耐解析機能を逆用したマルウェアの活動抑制システムに関する研究開発
| Project/Area Number |
22K12037
|
|---|
| Research Category |
Grant-in-Aid for Scientific Research (C)
|
| Allocation Type | Multi-year Fund |
|---|
| Section | 一般 |
|---|
| Review Section |
Basic Section 60070:Information security-related
|
|---|
| Research Institution | Nara Women's University |
|---|
Principal Investigator |
瀧本 栄二 奈良女子大学, 情報基盤センター, 准教授 (90395054)
|
|---|
| Project Period (FY) |
2022-04-01 – 2026-03-31
|
| Project Status |
Granted (Fiscal Year 2022)
|
| Budget Amount *help |
¥4,290,000 (Direct Cost: ¥3,300,000、Indirect Cost: ¥990,000)
Fiscal Year 2025: ¥1,040,000 (Direct Cost: ¥800,000、Indirect Cost: ¥240,000)
Fiscal Year 2024: ¥1,430,000 (Direct Cost: ¥1,100,000、Indirect Cost: ¥330,000)
Fiscal Year 2023: ¥1,040,000 (Direct Cost: ¥800,000、Indirect Cost: ¥240,000)
Fiscal Year 2022: ¥780,000 (Direct Cost: ¥600,000、Indirect Cost: ¥180,000)
|
|---|
| Keywords | 情報セキュリティ / マルウェア / EDR |
|---|
| Outline of Research at the Start |
これまでのマルウェア対策はマルウェア検知等の感染防止が主である.しかし,マルウェアの進化により感染を完全に防ぐことは困難である.本研究課題では,従来のマルウェア感染防止ではなく,感染後に着目し,マルウェアの動作を妨害することで感染による被害を防ぐことを目的とする.
マルウェアの多くは自衛手段として解析されていることを検知する耐解析機能を持ち,解析されていることを検知すると,動作停止等により解析を妨害する.本研究は耐解析機能を逆手に取り,わざと耐解析機能にひっかかる環境を作り出すことでマルウェアを動作できない状況に追い込み,マルウェアによる被害を防ぐ.
|
| Outline of Annual Research Achievements |
2022年度は,マルウェアのアンチデバッグ機能を逆用する技術として,アプリケーション起動時にデバッグを自動生成しアタッチする機構を開発した.本機構はWindowsオペレーティングシステムのドライバ,デバッガ生成サーバ,軽量デバッガとして構成され,アプリケーション起動を検知すると起動を一時的に停止し,デバッガ生成サーバに通知して軽量デバッガを生成し該当アプリケーションにアタッチしたのちに起動処理を再開させるものである.これにより,アプリケーションに制御が移行するまでにデバッガがアタッチされており,その結果当該アプリケーション(マルウェアの場合)がアンチデバッグを行うとアタッチ済みデバッガが検知され,最終的にマルウェアが解析妨害のために動作停止するよう仕向けることができる.当初の実装ではオーバヘッドが課題であったが,軽量デバッガの改良等により,多数のアプリケーションが実行されてもメモリ消費量・CPU使用量を大幅に軽減することができた.
また,効果範囲は狭いがより低オーバヘッドでアンチデバッグを逆用する手法として,プロセス管理領域のデバッガの有無を表すフラグを書き換える手法を考案し,その基本的な性能評価を終えた.その結果,デバッガを用いないため上記デバッガを用いた手法と比較してさらに低オーバヘッドでの実行ができることを確認した.さらに,IoTデバイスに多く利用される組込みLinuxを対象としたアンチ仮想化機能を逆用する手法の基礎検討を行い,逆用可能であることを確認した.
|
| Current Status of Research Progress |
Current Status of Research Progress
1: Research has progressed more than it was originally planned.
Reason
当初計画では主にマルウェアのアンチデバッグを逆用する手段として独自のデバッガを自動的にアタッチする手法の完成を目標としていたが,低オーバヘッドな仕組みの導入まで達成できた.
また,2年目以降の予定であったアンチ仮想化の逆用の基礎検証ができたこと,およびアンチデバッグを逆用する新たな手法についても考案と基本的な実装ができたことから,計画以上に進展していると判断する.
|
| Strategy for Future Research Activity |
現状のデバッガを使用した手法は,低オーバヘッド化を施したもののこれ以上のオーバヘッド削減を見込むことは困難である.一方で,今年度検討した新しい手法はほぼオーバヘッド無しで限定的ではあるが同様の効果が見込める.次年度は後者の手法をブラッシュアップした上で,ユーザの要求に応じて使い分けれるようにしていく.
また,実用化を考慮し,監視対象アプリケーションの指定方法などの実用面での検討も行う.
|
Report
(1 results)
Research Products
(2 results)
