取得动态变化的动态信息的动态取得函数,在由所述调出命令调出的函数是所述动态取得函数的情况下,取得所述命令列表作为在所述加密处理中生成了所述解析密钥的程序的至少一部分即密钥生成源的候选。专利技术效果在本专利技术的密钥生成源确定装置中,提取部根据恶意软件的加密处理的执行轨迹和在加密处理中使用的加密密钥,提取加密密钥依存的命令的命令列表。并且,取得部判定由命令列表中包含的调出命令调出的函数是否是取得动态变化的动态信息的动态取得函数。然后,取得部在由调出命令调出的函数是动态取得函数的情况下,取得命令列表作为在加密处理中生成了加密密钥的程序的至少一部分即密钥生成源的候选。由此,根据本专利技术的密钥生成源确定装置,能够得到在恶意软件的加密处理中使用的加密密钥的密钥生成源,能够大幅削减对由恶意软件加密的加密文件进行解密的劳力和时间。附图说明图1是示出恶意软件动态生成密钥的例子的图。图2是示出在各个终端中生成不同密钥的状况的图。图3是示出被委托基于恶意软件对加密通信进行解密的SOC/CSIRT工程师无法利用解析密钥对加密通信进行解密的状况的图。图4是实施方式1的密钥生成源确定装置10的结构图。图5是实施方式1的执行轨迹111的具体例。图6是示出实施方式1的密钥生成源确定装置10的密钥生成源确定方法510和密钥生成源确定程序520的密钥生成源确定处理S100的流程图。图7是示出实施方式1的密钥生成源取得部130进行的密钥生成源取得处理S130的流程图。图8是示出根据来自解析密钥确定部120的信息在执行轨迹111上确定哪个存储器是解析密钥121的状况的图。图9是示出通过感染解析求出与解析密钥121具有依存关系的信息的状况的图。图10是示出基于感染解析进行解析而得到的命令列表311的图。图11是示出实施方式1的函数数据库141中存储的动态取得函数411的例子的图。图12是示出根据多个汇编列表确定作为密钥生成源321的汇编列表的例子的图。图13是实施方式1的变形例的密钥生成源确定装置10的结构图。图14是实施方式2的密钥生成源确定装置10a的结构图。图15是说明需要进行密钥生成源候选322的范围缩小的理由即感染的误传播的图。图16是示出实施方式2的密钥生成源确定装置10a的密钥生成源确定处理S100a的流程图。图17是例示实施方式2中的编集距离的测定的图。图18是实施方式3的密钥生成源确定装置10b的结构图。图19是示出实施方式3的密钥生成源确定装置10b的密钥生成源确定处理S100b的流程图。图20是示出生成实施方式3的密钥生成程序151的状况的图。图21是实施方式4的密钥生成源确定装置10c的结构图。图22是示出实施方式4的密钥生成源确定装置10c的密钥生成源确定处理S100c的流程图。具体实施方式下面,使用附图对本专利技术的实施方式进行说明。另外,在各图中,对相同或相当的部分标注相同标号。在实施方式的说明中,适当省略或简化相同或相当的部分的说明。实施方式1首先,使用图1~图3对动态生成密钥进行说明。图1是示出恶意软件动态生成密钥的例子的图。该例子所示的恶意软件使用感染终端上的IP地址作为生成加密密钥的种子,生成在加密中利用的密钥,进行盗取的机密文件的加密。该情况下,在不同终端中生成不同密钥并用于加密处理。图2是示出在各个受害终端中生成不同密钥的状况的本文档来自技高网...
【技术保护点】
1.一种密钥生成源确定装置,其中,所述密钥生成源确定装置具有:密钥确定部,其使恶意软件执行加密处理,取得表示所述加密处理的执行状况的执行轨迹,根据所述执行轨迹确定在所述加密处理中使用的加密密钥作为解析密钥;提取部,其从所述执行轨迹中提取所述解析密钥依存的命令的列表作为命令列表;以及取得部,其判定由所述命令列表中包含的调出命令调出的函数是否是取得动态变化的动态信息的动态取得函数,在由所述调出命令调出的函数是所述动态取得函数的情况下,取得所述命令列表作为在所述加密处理中生成了所述解析密钥的程序的至少一部分即密钥生成源的候选。
【技术特征摘要】
【国外来华专利技术】1.一种密钥生成源确定装置,其中,所述密钥生成源确定装置具有:密钥确定部,其使恶意软件执行加密处理,取得表示所述加密处理的执行状况的执行轨迹,根据所述执行轨迹确定在所述加密处理中使用的加密密钥作为解析密钥;提取部,其从所述执行轨迹中提取所述解析密钥依存的命令的列表作为命令列表;以及取得部,其判定由所述命令列表中包含的调出命令调出的函数是否是取得动态变化的动态信息的动态取得函数,在由所述调出命令调出的函数是所述动态取得函数的情况下,取得所述命令列表作为在所述加密处理中生成了所述解析密钥的程序的至少一部分即密钥生成源的候选。2.根据权利要求1所述的密钥生成源确定装置,其中,所述密钥生成源确定装置具有存储有所述动态取得函数的函数数据库,所述取得部判定由所述调出命令调出的函数是否包含在所述函数数据库中,在由所述调出命令调出的函数包含在所述函数数据库中的情况下,取得所述命令列表作为所述密钥生成源的候选。3.根据权利要求1或2所述的密钥生成源确定装置,其中,所述密钥生成源确定装置具有:程序数据库,其存储程序的模板;以及决定部,其计算所述密钥生成源的候选与所述模板的相似度,根据所述相似度判定所述密钥生成源的候选是否与所述模板相似,在所述密钥生成源的候选与所述模板相似的情况下,将所述密钥生成源的候选决定为所述密钥生成源。4.根据权利要求1或2所述的密钥生成源确定装置,其中,所述取得部将所述密钥生成源的候选决定为所述密钥生成源。5.根据权利要求1~4中的任意一项所述的密钥生成源确定装置,其中,所述动态取得函数取得根据所述加密处理的执行环境而动态变化的信息作为所述动态信息。6.根据权利要求5所述的密钥生成源确定装置...
【专利技术属性】
技术研发人员:西川弘毅,祢宜知孝,河内清人,
申请(专利权)人:三菱电机株式会社,
类型:发明
国别省市:日本,JP
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。