2020 Fiscal Year Research-status Report
| Project/Area Number |
20K11741
|
|---|
| Research Institution | University of Tsukuba |
|---|
Principal Investigator |
大山 恵弘 筑波大学, システム情報系, 准教授 (10361536)
|
|---|
| Project Period (FY) |
2020-04-01 – 2023-03-31
|
| Keywords | マルウェア解析 / ソフトウェア工学 / 解析回避 / セキュリティ / 例外処理 |
|---|
| Outline of Annual Research Achievements |
ソフトウェア工学技術によるマルウェアの安定的実行について研究を実施し,多くの実験結果と知見を得た.研究代表者が開発中の例外処理や解析妨害対策の技術と,既存技術の組み合わせにより,未知であったマルウェアの特徴の解明を目指す作業を実施した.さらに,ソフトウェア工学技術による破損マルウェアの理解と復元について研究を実施し,こちらについても多くの実験結果と知見を得た.研究代表者の研究グループで開発中の破損マルウェア分類技術と既存技術を組み合わせて,破損などの異常に強い解析技術を構築する作業を実施した.具体的には,前者の研究については,例外を発生させるマルウェアの実行を強制的に継続させる技術をマルウェアに適用する実験を行った.これにより,例外でマルウェアの実行が終了することはほぼ起こらなくなり,内包された様々な処理を明らかにすることができる.開発中の技術を実際のマルウェア検体に適用する作業を通じて,それらを適用するための方法論およびその効果を明らかにする作業を行った.実験の中で,それらの技術をマルウェアに適用する上でのいくつかの課題が判明したので,それらの解決法の構築を進めることとした.後者の研究については,破損したマルウェアからも挙動,意図,マルウェア名などの情報を得られるようにする技術の開発に引き続き取り組んだ.破損マルウェアの分類に関する過去の研究成果を十分に活用し,マルウェアファイルの破損によって,セキュリティ製品によるマルウェア名判定がどの程度変化するかについてさらに知見を収集した.マルウェア名や挙動を高精度で推定する手法の構築を目指し,手法改良と実験のサイクルを高速に回転させた.多くの高品質なマルウェアデータを収集するためのノウハウについても日々改善を続けており,以前にもまして多くの有用なマルウェアデータが手に入るようになっている.
|
| Current Status of Research Progress |
Current Status of Research Progress
2: Research has progressed on the whole more than it was originally planned.
Reason
ソフトウェア工学技術によるマルウェアの安定的実行,高精度での意図や挙動の推定,および,分類について,研究が順調に推移しており,1年間を通じて多くのデータ,知見,ソフトウェア,ノウハウを得ることができている.研究の柱は主に2つあり,1つ目は例外を発生させるマルウェアの実行を強制的に継続させる技術である.その技術はマルウェア解析システムに組み込まれたシャドウ例外ハンドラと呼ばれる仕組みにより例外発生時に例外の種類に応じて例外の効果を打ち消すものである.2つ目はマルウェアの一部に欠損や改変がある場合でもマルウェア名の高精度推定などを実現する技術である.どちらについても興味深い研究成果が出ており,その時点までの研究成果だけで1本の論文にまとめる価値が十分にあった.実際にそれらを論文にして国際会議やジャーナルへの投稿を行った.他にも,いくつかのサブ的研究課題において萌芽的な研究成果が出ており,それらについては国内学会の研究会で登壇発表するなどの活動を行った.成果としては例えば,マルウェア分類における画像化ベース手法とシステムコール列ベース手法の比較,クロック分解能を用いたIoTデバイス仮想マシンの検出,マルウェアの動的解析回避処理の傾向についての著名データセットの分析などがある.どの発表についても,発表会場の聴衆や発表予稿の読者からは好評であり,発表後も様々な研究者と有益なディスカッションを続けることができている.本質的な学術的問いである,ソフトウェア工学の技術をマルウェア解析に適用するにはどんな手法が必要かという問題や,それらのうち解析の精度と効率を特に向上させるものはどれで向上幅はどの程度かという問題についても,折に触れて研究グループで議論し,継続的に気づきを得ているとともに,実験などを通じて徐々に解明が進みつつある.
|
| Strategy for Future Research Activity |
今後は,現在進行中の研究を引き続き進展させるとともに,調査やシステム実装にほとんど着手できていない研究項目についても作業を進める.高い優先度で取り組む項目としては,まず,ソフトウェア工学の技術によるマルウェアの安定的実行について,シンボリック実行やfuzzingなどの定評の高い既存技術の適用がある.例えば,シンボリック実行を利用すれば,攻撃活動を開始させるためにどのような実行環境と入力データを与えればよいかをある程度自動的に求められる可能性がある.また,FarFutureの技術の拡張による,マルウェアによる解析妨害への対策技術についても取り組んでいきたい.この研究項目については,着手を予定していたがほとんど着手できていない状態である,この技術をうまく実現できれば,マルウェアの挙動をできるだけ変えないようにしながらも無駄な処理を効率的にスキップすることなどができるようになり,マルウェアによるスリープなどの無駄な処理を用いた解析回避処理を,かなりの割合で無効化や緩和できることになる.また,ソフトウェア工学の技術による破損マルウェアの理解と復元についても,プログラムファイルの自動修復,クラッシュデータ解析,fuzzy hashingなどの定評ある既存技術の適用を検討する.推定結果とマルウェアデータベースを組み合わせて欠損や改変の部分を復元し,精度のさらなる向上や,実行に失敗していたマルウェアの実行に役立てることも,挑戦的なテーマではあるが方法論を考えていく.萌芽的な成果が出ている他の研究項目,たとえば画像ベースのマルウェア分類と検知や,IoTデバイスなどの非Windows非Intelアーキテクチャのデバイスにおけるマルウェアの理解や分類についても,前年度までの成果を発展させ,国際会議での発表や論文誌への論文掲載を目指す.
|
| Causes of Carryover |
年間を通じて出張が制限されており,参加を予定していた学会に参加ができないケースが多発した.加えて,研究に必要な開発作業や実験作業についても,入構や勤務形態に関して学生や教員に課された制限などにより,当初計画から大幅に変更された.これらを考慮して,研究作業の一部を次年度以降に移動させた結果,次年度使用額も生じることとなった.
|
