| Item type |
Symposium(1) |
| 公開日 |
2021-10-19 |
| タイトル |
|
|
タイトル |
スクリプト実行環境に対する実行遅延・実行停止を回避する機能の自動付与手法 |
| タイトル |
|
|
言語 |
en |
|
タイトル |
Automatically Appending Execution Stall/Stop Prevention to Vanilla Script Engines |
| 言語 |
|
|
言語 |
jpn |
| キーワード |
|
|
主題Scheme |
Other |
|
主題 |
悪性スクリプト,実行遅延・実行停止,経路強制実行,動的解析,機能拡張 |
| 資源タイプ |
|
|
資源タイプ識別子 |
http://purl.org/coar/resource_type/c_5794 |
|
資源タイプ |
conference paper |
| 著者所属 |
|
|
|
NTT社会情報研究所/東京大学生産技術研究所 |
| 著者所属 |
|
|
|
NTT社会情報研究所 |
| 著者所属 |
|
|
|
NTT社会情報研究所 |
| 著者所属 |
|
|
|
NTT社会情報研究所 |
| 著者所属 |
|
|
|
東京大学生産技術研究所 |
| 著者所属(英) |
|
|
|
en |
|
|
NTT Social Informatics Laboratories / Institute of Industrial Science, The University of Tokyo |
| 著者所属(英) |
|
|
|
en |
|
|
NTT Social Informatics Laboratories |
| 著者所属(英) |
|
|
|
en |
|
|
NTT Social Informatics Laboratories |
| 著者所属(英) |
|
|
|
en |
|
|
NTT Social Informatics Laboratories |
| 著者所属(英) |
|
|
|
en |
|
|
Institute of Industrial Science, The University of Tokyo |
| 著者名 |
碓井, 利宣
幾世, 知範
川古谷, 裕平
岩村, 誠
松浦, 幹太
|
| 著者名(英) |
Toshinori, Usui
Tomonori, Ikuse
Yuhei, Kawakoya
Makoto, Iwamura
Kanta, Matsuura
|
| 論文抄録 |
|
|
内容記述タイプ |
Other |
|
内容記述 |
マルウェアの動的解析を妨げる要因に,不要な命令の繰り返しによる実行の遅延や,例外による実行の停止がある.これらは,機械語形式のマルウェアでは,実行命令や実行状態を監視し,発生箇所を検出してスキップすることで回避できる.しかし,スクリプト形式のマルウェアでは,言語やエンジンごとに,未知のバイトコードの解析や仮想機械の監視の必要が生じるため,実現が困難である.この問題を解決するため,本研究では,スクリプトエンジンに,実行遅延および実行停止を回避する機能を自動付与する手法を提案する.提案手法では,仮想機械を解析して,実行状態の監視と制御を可能にするとともに,命令セットアーキテクチャを解析して,未知のバイトコードに対しても,制御フローグラフおよびコールグラフを構築可能にする.これらに基づいて,実行遅延・実行停止の発生箇所を検出してスキップする仕組みを付与する.これを Lua と VBScript のエンジンに適用し,本手法の解析結果が正しいことを確認した.さらに,実行遅延・実行停止を引き起こす 286 検体のうち 199 検体に対して,従来の解析環境では観測できない新たな挙動を観測できることを確認した. |
| 論文抄録(英) |
|
|
内容記述タイプ |
Other |
|
内容記述 |
Malware widely uses an anti-analysis technique that stalls/stops execution with exceptions and unnecessary loops during analysis. This is generally prevented by detecting and skipping execution stall/stop based on the observation of executed instructions and execution context. However, for malicious scripts, developing such a mechanism is difficult because it requires observation of unknown virtual machines (VMs) with unknown instructions and construction of CFGs/CGs. To address this problem, in this paper, we propose an approach that automatically appends execution stall/stop prevention to vanilla script engines. It first analyzes the target script engine VM for observing and controlling its execution context. It then analyzes the instruction set architecture of the VM for building a control-flow graph with unknown bytecode. With these steps, it appends the code that detects and skips the execution stall/stop. Through the experiments, we proved that our approach could indeed prevent the anti-analysis technique. |
| 書誌情報 |
コンピュータセキュリティシンポジウム2021論文集
p. 794-801,
発行日 2021-10-19
|
| 出版者 |
|
|
言語 |
ja |
|
出版者 |
情報処理学会 |
IPSJCSS2021107.pdf (679.3 kB)
