WEKO3
アイテム
シンボリック実行の動作ログを用いたマルウェアの耐解析機能無効化手法の提案
https://ipsj.ixsq.nii.ac.jp/records/240904
https://ipsj.ixsq.nii.ac.jp/records/2409042f672ed1-ce43-40af-8dc0-a77d4fd328a1
| 名前 / ファイル | ライセンス | アクション |
|---|---|---|
IPSJ-CSS2024158.pdf (834.9 kB)
2026年10月15日からダウンロード可能です。
|
Copyright (c) 2024 by the Information Processing Society of Japan
|
|
| 非会員:¥660, IPSJ:学会員:¥330, CSEC:会員:¥0, SPT:会員:¥0, DLIB:会員:¥0 | ||
| Item type | Symposium(1) | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|
| 公開日 | 2024-10-15 | |||||||||
| タイトル | ||||||||||
| 言語 | ja | |||||||||
| タイトル | シンボリック実行の動作ログを用いたマルウェアの耐解析機能無効化手法の提案 | |||||||||
| タイトル | ||||||||||
| 言語 | en | |||||||||
| タイトル | Disabling Malware Anti-Analysis Functions by Using Symbolic Execution Operation Logs | |||||||||
| 言語 | ||||||||||
| 言語 | jpn | |||||||||
| キーワード | ||||||||||
| 主題Scheme | Other | |||||||||
| 主題 | マルウェア解析,シンボリック実行,パッチ生成,耐解析機能 | |||||||||
| 資源タイプ | ||||||||||
| 資源タイプ識別子 | http://purl.org/coar/resource_type/c_5794 | |||||||||
| 資源タイプ | conference paper | |||||||||
| 著者所属 | ||||||||||
| 大阪工業大学 | ||||||||||
| 著者所属 | ||||||||||
| 大阪工業大学 | ||||||||||
| 著者所属(英) | ||||||||||
| en | ||||||||||
| Osaka Institute of Technology | ||||||||||
| 著者所属(英) | ||||||||||
| en | ||||||||||
| Osaka Institute of Technology | ||||||||||
| 著者名 |
田口, 涼将
× 田口, 涼将
× 福澤, 寧子
|
|||||||||
| 著者名(英) |
Ryosuke, Taguchi
× Ryosuke, Taguchi
× Yasuko, Fukuzawa
|
|||||||||
| 論文抄録 | ||||||||||
| 内容記述タイプ | Other | |||||||||
| 内容記述 | 動的解析はマルウェア解析における有効な手段の一つである.しかし,昨今のマルウェアの多くは解析者やセキュリティ製品による動的解析を妨害するために耐解析機能を実装している.耐解析機能にはデバッガや仮想環境の検知のほか,時間差の検知,マウス・キーボード操作など人間の動作を元にした検知など数多くの手法が存在する.このような環境下では解析ツールが有効に機能せず,マルウェアの動作情報を収集することができない.本稿では,プログラムの値をシンボル(記号)として制約条件に着目しながら模擬的に実行するシンボリック実行の動作ログから,耐解析機能における検知条件を抽出し,その条件から耐解析機能を無効化するためのパッチを生成し,マルウェアに適用する.まず,耐解析機能のPoC(Proof of Concept)であるAl-khaserの32-bit・64-bit検体を対象に,シンボリック実行適用とパッチの有効性を評価,および特徴の分析を行う.次に,疑似マルウェアおよび実際のマルウェア検体に対してもパッチを生成・適用し,本方式の有用性を評価する. | |||||||||
| 論文抄録(英) | ||||||||||
| 内容記述タイプ | Other | |||||||||
| 内容記述 | Dynamic analysis is one of the effective tools in malware analysis. However, many of today's malware implement anti-analysis functions to prevent dynamic analysis by analysts and security products. There are many methods for anti-analysis functions, including detection of debuggers and virtual environments, time difference detection, and detection based on human actions such as mouse and keyboard operations. These functions prevent analysis tools from functioning effectively and collecting information about malware behavior. In this paper, we extract detection conditions for the anti-analysis function from symbolic execution operation logs, which simulate program values as symbols while focusing on constraint conditions, generate patches to disable the anti-analysis function based on these conditions, and apply them to malware. First, we evaluate the effectiveness of symbolic execution and patches for 32-bit and 64-bit samples of Al-khaser, a Proof of Concept (PoC) of the anti-analysis function. Next, we will generate and apply patches to pseudo-malware and actual malware samples to evaluate the usefulness of this method. | |||||||||
| 書誌情報 |
コンピュータセキュリティシンポジウム2024論文集 p. 1180-1187, 発行日 2024-10-15 |
|||||||||
| 出版者 | ||||||||||
| 言語 | ja | |||||||||
| 出版者 | 情報処理学会 | |||||||||
