WEKO3
アイテム
Linuxファイルレスマルウェア検知手法に対するeBPFを用いた回避手法の提案とその対策
https://ipsj.ixsq.nii.ac.jp/records/240901
https://ipsj.ixsq.nii.ac.jp/records/24090126efdb56-8817-49e4-8cf6-70014453de60
| 名前 / ファイル | ライセンス | アクション |
|---|---|---|
IPSJ-CSS2024155.pdf (362.1 kB)
2026年10月15日からダウンロード可能です。
|
Copyright (c) 2024 by the Information Processing Society of Japan
|
|
| 非会員:¥660, IPSJ:学会員:¥330, CSEC:会員:¥0, SPT:会員:¥0, DLIB:会員:¥0 | ||
| Item type | Symposium(1) | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|
| 公開日 | 2024-10-15 | |||||||||
| タイトル | ||||||||||
| 言語 | ja | |||||||||
| タイトル | Linuxファイルレスマルウェア検知手法に対するeBPFを用いた回避手法の提案とその対策 | |||||||||
| タイトル | ||||||||||
| 言語 | en | |||||||||
| タイトル | Proposal of eBPF-based Evasion Methods Against Detection of Linux Fileless Malware and Their Countermeasures | |||||||||
| 言語 | ||||||||||
| 言語 | jpn | |||||||||
| キーワード | ||||||||||
| 主題Scheme | Other | |||||||||
| 主題 | eBPF,ファイルレスマルウェア,Linux,検知回避 | |||||||||
| 資源タイプ | ||||||||||
| 資源タイプ識別子 | http://purl.org/coar/resource_type/c_5794 | |||||||||
| 資源タイプ | conference paper | |||||||||
| 著者所属 | ||||||||||
| 金沢大学 | ||||||||||
| 著者所属 | ||||||||||
| 金沢大学 | ||||||||||
| 著者所属(英) | ||||||||||
| en | ||||||||||
| Kanazawa University | ||||||||||
| 著者所属(英) | ||||||||||
| en | ||||||||||
| Kanazawa University | ||||||||||
| 著者名 |
高林, 裕太
× 高林, 裕太
× 満保, 雅浩
|
|||||||||
| 著者名(英) |
Yuta, Takabayashi
× Yuta, Takabayashi
× Masahiro, Mambo
|
|||||||||
| 論文抄録 | ||||||||||
| 内容記述タイプ | Other | |||||||||
| 内容記述 | ファイルレスマルウェアはメモリ上にペイロードを配置するため,検知やフォレンジックが困難である.近年ではLinuxをターゲットとした検体も確認されており,その対策として複数の検知手法が考案されている.しかし,こうした検知手法は感染端末に用意されたコマンドやファイルに依存しており,それらが改ざんされた場合を考慮していない.たとえばLinuxに存在するeBPFという技術を悪用することで,システムコールやネットワークパケットの改ざんが可能である.そこで本論文では,現在考案されているLinuxファイルレスマルウェアの検知手法に対して,eBPFを用いた検知回避手法を提案し,実装を通してその実現性を示す.さらに,提案した検知回避手法に対する防御策についても考察を行い,既存の検知手法の堅牢性を向上させる手法を示す. | |||||||||
| 論文抄録(英) | ||||||||||
| 内容記述タイプ | Other | |||||||||
| 内容記述 | It is difficult to detect and analyze fileless malware because its payload resides in memory. Recently, samples of fileless malware have been found on Linux and several detection methods have been proposed to detect them. However, these detection methods rely on commands and files provided on the infected computer and do not consider potential tampering with them. For example, we can tamper with system calls and network packets by using ``eBPF'', a technology available on Linux. In this paper, we propose eBPF-based evasion methods against existing detection methods for Linux fileless malware, and show these feasibilities through implementation. In addition, we also discuss countermeasures against the proposed evasion methods and improve robustness of the existing detection methods. | |||||||||
| 書誌情報 |
コンピュータセキュリティシンポジウム2024論文集 p. 1156-1163, 発行日 2024-10-15 |
|||||||||
| 出版者 | ||||||||||
| 言語 | ja | |||||||||
| 出版者 | 情報処理学会 | |||||||||
