論文の概要: The Reversing Machine: Reconstructing Memory Assumptions

• arxiv url: http://arxiv.org/abs/2405.00298v1
• Date: Wed, 1 May 2024 03:48:22 GMT
• ステータス: 処理完了
• システム内更新日: 2024-05-02 16:37:17.250421
• Title: The Reversing Machine: Reconstructing Memory Assumptions
• Title（参考訳）: Reversing Machine: メモリ消費の再構築
• Authors: Mohammad Sina Karvandi, Soroush Meghdadizanjani, Sima Arasteh, Saleh Khalaj Monfared, Mohammad K. Fallah, Saeid Gorgin, Jeong-A Lee, Erik van der Kouwe,
• Abstract要約: 悪意のあるカーネルレベルのドライバは、OSレベルのアンチウイルスメカニズムを簡単にバイパスすることができる。 textitThe Reversing Machine (TRM) は,リバースエンジニアリングのための新しいハイパーバイザベースのメモリイントロスペクション設計である。 我々は、TRMがそれぞれの脅威を検知できることを示し、24の最先端のAVソリューションのうち、最も高度な脅威を検出できるのはTRMのみであることを示した。
• 参考スコア（独自算出の注目度）: 2.66610643553864
• License: http://creativecommons.org/licenses/by-nc-sa/4.0/
• Abstract: Existing anti-malware software and reverse engineering toolkits struggle with stealthy sub-OS rootkits due to limitations of run-time kernel-level monitoring. A malicious kernel-level driver can bypass OS-level anti-virus mechanisms easily. Although static analysis of such malware is possible, obfuscation and packing techniques complicate offline analysis. Moreover, current dynamic analyzers suffer from virtualization performance overhead and create detectable traces that allow modern malware to evade them. To address these issues, we present \textit{The Reversing Machine} (TRM), a new hypervisor-based memory introspection design for reverse engineering, reconstructing memory offsets, and fingerprinting evasive and obfuscated user-level and kernel-level malware. TRM proposes two novel techniques that enable efficient and transparent analysis of evasive malware: hooking a binary using suspended process creation for hypervisor-based memory introspection, and leveraging Mode-Based Execution Control (MBEC) to detect user/kernel mode transitions and memory access patterns. Unlike existing malware detection environments, TRM can extract full memory traces in user and kernel spaces and hook the entire target memory map to reconstruct arrays, structures within the operating system, and possible rootkits. We perform TRM-assisted reverse engineering of kernel-level structures and show that it can speed up manual reverse engineering by 75\% on average. We obfuscate known malware with the latest packing tools and successfully perform similarity detection. Furthermore, we demonstrate a real-world attack by deploying a modified rootkit onto a driver that bypasses state-of-the-art security auditing tools. We show that TRM can detect each threat and that, out of 24 state-of-the-art AV solutions, only TRM can detect the most advanced threats.
• Abstract（参考訳）: 既存のアンチマルウェアソフトウェアとリバースエンジニアリングツールキットは、ランタイムカーネルレベルの監視に制限があるため、ステルスなサブOSルートキットに悩まされている。 悪意のあるカーネルレベルのドライバは、OSレベルのアンチウイルスメカニズムを簡単にバイパスすることができる。 このようなマルウェアの静的解析は可能であるが、難読化とパッケージング技術はオフライン解析を複雑にする。 さらに、現在の動的アナライザは仮想化性能のオーバーヘッドに悩まされ、検出可能なトレースを生成して、現代のマルウェアがそれらを回避している。 これらの問題に対処するために,新しいハイパーバイザベースのメモリイントロスペクション設計である \textit{The Reversing Machine} (TRM) を提案する。 TRMは、ハイパーバイザベースのメモリイントロスペクションのために、停止プロセスを使用してバイナリをフックする、ユーザー/カーネルモード遷移とメモリアクセスパターンを検出するために、モードベース実行制御(MBEC)を利用する、という2つの新しい手法を提案する。 既存のマルウェア検出環境とは異なり、TRMはユーザとカーネル空間の完全なメモリトレースを抽出し、ターゲットメモリマップ全体をフックして配列、オペレーティングシステム内の構造、および可能なルートキットを再構築することができる。 我々は,TRMによるカーネルレベルのリバースエンジニアリングを行い,手動リバースエンジニアリングを平均75%高速化できることを示す。 我々は、既知のマルウェアを最新のパッキングツールと混同し、類似性検出に成功している。 さらに、最先端のセキュリティ監査ツールをバイパスするドライバに修正されたルートキットをデプロイすることで、現実世界の攻撃を実証する。 我々は、TRMがそれぞれの脅威を検知できることを示し、24の最先端のAVソリューションのうち、最も高度な脅威を検出できるのはTRMのみであることを示した。

関連論文リスト

• MASKDROID: Robust Android Malware Detection with Masked Graph Representations [56.09270390096083]
  マルウェアを識別する強力な識別能力を持つ強力な検出器MASKDROIDを提案する。 我々は、グラフニューラルネットワークベースのフレームワークにマスキング機構を導入し、MASKDROIDに入力グラフ全体の復元を強制する。 この戦略により、モデルは悪意のあるセマンティクスを理解し、より安定した表現を学習し、敵攻撃に対する堅牢性を高めることができる。
  論文  参考訳（メタデータ） (2024-09-29T07:22:47Z)
• JITScanner: Just-in-Time Executable Page Check in the Linux Operating System [6.725792100548271]
  JITScannerはLoadable Kernel Module (LKM)上に構築されたLinux指向パッケージとして開発されている。 スケーラブルなマルチプロセッサ/コア技術を使用してLKMと効率的に通信するユーザレベルのコンポーネントを統合する。 JITScannerによるマルウェア検出の有効性と、通常のランタイムシナリオにおける最小限の侵入が広くテストされている。
  論文  参考訳（メタデータ） (2024-04-25T17:00:08Z)
• Obfuscated Malware Detection: Investigating Real-world Scenarios through Memory Analysis [0.0]
  本稿では,メモリダンプ解析による簡易かつ費用対効果の高いマルウェア検出システムを提案する。 この研究は、現実世界のシナリオをシミュレートするために設計されたCIC-MalMem-2022データセットに焦点を当てている。 メモリダンプ内の難読化マルウェアの検出において,決定木,アンサンブル法,ニューラルネットワークなどの機械学習アルゴリズムの有効性を評価する。
  論文  参考訳（メタデータ） (2024-04-03T00:13:23Z)
• Discovering Malicious Signatures in Software from Structural Interactions [7.06449725392051]
  本稿では,ディープラーニング,数学的手法,ネットワーク科学を活用する新しいマルウェア検出手法を提案する。 提案手法は静的および動的解析に焦点をあて,LLVM(Lower-Level Virtual Machine)を用いて複雑なネットワーク内のアプリケーションをプロファイリングする。 弊社のアプローチは、マルウェアの検出を大幅に改善し、より正確で効率的なソリューションを提供する。
  論文  参考訳（メタデータ） (2023-12-19T23:42:20Z)
• Evil from Within: Machine Learning Backdoors through Hardware Trojans [72.99519529521919]
  バックドアは、自動運転車のようなセキュリティクリティカルなシステムの整合性を損なう可能性があるため、機械学習に深刻な脅威をもたらす。 私たちは、機械学習のための一般的なハードウェアアクセラレーターに完全に存在するバックドアアタックを導入します。 我々は,Xilinx Vitis AI DPUにハードウェアトロイの木馬を埋め込むことにより,攻撃の実現可能性を示す。
  論文  参考訳（メタデータ） (2023-04-17T16:24:48Z)
• DRSM: De-Randomized Smoothing on Malware Classifier Providing Certified Robustness [58.23214712926585]
  我々は,マルウェア検出領域の非ランダム化スムース化技術を再設計し,DRSM(De-Randomized Smoothed MalConv)を開発した。 具体的には,実行可能ファイルの局所構造を最大に保ちながら,逆数バイトの影響を確実に抑制するウィンドウアブレーション方式を提案する。 私たちは、マルウェア実行ファイルの静的検出という領域で、認証された堅牢性を提供する最初の人です。
  論文  参考訳（メタデータ） (2023-03-20T17:25:22Z)
• Design of secure and robust cognitive system for malware detection [0.571097144710995]
  インプットサンプルに摂動をインテリジェントに作り、付加することで、敵対するサンプルが生成される。 この論文の目的は、重要なシステムのセキュリティ問題に対処することである。 ステルス性マルウェアを検出する新しい手法が提案されている。
  論文  参考訳（メタデータ） (2022-08-03T18:52:38Z)
• Few-Shot Backdoor Attacks on Visual Object Tracking [80.13936562708426]
  視覚オブジェクト追跡(VOT)は、自律運転やインテリジェント監視システムなど、ミッションクリティカルなアプリケーションで広く採用されている。 学習過程の調整により,隠れたバックドアをVOTモデルに容易に埋め込むことができることを示す。 我々の攻撃は潜在的な防御に耐性があることを示し、潜在的なバックドア攻撃に対するVOTモデルの脆弱性を強調します。
  論文  参考訳（メタデータ） (2022-01-31T12:38:58Z)
• Mate! Are You Really Aware? An Explainability-Guided Testing Framework for Robustness of Malware Detectors [49.34155921877441]
  マルウェア検出装置のロバスト性を示すための説明可能性誘導型およびモデルに依存しないテストフレームワークを提案する。 次に、このフレームワークを使用して、操作されたマルウェアを検出する最先端のマルウェア検知器の能力をテストする。 我々の発見は、現在のマルウェア検知器の限界と、その改善方法に光を当てた。
  論文  参考訳（メタデータ） (2021-11-19T08:02:38Z)
• Binary Black-box Evasion Attacks Against Deep Learning-based Static Malware Detectors with Adversarial Byte-Level Language Model [11.701290164823142]
  MalRNNは、制限なく回避可能なマルウェアバリアントを自動的に生成する新しいアプローチです。 MalRNNは、3つの最近のディープラーニングベースのマルウェア検出器を効果的に回避し、現在のベンチマークメソッドを上回ります。
  論文  参考訳（メタデータ） (2020-12-14T22:54:53Z)
• Adversarial EXEmples: A Survey and Experimental Evaluation of Practical Attacks on Machine Learning for Windows Malware Detection [67.53296659361598]
  EXEmplesは、比較的少ない入力バイトを摂動することで、機械学習に基づく検出をバイパスすることができる。 我々は、機械学習モデルに対する過去の攻撃を包含し、一般化するだけでなく、3つの新たな攻撃を含む統一フレームワークを開発する。 これらの攻撃はFull DOS、Extended、Shiftと呼ばれ、DOSヘッダをそれぞれ操作し、拡張し、第1セクションの内容を変更することで、敵のペイロードを注入する。
  論文  参考訳（メタデータ） (2020-08-17T07:16:57Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。