@inproceedings{oai:ipsj.ixsq.nii.ac.jp:00240900,
 author = {松澤, 輝 and 久保, 颯汰 and インミン, パパ and 田辺, 瑠偉 and 吉岡, 克成 and Hikaru, Matsuzawa and Sota, Kubo and Yin, Minn Pa Pa and Rui, Tanabe and Katsunari, Yoshioka},
 book = {コンピュータセキュリティシンポジウム2024論文集},
 month = {Oct},
 note = {マルウェアのサンドボックス解析では，サンドボックスと呼ばれる隔離された環境内で検体を実行することで，その挙動を詳細に分析することが可能である．しかし，マルウェアの一部には，サンドボックス環境とユーザ環境を判別し，サンドボックス環境の場合には本来の挙動を隠蔽することで解析の回避を試みるものが存在する．そのようなマルウェアは回避型マルウェアと呼ばれ，サンドボックス解析システムにおいては回避型マルウェアに対する耐性を向上することが求められる．また，近年の機械学習技術の発展に伴い，マルウェア生成における大規模言語モデル（LLM）の悪用が懸念されており，実際に，マルウェアの生成にLLMが応用できることが既に知られている．加えて，LLMを用いたマルウェアのソースコードの書き換えがアンチウイルス製品の回避に影響を与えることを示す研究が行われており，今後はサンドボックス解析システムに対する回避型マルウェアの生成にもLLMが利用される可能性がある．そこで本研究では，そのような回避型マルウェアの生成におけるLLMの応用性，並びに，サンドボックス解析システムの回避耐性の向上のための評価に焦点を当てた．複数の回避技術を対象に，そのソースコードをLLMを用いて書き換えることで多数の回避型マルウェア検体を生成し，それらの亜種検体がサンドボックス解析の結果に与える影響を調査した．, Sandbox analysis enables detailed examination of malware behavior by executing malware samples within an isolated environment known as a sandbox. However, certain malware can evade analysis by distinguishing between a sandbox environment and a user environment, concealing its true behavior when executed in a sandbox. This type of malware is referred to as evasive malware, and it necessitates the enhancement of resistance in sandbox analysis systems. Moreover, with the advancement of machine learning technologies, there is growing concern over the misuse of large language models (LLMs) in malware generation. It has already been demonstrated that LLMs can be applied to create malware. Additionally, research indicates that modifying malware source code using LLMs can influence the evasion of antivirus products. This raises the possibility that LLMs could also be used in the future to generate evasive malware designed to bypass sandbox analysis systems. In this study, we focus on the applicability of LLMs in generating such evasive malware and evaluate methods for improving the resistance of sandbox analysis systems. We generated numerous variants of evasive malware samples by rewriting the source code of various evasion techniques using LLMs and examined the impact of these variants on the existing malware sandbox.},
 pages = {1148--1155},
 publisher = {情報処理学会},
 title = {LLMを用いて作成した解析回避検体がサンドボックス解析に与える影響の調査},
 year = {2024}
}