回避型マルウェア解析のための回避コード抽出に関する研究

西田 雄亮 (1811214)


マルウェアの増加に伴い,手動によるマルウェア分析は難しくなっている. そこで,検体を解析環境上で実行し,その振る舞いから解析する動的解析が広く用いられている. しかし,解析環境上では無害な挙動をとることで,動的解析を回避する回避型マルウェアも増加している. 回避型マルウェアの解析手法は数多く提案されている一方で,マルウェアによる解析回避方法も複雑さが増している. このため,マルウェアが実行する回避コードを分析し,回避型マルウェア解析技術を継続的に高度化していくことが必要不可欠である. 本研究では,回避型マルウェアの多様な回避技術を特定することを目的として,動的解析・静的解析を組み合わせた回避コードの抽出手法を提案する. 本提案手法は,回避型マルウェアの「解析環境では無害挙動をとる」特性に注目し,動的解析で無害関数の情報を記録し,静的解析で動的解析から得られた情報を用いて,プログラム実行時に回避コードの疑いがある基本ブロックを自動で抽出する. 提案手法に基づいたプロトタイプを実装し,擬似検体を用いて評価した結果,解析環境で実行されなかった回避コードを抽出することができた.