著者

尾上 浩一 大山 恵弘 米澤 明憲

雑誌

情報処理学会論文誌コンピューティングシステム(ACS) (ISSN:18827829)

巻号頁・発行日

vol.3, no.2, pp.163-176, 2010-06-21

---

カーネルレベルで稼働するマルウェア (カーネルレベルマルウェア) による攻撃は,システム全体に被害を与えたり,攻撃の検出が困難であったりすることから,その脅威は深刻である.これまでカーネルレベルマルウェアに対する様々なセキュリティシステムが提案されているが,保守的すぎるカーネル拡張の制限や適用時の実行時の性能低下に関して改善すべき点がある.本論文では,仮想マシンモニタ (VMM) を用いて,VM 内で稼働する OS カーネルの振舞いを制御するセキュリティシステム ShadowXeck を提案する.この制御は,読み込み専用のメモリ領域の保護と,OS カーネルにより発行された間接呼び出し命令や間接ジャンプ命令の制御によって実現される.ShadowXeck は,OS カーネルレベルよりも高い特権レベルの VMM による制御であるため,VM 内から ShadowXeck の振舞い制御機構を無効化することは困難である.我々は,AMD 64 アーキテクチャ上で Xen を用いて ShadowXeck を実装し,既存のカーネルレベルマルウェアを用いた ShadowXeck による OS カーネルの振舞い制御の確認や実行時オーバヘッドの計測を行った.