著者
赤羽 秀 川古谷 裕平 岩村 誠 岡本 剛
雑誌
コンピュータセキュリティシンポジウム2022論文集
巻号頁・発行日
pp.168-175, 2022-10-17

IoT 機器の普及に伴い,Linux 環境を標的としたマルウェアが増加している.Linux で動作するプログラムの効率的な動的解析を行うためのツールとして,動的結合されたライブラリ関数の呼び出しをトレースする ltrace がある.しかし,過去の研究からほとんどの IoT マルウェアは静的結合されていることがわかっているため,ltrace では一部の IoT マルウェアしか解析できない.また,IoT 機器では様々なアーキテクチャが使用されているため,アーキテクチャに依存せずにマルウェアを解析できる技術が求められている.本研究では,IoT マルウェアの解析支援を行うために,静的結合されたライブラリ関数をアーキテクチャに依存せずにトレースする手法として xltrace を提案する.xltrace は,静的結合されたライブラリ関数の呼び出しをトレースする機能を QEMU の中間表現層で実装することによって,特定のアーキテクチャに依存しないライブラリ関数のトレースを実現することを目指す.提案手法の評価を行った結果, SPARC と SPARC64 を除く 10 種類のアーキテクチャの IoT マルウェアについて,xltrace が静的結合されたライブラリ関数をトレースできることを確認した.