Item type |
Symposium(1) |
公開日 |
2021-10-19 |
タイトル |
|
|
タイトル |
SleepHop: 動的バイナリ計装によるマルウェアのタイミング攻撃の無効化 |
タイトル |
|
|
言語 |
en |
|
タイトル |
SleepHop: Prevention of Malware Timing Attacks Using Dynamic Binary Instrumentation |
言語 |
|
|
言語 |
jpn |
キーワード |
|
|
主題Scheme |
Other |
|
主題 |
動的バイナリ計装,サンドボックス,マルウェア |
資源タイプ |
|
|
資源タイプ識別子 |
http://purl.org/coar/resource_type/c_5794 |
|
資源タイプ |
conference paper |
著者所属 |
|
|
|
筑波大学 |
著者所属 |
|
|
|
筑波大学 |
著者所属(英) |
|
|
|
en |
|
|
University of Tsukuba |
著者所属(英) |
|
|
|
en |
|
|
University of Tsukuba |
著者名 |
鈴木, 克弥
大山, 恵弘
|
著者名(英) |
Katsuya, Suzuki
Yoshihiro, Oyama
|
論文抄録 |
|
|
内容記述タイプ |
Other |
|
内容記述 |
マルウェアの多くは,セキュリティシステムによる解析を回避しようとする処理(解析回避処理)を行う.McAfee Labsの 2017 年の脅威レポートによると,解析回避処理のうち約 23.3% がサンドボックスを回避する技術を使用している.サンドボックス回避技術の 1 つに,CPU サイクル数やスリープを用いたタイミング攻撃が存在するが,既存のオープンソースのサンドボックスの多くは対策をしていない.そこで本研究では,動的バイナリ計装を使用してタイミング攻撃を回避するシステム SleepHop を提案し,その有効性を実験により検証する.具体的には,CPU サイクル数を用いたタイミング攻撃には偽装したサイクル数を返すようにし,スリープを用いたタイミング攻撃にはスリープをスキップし,経過時間の偽装をするという方針を取る.SleepHop を DBI システムのプラグインとして実装し,タイミング攻撃を実装した仮想的なマルウェアと解析回避処理の PoC プログラムである Pafish をターゲットとして評価実験を行った.実験の結果,タイミング攻撃のほとんどを回避することが出来た. |
論文抄録(英) |
|
|
内容記述タイプ |
Other |
|
内容記述 |
Many malware execute operations for evading analysis by security systems. According to McAfee Labs' 2017 threat report, about 23.3% of analysis evasion processes use anti-sandbox techniques. One of the anti-sandbox techniques is timing attack using the number of CPU cycles or sleep, but most of the existing open source sandboxes do not provide any countermeasures. In this paper, we propose SleepHop, a system that prevents timing attacks using a dynamic binary instrumentation, and verify its effectiveness through experiments. Specifically, SleepHop returns a fake value for timing attacks using the number of CPU cycles, and skips sleep and fakes the elapsed time for timing attacks using sleep. We implemented SleepHop as a plug-in for the DBI system, and conducted evaluation experiments targeting a hypothetical malware that implements timing attacks and Pafish, a PoC program for analysis evasion processes and verified that SleepHop was able to prevent most of the timing attacks. |
書誌情報 |
コンピュータセキュリティシンポジウム2021論文集
p. 1029-1036,
発行日 2021-10-19
|
出版者 |
|
|
言語 |
ja |
|
出版者 |
情報処理学会 |