2023 Fiscal Year Research-status Report
Advanced Malware Analysis that Aggressively Modifies Malware Programs
| Project/Area Number |
23K11096
|
|---|
| Research Institution | University of Tsukuba |
|---|
Principal Investigator |
大山 恵弘 筑波大学, システム情報系, 准教授 (10361536)
|
|---|
| Project Period (FY) |
2023-04-01 – 2026-03-31
|
| Keywords | マルウェア / マルウェア解析 / セキュリティ / 動的解析 |
|---|
| Outline of Annual Research Achievements |
マルウェアプログラムの積極的改変によって特徴や動作をより良く理解するマルウェア解析技術の構築に取り組み,一定の進展を得た.具体的には,まず,過去の実行の記録を用いた架空のAPIコール列の自動生成に取り組み,多くの知見を得た.マルウェアの検知や分類のために,マルウェアが呼び出したAPIコール列がしばしば利用されている.しかし,APIコール列の学習において,APIコール列の数が不足し判断の精度が下がるという問題が生じることがある.また,それらのためのシステムの開発やテストにおいて,サンプルデータとして多くのAPIコール列を必要とすることがある.そこで,マルウェアの過去のAPIコール列から特徴を抽出し,それらに似たAPIコール列を自動生成する手法を構築した.その手法はLinux用のシステムFaketraceとしてプロトタイプ実装された.本システムを利用して実際に生成したAPIコール列の例や統計情報は研究報告にまとめ,研究会で発表した.さらに,RISC-V Zicfilp拡張に対応したバイナリを生成するシステムを構築し,lpad命令の有効性を評価する研究を行った.これは,研究対象をRISC-Vに広げる布石として位置づけられる.また,Pythonマルウェアを効果的に分類,検知するための手法を提案する研究も行った.この手法ではPythonプログラムから特徴を抽出し,それを機械学習で学習して良性と悪性を区別するモデルを作成する.実在するPythonマルウェアを収集し,それらを良性のPythonソフトウェアとの間で良性と悪性に分類する実験を行った.その結果,提案手法がある程度高い精度でそれらを分類できることがわかった.これらの成果はRISC-VやPythonといった,マルウェアにとっての比較的新しいプラットフォームでも有用な知見を収集する観点から意義のあるものである.
|
| Current Status of Research Progress |
Current Status of Research Progress
2: Research has progressed on the whole more than it was originally planned.
Reason
マルウェアプログラムの積極的改変によって特徴や動作をより良く理解するマルウェア解析技術の構築に関して,一定の進捗を得ている.現在,多くのマルウェアで複雑化や解析回避機能導入により特徴や動作の把握が困難になっているという問題がある.本研究では特に,解析側が様々な改変をマルウェアのプログラムに施した上で解析を適用する手法や,マルウェアの過去の動作を組み合わせて架空の新しいマルウェアの動作を生成する手法に取り組んだ.対象として想定しているのは,具体的には,早期に実行を終了するマルウェア,自身が解析されているかを検査するマルウェア,破損していて解析や実行に失敗するマルウェアなどである.研究実績の概要で述べたように,現段階ですでに,架空のAPIコール列の自動生成,RISC-V Zicfilp拡張に対応したバイナリの生成,Pythonマルウェアを効果的に分類,検知するための手法の提案といったテーマで一定の成果を得ている.
|
| Strategy for Future Research Activity |
今後は以下の課題を意識して研究を推進する.
第一に,マルウェアの安定的実行を実現する要素技術を構築する.マルウェア解析でよく問題になるのが,マルウェアの早期の実行終了や長時間の停止である.原因の1つは,マルウェアに存在するバグなどの欠陥である.早期の実行終了はしばしば例外の発生によりもたらされる.例外に対して特殊な処理を施し,早期実行終了を回避すれば,挙動をより深く理解できる可能性がある.本研究では,例外を発生させるマルウェアの実行を強制的に継続させる技術の適用を検討する.並行して,スリープなどの無駄な処理を用いた解析妨害への対策技術の開発も検討する.
第二に,マルウェアの解析回避機能を無効化する要素技術を構築する.早期の実行終了や長時間停止の他の主な原因は,解析回避機能による自身の解析の検知である.最近のマルウェアの多くは,自身の実行環境が解析用環境と判断したら解析を妨害する処理を実行する.また,攻撃活動の開始を意図的に遅らせるマルウェアも存在する.今後,マルウェアの積極的改変によってこれらを無効化する手法を設計,実装していく.
第三に,破損マルウェアの理解を深める要素技術を構築する.マルウェア解析での別の重要な問題はマルウェアの破損への対処である.マルウェア解析では通常,最初にプログラムのファイルからコードやデータを抽出する.しかし現在では,一部のマルウェアでコードやデータの情報の抽出に失敗する.原因としては,マルウェアが破損して内部構造が異常になっていることが挙げられる.本研究では,破損したマルウェアを収集または自動生成し,それらを解析して取得できる情報を調査するとともに,失われた情報を復元する手法の構築も検討する.
最終的にはマルウェアの積極的改変技術により,マルウェアの安定的実行,解析機能の無効化,破損マルウェアの動作の理解などの技術を進展させることを目指す.
|
| Causes of Carryover |
今年度,研究代表者は自身の体調の変化により,出勤できない,もしくは出勤してもほとんど業務ができない状態に多数回陥った.その結果,購入を予定していた物品を購入できないことや,参加を予定していた学会に参加できないことが多発した.加えて,研究に必要な開発や実験の作業についても,当初計画から変更された.研究作業,学会参加,物品購入などの一部を次年度以降に移動させた結果,次年度使用額も生じることとなった.
|
