2019 Fiscal Year Annual Research Report
Investigation of anti-analysis operations executed by malware in IoT environments
| Project/Area Number |
17K00179
|
|---|
| Research Institution | University of Tsukuba |
|---|
Principal Investigator |
大山 恵弘 筑波大学, システム情報系, 准教授 (10361536)
|
|---|
| Project Period (FY) |
2017-04-01 – 2020-03-31
|
| Keywords | マルウェア / IoT / 耐解析処理 / 仮想化 / サンドボックス |
|---|
| Outline of Annual Research Achievements |
マルウェアが自身の解析を妨害するために実行する処理(耐解析処理)を明らかにする研究を引き続き遂行した.第一に,20万以上のマルウェア検体に静的解析を適用し,マルウェアが実行する特定の解析回避処理の傾向を分析した研究の論文を国際会議で発表した.この国際会議はマルウェア分野で世界的に著名なレベルの高い学会であり,この場での成果発表には大きな意義がある.第二に,例外を発生させるマルウェアのための新しい動的解析手法を開発し,それについての論文を学会で発表した.この手法は,実行終了をもたらす例外をマルウェアが発生させたら,そのマルウェアが終了しないようにメモリやレジスタを書き換えて実行を継続させるものである.この手法を実現するシステムを実装してその上でマルウェアを解析する実験を行ったところ,元々は例外によって途中で終了していたマルウェアの実行の多くを継続させることができ,既存の解析システムで観測できなかった多くの挙動を引き出すことができた.第三に,マルウェア検体のデータ欠損がアンチウイルスによるマルウェア同定に与える影響を調査し,成果を論文にまとめて学会で発表した.その調査では,ファイルの先頭部分の欠損がもたらす影響が突出して大きいことや,欠損による影響がアンチウイルス製品ごとに大きく異なることなどの重要な知見を明らかにした.第四に,プログラムファイルがマルウェアか善良ソフトウェアかを,ファイルの表層的な解析で得られるメタデータなどの情報を特徴として,機械学習によって判定する手法についての研究を行い,研究成果を国際会議で発表した.具体的にはこの研究はマルウェアファイルから抽出できる複数の特徴のうちどの特徴やどの特徴の組み合わせが精度や処理速度の観点から有用であるかを評価するものである.この研究によりインポート関数の情報が特徴として有用であるなどの重要な知見を明らかにすることができた.
|
