[发明专利]密钥生成源确定装置、密钥生成源确定方法和密钥生成源确定程序

说明书

密钥生成源确定装置(10)具有：密钥确定部(11)，其使恶意软件执行加密处理，取得表示加密处理的执行状况的执行轨迹，根据执行轨迹确定在加密处理中使用的加密密钥作为解析密钥；以及提取部(31)，其从执行轨迹中提取解析密钥依存的命令的列表作为命令列表。并且，密钥生成源确定装置(10)具有取得部(32)，该取得部(32)判定由命令列表中包含的调出命令调出的函数是否是取得动态变化的动态信息的动态取得函数，在是动态取得函数的情况下，取得命令列表作为在加密处理中生成了解析密钥的程序的至少一部分即密钥生成源的候选。

技术领域

本发明涉及密钥生成源确定装置、密钥生成源确定方法和密钥生成源确定程序。

背景技术

近年来，频繁发生以窃取机密信息为目的而对企业或政府机构进行的标的型攻击，成为安全上的重大威胁。一般的标的型攻击是从向攻击对象发送巧妙地修改了文本的邮件开始的。在该邮件中添加有包含恶意软件的文档文件，当邮件接收者在终端打开该文档的瞬间，该终端感染恶意软件。攻击者从互联网上的指令服务器(C&C服务器：Commandand Control服务器)控制该恶意软件，从标的组织内部的网络中搜索机密信息，向C&C服务器上传，由此实现目的。以这种机密信息的泄露受害的严重性为背景，对感染了恶意软件的个人计算机或服务器等生成的日志进行解析，从而得知恶意软件在感染终端内的举动的网络取证技术受到关注。

但是，在近来的恶意软件中，有的通过公共密钥加密对通信数据进行加密来隐匿通信数据。这种恶意软件的通信数据在被加密的状态下进行记录，因此，无法直接进行解析。因此，恶意软件解析者需要进行确定恶意软件在通信数据的加密中使用的加密算法和在加密中使用的加密密钥并对被加密的通信进行解密的作业。该作业需要恶意软件的逆向工程，因此，一般需要庞大的劳力和时间。因此，研究了自动确定恶意软件的加密算法的方法、确定加密密钥的方法。

在专利文献1中公开有如下技术：在内部具有加密函数，为了确定对信息进行加密而上传的恶意软件的加密密钥，记录恶意软件执行的命令的执行轨迹，包含运算的数据在内进行解析，由此确定密钥。

在非专利文献1中公开有如下技术：准备已知加密算法的模板，在对该模板和评价对象算法给出相同输入时，如果输出相同，则判断为与模板的算法相同。

现有技术文献

专利文献

专利文献1：日本特开2013-114637号公报

非专利文献

非专利文献1：Joan Calvet,Jose M.Fernandez,Jean-Yves Marion,Aligot：Cryptographic Function Identification in Obfuscated Binary Programs、Proceedings of the 19th ACM Conference on Computer and CommunicationsSecurity,CCS 2012.

非专利文献2：川古谷裕平、塩治栄太朗、岩村誠、針生剛男、テイント伝搬に基づく解析対象コードの追跡方法、コンピュータセキュリティシンポジウム2012

发明内容

发明要解决的课题

在现有技术中，存在如下课题：即使能够确定恶意软件利用的加密算法，在动态生成密钥的恶意软件中，也无法确定与解密对象的通信日志对应的密钥。这里，动态生成密钥被定义成，在加密中利用的密钥不是被恶意软件硬编码，而是根据恶意软件活动的环境内的信息等生成并加以利用。