@inproceedings{oai:ipsj.ixsq.nii.ac.jp:00214538,
 author = {鈴木, 克弥 and 大山, 恵弘 and Katsuya, Suzuki and Yoshihiro, Oyama},
 book = {コンピュータセキュリティシンポジウム2021論文集},
 month = {Oct},
 note = {マルウェアの多くは，セキュリティシステムによる解析を回避しようとする処理（解析回避処理）を行う．McAfee Labsの 2017 年の脅威レポートによると，解析回避処理のうち約 23.3% がサンドボックスを回避する技術を使用している．サンドボックス回避技術の 1 つに，CPU サイクル数やスリープを用いたタイミング攻撃が存在するが，既存のオープンソースのサンドボックスの多くは対策をしていない．そこで本研究では，動的バイナリ計装を使用してタイミング攻撃を回避するシステム SleepHop を提案し，その有効性を実験により検証する．具体的には，CPU サイクル数を用いたタイミング攻撃には偽装したサイクル数を返すようにし，スリープを用いたタイミング攻撃にはスリープをスキップし，経過時間の偽装をするという方針を取る．SleepHop を DBI システムのプラグインとして実装し，タイミング攻撃を実装した仮想的なマルウェアと解析回避処理の PoC プログラムである Pafish をターゲットとして評価実験を行った．実験の結果，タイミング攻撃のほとんどを回避することが出来た．, Many malware execute operations for evading analysis by security systems. According to McAfee Labs' 2017 threat report, about 23.3% of analysis evasion processes use anti-sandbox techniques. One of the anti-sandbox techniques is timing attack using the number of CPU cycles or sleep, but most of the existing open source sandboxes do not provide any countermeasures. In this paper, we propose SleepHop, a system that prevents timing attacks using a dynamic binary instrumentation, and verify its effectiveness through experiments. Specifically, SleepHop returns a fake value for timing attacks using the number of CPU cycles, and skips sleep and fakes the elapsed time for timing attacks using sleep. We implemented SleepHop as a plug-in for the DBI system, and conducted evaluation experiments targeting a hypothetical malware that implements timing attacks and Pafish, a PoC program for analysis evasion processes and verified that SleepHop was able to prevent most of the timing attacks.},
 pages = {1029--1036},
 publisher = {情報処理学会},
 title = {SleepHop: 動的バイナリ計装によるマルウェアのタイミング攻撃の無効化},
 year = {2021}
}