仮想マシン内部観察に基づくマルウェア悪性機構抽出の自動化手法の提案

与那嶺 俊(1651125)


マルウェア解析の目的の一つに攻撃者の意図(悪性機構)を明らかにすることが挙げられる。マルウェア解析はマルウェアが実行したAPIコールから機能を一つずつ明らかにしていくことが一般的だが、こうした作業は解析者によって手作業で行われることが多い。また、高機能化したマルウェアは感染端末上におけるデータ操作に暗号化等の難読化技術を用いるため解析を複雑なものにしており、複数のAPIコールの関係性から機能を推定する自動化された方法はない。そこで本研究ではファイルへのアクセスを試みたマルウェアがデータを処理していく過程を追跡し、悪性機構に関する詳細情報の抽出の自動化をVirtual Machine Introspectionによって実現する。マルウェアを仮想マシン内で動作させ、感染端末上のファイルを標的とした不正活動の監視を行い、アクセスされたファイルデータへ適用された処理の追跡をテイント解析によって行う。データ攪拌後に出力されるデータへの出口検査をテイントチェックによって行い、不正活動の痕跡の検出を行うシステムの開発を行った。提案手法を用いた攻撃者のシステム侵入後の内部活動モデルであるATT&CKを用いた検証では、26%の内部活動において不正活動のインジケータを抽出できることが分かった。