動的解析を利用したPDFマルウェア解析システムの実装と評価

摘要

近年、Adobe Readerに複数のゼロデイが存在したこともあり、PDF形式のマルウェアによる被害が大きな問題となっている。PDFマルクェアには難読化されたJavaScriptが組み込まれており、その難読化の多様さからアンチウイルスソフトによる検知率が非常に低い結果となっている。これらのインシデントを詳細に把握するため、著者らは難読化が施されたJavaScriptをエミュレーションにより解析するシステムを開発した。本稿では開発システムを改良し、PDFマルウェア内に組み込まれたJavaScriptを解析するシステムを提案する。提案システムはPDFファイルからJavaScriptならびにオブジェクト情報を自動抽出し、JavaScript for Acrobat APIを模擬したJavaScript Interpreter環境にて抽出したJavaScriptをェミュレートすることで動的解析を行う。本解析により難読化を解除した最終的な悪意のあるJavaScriptコードを取得し、どのような脆弱性を利用しているか判別する。また、難読化を解除したコードには端末を制御するためのshellcodeが埋め込まれている。そこで提案システムの解析結果からshellcode部を特定し、エミュレーションによりshellcodeの内容まで解析する手法を考察する。