Hypervisor-based Evidence Preservation Forensic System against Double Extortion Ransomware
| Project/Area Number |
23K11114
|
|---|
| Research Category |
Grant-in-Aid for Scientific Research (C)
|
| Allocation Type | Multi-year Fund |
|---|
| Section | 一般 |
|---|
| Review Section |
Basic Section 60070:Information security-related
|
|---|
| Research Institution | National Institute of Technology, Toyota College |
|---|
Principal Investigator |
平野 学 豊田工業高等専門学校, 情報工学科, 教授 (50390464)
|
|---|
| Co-Investigator(Kenkyū-buntansha) |
小林 良太郎 工学院大学, 情報学部(情報工学部), 教授 (40324454)
|
|---|
| Project Period (FY) |
2023-04-01 – 2027-03-31
|
| Project Status |
Granted (Fiscal Year 2023)
|
| Budget Amount *help |
¥4,810,000 (Direct Cost: ¥3,700,000、Indirect Cost: ¥1,110,000)
Fiscal Year 2026: ¥520,000 (Direct Cost: ¥400,000、Indirect Cost: ¥120,000)
Fiscal Year 2025: ¥520,000 (Direct Cost: ¥400,000、Indirect Cost: ¥120,000)
Fiscal Year 2024: ¥520,000 (Direct Cost: ¥400,000、Indirect Cost: ¥120,000)
Fiscal Year 2023: ¥3,250,000 (Direct Cost: ¥2,500,000、Indirect Cost: ¥750,000)
|
|---|
| Keywords | ランサムウェア検知 / サイバーセキュリティ / 仮想計算機モニタ / ハイパーバイザー / 低レベル振る舞い特徴量 / 深層学習 / デジタルフォレンジック / 回避攻撃対策 / ランサムウェア / フォレンジック / 仮想化 / サイバー攻撃 |
|---|
| Outline of Research at the Start |
本研究は(1)国産の仮想計算機モニタ BitVisor を用いて PC の操作履歴を保全するシステム,(2)操作履歴を深層学習して攻撃を検知するシステム,(3)操作履歴から攻撃の状態を復元・解析するシステムの「証拠保全,検知,解析」の三つの研究からなる。先行研究システムはストレージとメモリしか監視しないため二重脅迫ランサムウェアのデータ流出並びに Command and Control (C2)通信を検知できなかった。そこで本申請では,ストレージとメモリに新たにネットワークを追加した3次元の証拠保全・解析機構で二重脅迫ランサムウェアに対抗する。
|
| Outline of Annual Research Achievements |
本研究は国産の仮想計算機モニタ BitVisor を用いて PC の操作履歴を保全し,操作履歴を深層学習して攻撃を検知,操作履歴から攻撃の状態を復元・解析する「証拠保全,検知,解析」の三つの研究から構成されている。仮想計算機モニタを使う理由は,オペレーティングシステムやユーザプログラムに対する攻撃が成功した場合でも,仮想化層で追加の保護機能を提供できるようにするためである(多層防御)。先行研究では 仮想計算機モニタ BitVisor を用いたストレージとメモリのアクセス履歴の監視システム(証拠保全)と機械学習によるランサムウェア検知システム(検知)を開発した。しかし,先行研究ではストレージとメモリしか監視しておらず,近年被害が拡大している二重脅迫型ランサムウェアのデータ流出ならびに Command and Control (C2) 通信を検知することができなかった。そこで本研究ではストレージとメモリに新たにネットワークを追加した3次元の証拠保全・検知・解析の機構で二重脅迫ランサムウェアに対抗する研究をおこなっている。
本年度(1年目)は仮想計算機モニタ BitVisor にネットワーク通信の監視機能を追加する開発を実施し,ランサムウェアを実行させた時にメモリとストレージのアクセスを監視することに加えて,ネットワーク通信を監視できるようになった。開発した監視システムを用いてランサムウェアを実行した時のメモリ,ストレージ,ネットワーク通信を収集し,それらの低レベル振る舞い特徴量を深層学習させることで無害なプログラムとランサムウェアを先行研究より高い精度で検知できることを確認した。また,本研究の解析機能に関しては,仮想計算機モニタ BitVisor を用いた時系列メモリダンプ機構の論文がデジタルフォレンジック分野の主要国際ジャーナルに採録された。
|
| Current Status of Research Progress |
Current Status of Research Progress
1: Research has progressed more than it was originally planned.
Reason
令和5年度(1年目)の計画では「テーマ(A)仮想化層でのネットワーク・メモリ・ストレージ証拠保全機構」の開発を実施することが目標であった。このテーマ(A) の目標は先行研究のシステムである仮想計算機モニタ BitVisor を用いたメモリとストレージの監視システムに対して,新たにネットワークの監視機能を追加することであった。令和5年度(1年目)は計画どおりにネットワーク監視機能の開発が完了し,その成果を [1] として外部発表した。また当初は令和6年度から実施する計画であった「テーマ(B)仮想化層で保全した履歴の深層学習による攻撃の検知」についてもランサムウェアを実行した時のメモリ,ストレージ,ネットワーク通信の低レベルの振る舞い特徴量から深層学習でランサムウェアを検知する検証実験を先行して実施した。さらに,令和6年度から計画していた「テーマ(C) の解析回避攻撃に対抗する時系列フォレンジック解析システム」については,その基礎となる仮想計算機モニタで時系列メモリダンプを取得する機構の論文が国際ジャーナル[2]に採録された。
[1]伴叶,仲泰志,平野学,小林良太郎.準パススルー型ハイパーバイザを用いたネットワーク監視機能の実装,令和5年度電気・電子・情報関係学会東海支部連合大会,H3-4,2023年8月.
[2] M. Hirano and R. Kobayashi. "FIMAR: Fast incremental memory acquisition and restoration system for temporal-dimension forensic analysis." Forensic Science International: Digital Investigation 46 (2023): 301603.
|
| Strategy for Future Research Activity |
令和5年度と令和6年度に「テーマ(A) 仮想化層でのネットワーク・メモリ・ストレージ証拠保全機構」を開発,評価する計画で研究を進めており,予定より早く令和5年度に主要な開発を完了した。令和6年度はランサムウェアのデータ流出の検知実験を通して,ネットワーク監視機能の更なる性能改善を行なうものとする。
令和6年度から実施を計画している「テーマ(B)仮想化層で保全した履歴の深層学習による攻撃の検知」については,計画より先行して令和5年度にランサムウェア6検体での検証実験を進めた。令和5年度の検証実験から,二重脅迫型ランサムウェアの特徴であるデータ流出機能について,ランサムウェアそのものに含まれている検体がほとんど存在せず(検体には暗号化機能のみが含まれることが多かった),データ流出機能はクラウドストレージへの同期やファイル転送を行う外部ツールを用いて実現していることが多いことが判明した。よって,今後は二重脅迫型ランサムウェアの攻撃を再現するような一連の動きを隔離環境で再現し,開発した仮想計算機モニタによる監視システムでメモリ,ストレージ,ネットワーク通信のデータを収集,最終的に深層学習でランサムウェアをどの段階で検知できるかを検証する計画である。
令和6年度からの実施を計画している「テーマ(C)解析回避攻撃に対抗する時系列フォレンジック解析システム」については,令和5年度にそのベースとなる仮想計算機モニタ BitVisor を用いた時系列メモリダンプの論文がデジタルフォレンジックの主要国際ジャーナルに採録された。今後はこの機能を用いてランサムウェアの解析回避機能の分析を進めていく計画である。
|
Report
(1 results)
Research Products
(3 results)
