2017 Fiscal Year Research-status Report
| Project/Area Number |
17K00179
|
|---|
| Research Institution | University of Tsukuba |
|---|
Principal Investigator |
大山 恵弘 筑波大学, システム情報系, 准教授 (10361536)
|
|---|
| Project Period (FY) |
2017-04-01 – 2020-03-31
|
| Keywords | マルウェア / IoT / 耐解析処理 / 仮想化 / サンドボックス |
|---|
| Outline of Annual Research Achievements |
IoTデバイス上で動くマルウェアが自身の解析を妨害するために実行する処理(耐解析処理)を解明する研究を行った.第一に,数千のマルウェア検体の動的解析結果を分析し,マルウェアが実行する耐解析処理の種類をわかりやすく示した.この分析では,多くのマルウェアが検知を試みるハイパバイザや,サンドボックスを検出するために多くのマルウェアが用いる手段についての興味深い知見を得た.第二に,マルウェアがマルチスレッド実行を用いてサンドボックスや仮想マシンを検出する新しい耐解析処理を構築し,その脅威の度合いを示した.同時に,その耐解析処理を備えたマルウェアに対する対策技術の設計と実装を行った.その技術は,マルウェアの耐解析処理による解析時間の長大化を極力防ぎつつ,マルウェアが取得する時間情報を修正することにより,マルウェアによるサンドボックスの有無についての判断を誤らせるものである.マルチスレッド実行を用いた耐解析処理の研究は過去に極めて少なく,その意味で本研究の独自性は高い.第三に,耐解析処理の1つである長時間のスリープの挙動を分析し,マルウェアのスリープ挙動に関する実態を明らかにした.さらに,スリープ挙動を用いてマルウェアを分類する新しい手法を構築し,実験でその有効性を実証した.これまでマルウェアのスリープ挙動についてはほとんど理解されておらず,その詳細を示したのは本研究が最初である.第四に,IoTデバイスとして広く用いられているRaspberry Piを対象に,マルウェアが自身の環境が仮想マシンであるか実マシンであるかを推定するための新しい耐解析処理を構築し,その脅威の度合いを示した.それはOSの基本操作に要する時間の計測によって仮想マシンを検出するものである.IoT環境での耐解析処理についてはこれまで研究が極めて少なく,その意味で本研究の価値は高い.
|
| Current Status of Research Progress |
Current Status of Research Progress
2: Research has progressed on the whole more than it was originally planned.
Reason
実験対象とするIoTデバイスを選定,入手するとともに,エミュレータソフトウェアでそのIoTデバイスを模擬する環境を構築する作業は順調に進んでいる.最初の対象IoTデバイスとしては,最も広く普及しており情報も多いと考えられるRaspberry Piを選んだ.エミュレータソフトウェアとしてはQEMUを用いることとした.Raspberry Piの実マシン環境と仮想マシン環境を準備し,その上で様々な耐解析処理を実行して,挙動や性能の分析を行った.Raspberry Pi上ではコンパイラやデバッガが動作するので開発環境は容易に構築することができ,実験は順調に進んだ.実験対象のIoTデバイスで検証できる可能性がある耐解析処理の洗い出しも行った.例えば,Raspberry Pi環境では,インテル社のCPUとWindowsやLinuxを組み合わせた環境とは異なり,CPU命令による時刻情報の取得が難しいという特徴がある.時刻情報の取得は洗練された耐解析処理において頻繁に実行される重要な操作である.CPU命令によってそれを実現できないことは処理の設計に大きな影響を与える.他にも,CPUが備える仮想化支援機構がインテル社のCPUとRaspberry PiのCPUのArmとで異なることも,大きな影響を与える.実験用のマルウェアについては,研究用のマルウェア配布サイトから継続的に収集している.しかし,IoTマルウェアについては収集できている数が少ないため,今後,研究者間での検体交換などの別の手段と組み合わせてマルウェア収集を加速する可能性がある.近年のマルウェアが実行する耐解析処理の種類の把握,マルウェアのスリープ挙動に対する理解の深化,新しい耐解析処理の構築については,どれも成果が出始めており,研究は順調に進んでいる.
|
| Strategy for Future Research Activity |
研究は順調に進んでいるため,今後も計画に沿って研究を推進していく.マルウェアが実行する耐解析処理の種類については,今後も継続的に分析を続けていく.マルチスレッド実行を利用した耐解析処理については,その脅威を示す実験と,その対策技術の構築をさらに進める.スリープ挙動の分析やスリープ挙動をマルウェアの分類などに利用していくことについては,研究はある程度成熟した段階まで進み,知見もまとまってきている.しかし,スリープ関数を呼び出さないが事実上スリープをするような処理の検出や,意図が必ずしも明確ではないスリープの意図の推定などの,残された課題も多くある.余裕があればそれらにも取り組んでいく.Raspberry Pi環境での耐解析処理の解明についてはまだ端緒についたばかりであるが,今後は時間情報を利用する耐解析処理を中心に実験を続け,既存研究においてPC環境で得られてきたような知見をIoT環境に対しても提供していく.
|
| Causes of Carryover |
研究者が勤務する部局における当該年度の業務の都合により,当該年度に行う予定だった情報収集や成果発表のための出張,および,謝金が必要となる作業を,次年度以降に行うようにした.それにより,次年度使用額が生じた.その額は,次年度以降に回した出張や謝金が必要となる作業において使用していくことを計画している.
|
