2022 Fiscal Year Research-status Report
耐解析機能を逆用したマルウェアの活動抑制システムに関する研究開発
| Project/Area Number |
22K12037
|
|---|
| Research Institution | Nara Women's University |
|---|
Principal Investigator |
瀧本 栄二 奈良女子大学, 情報基盤センター, 准教授 (90395054)
|
|---|
| Project Period (FY) |
2022-04-01 – 2026-03-31
|
| Keywords | 情報セキュリティ / マルウェア / EDR |
|---|
| Outline of Annual Research Achievements |
2022年度は,マルウェアのアンチデバッグ機能を逆用する技術として,アプリケーション起動時にデバッグを自動生成しアタッチする機構を開発した.本機構はWindowsオペレーティングシステムのドライバ,デバッガ生成サーバ,軽量デバッガとして構成され,アプリケーション起動を検知すると起動を一時的に停止し,デバッガ生成サーバに通知して軽量デバッガを生成し該当アプリケーションにアタッチしたのちに起動処理を再開させるものである.これにより,アプリケーションに制御が移行するまでにデバッガがアタッチされており,その結果当該アプリケーション(マルウェアの場合)がアンチデバッグを行うとアタッチ済みデバッガが検知され,最終的にマルウェアが解析妨害のために動作停止するよう仕向けることができる.当初の実装ではオーバヘッドが課題であったが,軽量デバッガの改良等により,多数のアプリケーションが実行されてもメモリ消費量・CPU使用量を大幅に軽減することができた.
また,効果範囲は狭いがより低オーバヘッドでアンチデバッグを逆用する手法として,プロセス管理領域のデバッガの有無を表すフラグを書き換える手法を考案し,その基本的な性能評価を終えた.その結果,デバッガを用いないため上記デバッガを用いた手法と比較してさらに低オーバヘッドでの実行ができることを確認した.さらに,IoTデバイスに多く利用される組込みLinuxを対象としたアンチ仮想化機能を逆用する手法の基礎検討を行い,逆用可能であることを確認した.
|
| Current Status of Research Progress |
Current Status of Research Progress
1: Research has progressed more than it was originally planned.
Reason
当初計画では主にマルウェアのアンチデバッグを逆用する手段として独自のデバッガを自動的にアタッチする手法の完成を目標としていたが,低オーバヘッドな仕組みの導入まで達成できた.
また,2年目以降の予定であったアンチ仮想化の逆用の基礎検証ができたこと,およびアンチデバッグを逆用する新たな手法についても考案と基本的な実装ができたことから,計画以上に進展していると判断する.
|
| Strategy for Future Research Activity |
現状のデバッガを使用した手法は,低オーバヘッド化を施したもののこれ以上のオーバヘッド削減を見込むことは困難である.一方で,今年度検討した新しい手法はほぼオーバヘッド無しで限定的ではあるが同様の効果が見込める.次年度は後者の手法をブラッシュアップした上で,ユーザの要求に応じて使い分けれるようにしていく.
また,実用化を考慮し,監視対象アプリケーションの指定方法などの実用面での検討も行う.
|
| Causes of Carryover |
今年度より所属が変わっており,人件費・謝金を支払う予定であった所属学生が0名となり支出がなくなった.それにともない,学生に使用させる機器が当面無用となったため,購入を先延ばしにしたことが原因である.
ともに次々年度から改善予定であるため,その際に使用する予定である.
|
