| 研究課題/領域番号 |
17K00179
|
|---|
| 研究機関 | 筑波大学 |
|---|
研究代表者 |
大山 恵弘 筑波大学, システム情報系, 准教授 (10361536)
|
|---|
| 研究期間 (年度) |
2017-04-01 – 2020-03-31
|
| キーワード | マルウェア / IoT / 耐解析処理 / 仮想化 / サンドボックス |
|---|
| 研究実績の概要 |
マルウェアが自身の解析を妨害するために実行する処理(耐解析処理)を明らかにする研究を引き続き遂行した.第一に,IoT向けデバイスとして広く普及しているRaspberry Piを対象に,マルウェアが実行する可能性がある耐解析処理の脅威の度合いを評価した.まず,通常のPC上にRaspberry Pi環境を仮想的に実現するソフトウェアを利用し,仮想的な環境と実際の環境におけるプログラムの挙動の違いを観測した.その結果をもとに,ハイパバイザ検出やデバッガ検出を実行するプログラムを実装し,実験を行った.行った実験のうちOS基本処理の実行時間を用いた検出については学会で発表した.コンテキストスイッチの挙動を用いる検出については現在論文にまとめている.第二に,20万以上のマルウェア検体に静的解析を適用し,マルウェアが実行する特定の解析回避処理の傾向を分析した.具体的にはそれはRDTSCという高精度時刻を取得するCPU命令を用いる処理である.この分析により,マルウェアが実行時間を計測する処理の多くを解明することができた.また,耐解析処理の効果を減じるために解析システムに組み込める機能も評価した.この成果は国際会議に投稿中である.第三に,時間の流れを意識するマルウェアによる解析回避処理に対抗するためのシステムの構築手法を考案し,プロトタイプシステムによって有効性を示した.具体的には,OSの見かけ上の時間の流れを非常に速くまたは遅くすることをできるようにするシステムの設計と実装を示した.この成果は既に学会で発表された.第四に,動的ライブラリ関数の解決に関する挙動を利用してマルウェアの検知や分類を行う手法を提案した.多くの従来手法にはライブラリ関数に関する静的な情報を用いるものが多かったが,本手法では,実行時の関数解決に関する挙動を用いている点で独自性がある.この成果は既に学会で発表された.
|
| 現在までの達成度 (区分) |
現在までの達成度 (区分)
2: おおむね順調に進展している
理由
Raspberry Piを主な対象として耐解析処理の解明は順調に進んでいる.まず,当初計画に挙げていたハイパバイザを検出するプログラム,デバッガを検出するプログラム,デバイスやOSを特定するfingerprinting処理を実行するプログラムなどについては,開発が一定の段階まで進み,評価実験ができている.そのプログラムでは,自身のプロセストレースの検出,Dockerなどのコンテナ仮想化機構の検出,cgroupsなどを用いた隔離環境の検出,OSの統計情報やプロセスリスト情報からの隔離環境の検出などが実現できている.動的解析を困難化する機構についても順調に研究が進んでいる.その代表的な機構として,処理の実行時間の異常を検出して自身の実行を終了させる機構がある.マルウェアが処理の実行時間を把握する際にはRDTSC命令の組がよく用いられるが,本研究ではそのような組で実現されるプログラムを分析し,その傾向や主な対策の有効性について多くのことを明らかにした.別の代表的な機構である長時間のスリープに関しても研究を進め,成果をまとめた論文は論文誌に掲載された.Raspberry PiではCPUにARMが採用されており,OSにRaspbianが用いられることが多いが,それらの特性についてもかなり理解が進んだ.また,仮想的にRaspberry Piを実現した環境についても多くの知識を蓄積しつつあり,実際の環境との違いを効率的に調べるためのノウハウも集まってきている.年度の後半は特にARMおよびRaspbian上でのコンテキストスイッチの挙動について大幅に理解が進んだ.他の種類の耐解析処理である,挙動の複雑化とランダム化,ダミー処理の実行に関しては,調査は進んでいるものの,対策手法の構築と評価には至っていない.これらは根本的な解決が難しい問題であり,解決が可能なのかどうかすら不明確である.
|
| 今後の研究の推進方策 |
研究は順調に進んでいるため,今後も計画に沿って推進していく.マルウェアが実行する耐解析処理については,今後も継続的に分析を続ける.Raspberry Pi環境で実行可能な耐解析処理については,その脅威を示す実験と,その対策技術の構築をさらに進める.時間に関連する耐解析処理の解明も進める.特に,長時間のスリープ,RDTSC命令などの直接的な手段を利用した処理の実行時間の把握,マルチスレッドの競合などの間接的な手段を利用した実行時間の把握については今後も調査や分析を続ける.現状の分析とともに,マルウェアの動的解析を高速化し,耐解析処理を無力化していくための新しい対策手法を提案する研究にも注力していく.挙動の複雑化とランダム化,ダミー処理の実行への対策は野心的なテーマであるが,取り組みを続ける.マルウェアの動的解析を高速化する手法については,複数の実現アイデアがすでに出ている.それらのうち特に効果的と思われるいくつかを実装,評価し,有効性を実証する.研究は最終年度に入るため,それまでの研究成果をまとめて他の研究者が利用しやすくする作業も行う.具体的には,得られた知見の概要を平易に説明する資料を作成したり,開発されたソフトウェアを公開することを計画している.少数ではなく多数のIoTマルウェアの検体を収集することは未だに実現できておらず,それが今後の課題となっている.今後,ハニーポットの構築や研究者間での検体交換などの別の手段と組み合わせてさらに多くのマルウェアを収集する必要性は認識している.しかし,発想を転換して,検体が少ない,または,ないという状況下でもインパクトを出せる研究テーマにシフトしていくことも有効である可能性があり,様々な研究の展開方法を検討していく.
|
| 次年度使用額が生じた理由 |
研究者が勤務する部局における当該年度の業務の都合により,当該年度に行う予定だった情報収集や成果発表のための出張を,次年度以降に行うようにした.また,研究の進展に伴い,謝金が必要となる作業が不要となり,取りやめることになった.それにより,次年度使用額が生じた.その額は,次年度以降に回した出張や成果の取りまとめにおいて使用していくことを計画している.
|
