| Item type |
Symposium(1) |
| 公開日 |
2024-10-15 |
| タイトル |
|
|
言語 |
ja |
|
タイトル |
シンボリック実行による解析環境検知マルウェアの解析手法改善 |
| タイトル |
|
|
言語 |
en |
|
タイトル |
Improvement of Methods for Analysing Environment-Sensitive Malware Using Symbolic Execution |
| 言語 |
|
|
言語 |
jpn |
| キーワード |
|
|
主題Scheme |
Other |
|
主題 |
マルウェア,シンボリック実行,解析環境検知,angr |
| 資源タイプ |
|
|
資源タイプ識別子 |
http://purl.org/coar/resource_type/c_5794 |
|
資源タイプ |
conference paper |
| 著者所属 |
|
|
|
名古屋工業大学 |
| 著者所属 |
|
|
|
名古屋工業大学 |
| 著者所属 |
|
|
|
名古屋工業大学 |
| 著者所属(英) |
|
|
|
en |
|
|
Nagoya Institute of Technology |
| 著者所属(英) |
|
|
|
en |
|
|
Nagoya Institute of Technology |
| 著者所属(英) |
|
|
|
en |
|
|
Nagoya Institute of Technology |
| 著者名 |
加藤, 俊樹
掛井, 将平
齋藤, 彰一
|
| 著者名(英) |
Toshiki, Kato
Shohei, Kakei
Shoichi, Saito
|
| 論文抄録 |
|
|
内容記述タイプ |
Other |
|
内容記述 |
マルウェアの一部は解析環境検知機能を持ち,これに対抗するにはその条件を特定することが重要である.その手法としてシンボリック実行があるが,精度に課題がある.精度低下の原因には,Windows APIのシミュレーションと探索手法が挙げられる.シンボリック実行では,解析負荷軽減のためにDLLをロードせずに各関数を模擬する関数を実装しているが,模擬関数がない場合には返り値にシンボル値を設定するのみである.したがって,シミュレーションの課題として模擬関数がない場合に返り値以外の条件抽出が不十分となることが挙げられる.また,探索手法の課題としては,短い経路の条件を優先的に抽出するため,詳細な検知回避条件が見落とされる場合があることが挙げられる.本論文では,これらの課題解決のために,まず,模擬関数がない場合のシミュレーションに関して,各Windows APIの個別対応から判明した引数へのシンボル値設定や引数が関数の場合の関数呼び出し処理を共通処理として拡張することを提案する.また,検知回避条件を反転して再解析することで,詳細な条件を抽出する手法を提案する.これら提案によって,マルウェア対策の精度と効率の向上を目指す. |
| 論文抄録(英) |
|
|
内容記述タイプ |
Other |
|
内容記述 |
Some malware has an analysis environment detection function. It is essential to identify the conditions for such detection to counter it. Symbolic execution is one such method, but its accuracy has been challenged. The accuracy degradation stems from the simulation and search methods of Windows APIs. In symbolic execution, each function is simulated without loading the DLL to reduce the analysis load. However, only the return value is set symbolically without a simulated function, leading to insufficient condition extraction. Additionally, the search method sometimes cannot detect detailed detection evasion conditions because it prioritizes shorter paths. We propose two approaches to address these issues. For simulations without individual simulated functions, it suggests setting symbolic values for arguments and handling argument calls based on individual Windows API analysis. It also proposes extracting detailed conditions by inverting and reanalyzing detection evasion conditions. These approaches aim to improve the accuracy and efficiency of anti-malware countermeasures. |
| 書誌情報 |
コンピュータセキュリティシンポジウム2024論文集
p. 1172-1179,
発行日 2024-10-15
|
| 出版者 |
|
|
言語 |
ja |
|
出版者 |
情報処理学会 |
IPSJ-CSS2024157.pdf (476.9 kB)
