シンボリック実行を用いたマルウェアの解析妨害機能非実行条件の抽出

カテゴリ: 部門大会

論文No: PS7-11

グループ名: 【C】2023年電気学会電子・情報・システム部門大会

発行日: 2023/08/23

タイトル(英語): An approach to Extract non-Execution Conditions of Anti-Analysis Techniques for Malware using Symbolic Execution

著者名: 田口 涼将（大阪工業大学）,福澤 寧子（大阪工業大学）

著者名(英語): Ryosuke Taguchi (Osaka Institute of Technology),Yasuko Fukuzawa (Osaka Institute of Technology)

キーワード: シンボリック実行|マルウェア解析|解析妨害技術解析妨害技術|Symbolic Execution|Malware Analysis|Anti-Analysis Techniques

要約(日本語): マルウェアは動作の複雑化・凶悪化に加え、解析者やセキュリティ製品による解析を妨害するためにコードの難読化・サンドボックス検知などの耐解析機能を実装していることが多く、解析者の負担は増加している。このため、効率的な解析を可能にするシンボリック実行によるバイナリ解析技法を用いたマルウェア解析が期待されている。しかし単純なシンボリック実行の適用においては、マルウェアによる解析妨害や膨大なコード量に伴うパス爆発、多重ループなどの問題が発生する。そこで、本稿ではシンボリック実行を局所的に活用し、64bitマルウェアが用いる動的解析に対する解析妨害機能に適用する。そして、シンボリック実行で解析妨害機能が非実行となる条件抽出と特徴の考察を行う。