著者
赤羽 秀 川古谷 裕平 岩村 誠 岡本 剛
雑誌
コンピュータセキュリティシンポジウム2022論文集
巻号頁・発行日
pp.168-175, 2022-10-17

IoT 機器の普及に伴い,Linux 環境を標的としたマルウェアが増加している.Linux で動作するプログラムの効率的な動的解析を行うためのツールとして,動的結合されたライブラリ関数の呼び出しをトレースする ltrace がある.しかし,過去の研究からほとんどの IoT マルウェアは静的結合されていることがわかっているため,ltrace では一部の IoT マルウェアしか解析できない.また,IoT 機器では様々なアーキテクチャが使用されているため,アーキテクチャに依存せずにマルウェアを解析できる技術が求められている.本研究では,IoT マルウェアの解析支援を行うために,静的結合されたライブラリ関数をアーキテクチャに依存せずにトレースする手法として xltrace を提案する.xltrace は,静的結合されたライブラリ関数の呼び出しをトレースする機能を QEMU の中間表現層で実装することによって,特定のアーキテクチャに依存しないライブラリ関数のトレースを実現することを目指す.提案手法の評価を行った結果, SPARC と SPARC64 を除く 10 種類のアーキテクチャの IoT マルウェアについて,xltrace が静的結合されたライブラリ関数をトレースできることを確認した.
著者
岩村 誠 川古谷 裕平 針生 剛男
雑誌
コンピュータセキュリティシンポジウム2011 論文集
巻号頁・発行日
vol.2011, no.3, pp.12-17, 2011-10-12

本論文では,アンパッキング後のマルウェアにおけるインポート・アドレス・テーブル(IAT)のエントリ格納場所を特定する手法を提案する.従来の手法は,マルウェアの逆アセンブル結果からIATを利用する機械語命令を探し出すことでIAT格納場所を推定していた.しかしWindows用コンパイラは可変長の機械語命令とデータが混在するバイナリを出力する傾向にあるため,正確な逆アセンブル結果を得ることは難しい.こうした問題に対し提案手法は,マルウェア内の各アドレスがIATエントリ格納場所である確率を算出し,当該確率が十分に高いアドレスを探し出すことで,精度よくIATエントリの格納場所を特定することを可能にした.
著者
川古谷 裕平 岩村 誠 三好 潤
雑誌
コンピュータセキュリティシンポジウム2017論文集
巻号頁・発行日
vol.2017, no.2, 2017-10-16

マルウェアの静的解析において,Windows APIはマルウェアの機能を効率的に読み取るための重要な情報源である.しかし,その有用性のため,マルウェア作者はマルウェアに難読化を施し,インポートしているAPIを隠蔽する傾向がある.本論文では,マルウェアが利用するAPI難読化手法とそれらを解析する既存手法を整理し,既存手法がAPIの配置場所を難読化する解析妨害に脆弱であることを示す.次に,この問題を解決するため,テイント解析により得た情報に基づき,メモリダンプ内のIATのAPIアドレス解決を行う提案する.本提案手法を用いることで,マルウェが配置場所難読化を施した場合でも,インポートしているAPIを正確に特定できることを実験にて示す.