@techreport{oai:ipsj.ixsq.nii.ac.jp:00207945,
 author = {原田, 隆成 and 鄭, 俊俊 and 毛利, 公一 and Ryusei, Harada and Junjun, Zheng and Koichi, Mouri},
 issue = {19},
 month = {Nov},
 note = {マルウェアの動的解析において，マルウェアによってダウンロードされたり書き込まれたファイル，および削除されたファイルを取得することで一連の攻撃の流れを解析することができるようになる．攻撃対象としては，Windows だけでなく，Linux を標的としたマルウェアも重要であるが，Linux マルウェアの動的解析システムにおいて，十分な解析能力を有し，かつファイルの保存機能を備えたものは存在しない．そこで我々は，広く使われているオープンソースの動的解析システムである Cuckoo Sandbox の Linux ゲストに対し，既に実装されているカーネル空間でのシステムコールトレースを拡張する形で新たにファイル保存機能を実装した．これにより，Linuxマルウェアがダウンロードや書き込みを行ったファイル，永続化のために書き換えられた設定ファイル，攻撃の証拠隠滅のために削除されたファイルを取得できることを確認した．また，HiddenWasp を用いた動作検証により実際のマルウェア解析における提案手法の有効性についても確認した．, In the dynamic analysis of malware, it is possible to analyze a series of attacks by obtaining the files that are downloaded, written or deleted by the malware. Like Windows, Linux also becomes a common attack target of malware so that the analysis of Linux malware is important. However, the existing dynamic analysis systems for Linux malware have no sufficient analysis capability and in particular a file saving function. Therefore, in this paper, we have implemented a new file saving mechanism for Linux guests of Cuckoo Sandbox, which is a widely used open-source dynamic analysis system, by extending the already-implemented system call trace in the kernel space. We confirmed that it is possible to obtain the files that were downloaded or written by Linux malware, the configuration files that were modified to persist, and the files that were deleted to destroy evidence of the attack. In addition, the effectiveness of the proposed approach in actual malware analysis was validated through operational verification with HiddenWasp.},
 title = {Linuxゲスト向けCuckoo Sandboxへのファイル保存機能の実現},
 year = {2020}
}