2013 Fiscal Year Annual Research Report
仮想計算機モニタを用いたシステムコールレベルのマルウェア動的解析とその自動化
| Project/Area Number |
23500101
|
|---|
| Research Institution | Ritsumeikan University |
|---|
Principal Investigator |
毛利 公一 立命館大学, 情報理工学部, 准教授 (90313296)
|
|---|
| Keywords | マルウェア解析 / コンピュータセキュリティ / ネットワークセキュリティ / 仮想化技術 / オペレーティングシステム / エンドポイントセキュリティ / システムコールトレース |
|---|
| Research Abstract |
平成25年度は,(1)ログの自動解析手法の確立,(2)マルウェア解析機構の評価,の実施を計画していた.以下,それぞれについての実績を記すとともに,追加で実施された研究内容について記す.
(1)では,マルウェアが発行するシステムコールのトレース結果を解析するツール群を開発することで目的を達成した.これまでに,次のような機能を有するツールを作成した.(a)シンプルなログ表示,(b)プロセスやスレッドの親子関係を表示,(c)ファイルアクセス・レジストリアクセスのみを表示,(d)自動起動を設定する挙動の表示,(e)ネットワーク通信内容を表示.
(2)では,マルウェア解析に関する有用性評価,耐解析機能を有するマルウェアを解析できるかの機能評価,オーバヘッドなど性能評価の3点から評価を実施した.有用性評価では,これまで約40種類のマルウェア検体を解析し,その結果が既に公表されている解析結果と比較し,同様の結果が得られていることを確認した.機能評価では,耐解析機能のほとんどにおいて我々の手法が有効であることを示した.性能評価でも実機上で動作させた場合と比較して80%程度の速度で動作することを確認した.
以上の2点については,現在論文としてまとめて執筆を完了し,投稿中である.また,上記に加え,マルウェアが利用したAPI(ライブラリ)をスタックトレースにより割り出して,それを記録する機能も実現した.これにより,よりマルウェアの意図をつかみやすくなった.また,ソフトウェアのセキュリティホールを突いているログを解析する場合では,どのメモリ領域に攻撃用コードが存在するかを特定しやすくなった.スタックはユーザ領域にあるため,システムコールと比較すると信頼度は低い.しかし,それを信頼しても良い場合も多く有用である.改ざん等が行われていた場合でも,従来通りシステムコールによる解析が可能である.
|
