論文の概要: User-space library rootkits revisited: Are user-space detection mechanisms futile?

• arxiv url: http://arxiv.org/abs/2506.07827v1
• Date: Mon, 09 Jun 2025 14:50:48 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-06-10 21:10:47.145451
• Title: User-space library rootkits revisited: Are user-space detection mechanisms futile?
• Title（参考訳）: ユーザ空間ライブラリ rootkits: ユーザ空間検出メカニズムは役に立たないか?
• Authors: Enrique Soriano-Salvador, Gorka Guardiola Múzquiz, Juan González Gómez,
• Abstract要約: ユーザ空間のルートキットをユーザ空間のツールで検出することは無駄か? 有効性を考慮した一般的な見解とは対照的に,ユーザ空間におけるルートキートの検出は,ユーザ空間内では不可能である,と論じる。 本書では,ユーザ空間ライブラリのルートキット構築における古典的アプローチ,従来の検出機構,回避方法の相違について述べる。
• 参考スコア（独自算出の注目度）: 0.0
• License: http://creativecommons.org/licenses/by-nc-nd/4.0/
• Abstract: The kind of malware designed to conceal malicious system resources (e.g. processes, network connections, files, etc.) is commonly referred to as a rootkit. This kind of malware represents a significant threat in contemporany systems. Despite the existence of kernel-space rootkits (i.e. rootkits that infect the operating system kernel), user-space rootkits (i.e. rootkits that infect the user-space operating system tools, commands and libraries) continue to pose a significant danger. However, kernel-space rootkits attract all the attention, implicitly assuming that user-space rootkits (malware that is still in existence) are easily detectable by well-known user-space tools that look for anomalies. The primary objective of this work is to answer the following question: Is detecting user-space rootkits with user-space tools futile? Contrary to the prevailing view that considers it effective, we argue that the detection of user-space rootkits cannot be done in user-space at all. Moreover, the detection results must be communicated to the user with extreme caution. To support this claim, we conducted different experiments focusing on process concealing in Linux systems. In these experiments, we evade the detection mechanisms widely accepted as the standard solution for this type of user-space malware, bypassing the most popular open source anti-rootkit tool for process hiding. This manuscript describes the classical approach to build user-space library rootkits, the traditional detection mechanisms, and different evasion techniques (it also includes understandable code snippets and examples). In addition, it offers some guidelines to implement new detection tools and improve the existing ones to the extent possible.
• Abstract（参考訳）: 悪意のあるシステムリソース(例えば、プロセス、ネットワーク接続、ファイルなど)を隠蔽するために設計されたマルウェアは、一般にルートキットと呼ばれる。 この種のマルウェアは、現代のシステムにおいて重大な脅威である。 カーネル空間のルートキット(OSカーネルに感染するルートキット)が存在するにもかかわらず、ユーザー空間のルートキット(ユーザー空間のオペレーティングシステムツール、コマンド、ライブラリに感染するルートキット)は重大な危険を生じ続けている。 しかし、カーネル空間のルートキットは、ユーザ空間のルートキット(まだ存在するマルウェア)が、異常を探すよく知られたユーザ空間ツールによって容易に検出可能であることを暗黙的に仮定して、すべての注意を惹きつける。 この研究の主な目的は、以下の質問に答えることである。 ユーザ空間のルートキットをユーザ空間のツールで検出することは、無駄ですか? 有効性を考慮した一般的な見解とは対照的に,ユーザ空間におけるルートキートの検出は,ユーザ空間内では不可能である,と論じる。 さらに、検出結果を極めて慎重にユーザに伝える必要がある。 この主張を支持するために、我々はLinuxシステムにおけるプロセスの隠蔽に焦点を当てた様々な実験を行った。 これらの実験では、このタイプのユーザ空間マルウェアの標準解決策として広く受け入れられている検出機構を回避し、最も人気のあるオープンソースアンチルートキットツールであるプロセス隠蔽を回避した。 この原稿には、ユーザ空間ライブラリのルートキットを構築するための古典的なアプローチ、従来の検出メカニズム、さまざまな回避テクニック(理解可能なコードスニペットやサンプルも含む)が記述されている。 さらに、新しい検出ツールを実装し、可能な限り既存のものを改善するためのガイドラインも提供している。

関連論文リスト

• Trace of the Times: Rootkit Detection through Temporal Anomalies in Kernel Activity [2.900892566337075]
  カーネルルートキットはステルス操作を可能にするため、検出が困難である。 既存の検出アプローチは、新しいルートキットを検出できないシグネチャや、検出すべきルートキットに関するドメイン知識を必要とするシグネチャに依存している。 我々のフレームワークはカーネルにプローブを注入し、関連するシステムコール内の関数のタイムスタンプを測定し、関数の実行時間の分布を計算し、統計的テストを用いて時間シフトを検出する。 公開されているデータセットに対するオープンソース実装の評価は、システム状態の異なる5つのシナリオでF1スコア98.7%の高い検出精度を示している。
  論文  参考訳（メタデータ） (2025-03-04T08:43:38Z)
• Living off the Analyst: Harvesting Features from Yara Rules for Malware Detection [50.55317257140427]
  悪質な俳優が使う戦略は、悪質な俳優の意図のために良質なシステムが使われ、再利用される「土地から生き去る」ことである。 これは、人書き署名を使って特定のマルウェア群を検出するYARAルールによって検証可能であることを示す。 公開されているYARAルールからサブ署名を抽出することにより、悪意のあるサンプルをより効果的に識別できる一連の機能を組み立てた。
  論文  参考訳（メタデータ） (2024-11-27T17:03:00Z)
• MASKDROID: Robust Android Malware Detection with Masked Graph Representations [56.09270390096083]
  マルウェアを識別する強力な識別能力を持つ強力な検出器MASKDROIDを提案する。 我々は、グラフニューラルネットワークベースのフレームワークにマスキング機構を導入し、MASKDROIDに入力グラフ全体の復元を強制する。 この戦略により、モデルは悪意のあるセマンティクスを理解し、より安定した表現を学習し、敵攻撃に対する堅牢性を高めることができる。
  論文  参考訳（メタデータ） (2024-09-29T07:22:47Z)
• Understanding crypter-as-a-service in a popular underground marketplace [51.328567400947435]
  Cryptersは、ターゲットバイナリを変換することで、アンチウイルス(AV)アプリケーションからの検出を回避できるソフトウェアの一部です。 シークレット・アズ・ア・サービスモデルは,検出機構の高度化に対応して人気を博している。 本論文は,シークレット・アズ・ア・サービスに特化したオンライン地下市場に関する最初の研究である。
  論文  参考訳（メタデータ） (2024-05-20T08:35:39Z)
• The Reversing Machine: Reconstructing Memory Assumptions [2.66610643553864]
  悪意のあるカーネルレベルのドライバは、OSレベルのアンチウイルスメカニズムを簡単にバイパスすることができる。 textitThe Reversing Machine (TRM) は,リバースエンジニアリングのための新しいハイパーバイザベースのメモリイントロスペクション設計である。 我々は、TRMがそれぞれの脅威を検知できることを示し、24の最先端のAVソリューションのうち、最も高度な脅威を検出できるのはTRMのみであることを示した。
  論文  参考訳（メタデータ） (2024-05-01T03:48:22Z)
• GuardFS: a File System for Integrated Detection and Mitigation of Linux-based Ransomware [8.576433180938004]
  GuardFSは、ランサムウェアの検出と緩和を統合するファイルシステムベースのアプローチである。 bespokeオーバーレイファイルシステムを使用して、ファイルにアクセスする前にデータを抽出する。 このデータに基づいてトレーニングされたモデルは、ファイルシステムへのアクセスを難なくし、遅延し、追跡する3つの新しい防御構成によって使用される。
  論文  参考訳（メタデータ） (2024-01-31T15:33:29Z)
• Beyond Control: Exploring Novel File System Objects for Data-Only Attacks on Linux Systems [15.913967348814323]
  我々はLinuxカーネルのファイルサブシステム内で、悪用可能な非制御データを半自動で検出し、評価する。 我々は18の現実世界のCVEを用いて、様々なエクスプロイト戦略を用いてファイルシステムオブジェクトのエクスプロイラビリティを評価する。 我々はカーネルに対してCVEのサブセットを使用して10のエンドツーエンドエクスプロイトを開発する。
  論文  参考訳（メタデータ） (2024-01-31T06:16:00Z)
• DRSM: De-Randomized Smoothing on Malware Classifier Providing Certified Robustness [58.23214712926585]
  我々は,マルウェア検出領域の非ランダム化スムース化技術を再設計し,DRSM(De-Randomized Smoothed MalConv)を開発した。 具体的には,実行可能ファイルの局所構造を最大に保ちながら,逆数バイトの影響を確実に抑制するウィンドウアブレーション方式を提案する。 私たちは、マルウェア実行ファイルの静的検出という領域で、認証された堅牢性を提供する最初の人です。
  論文  参考訳（メタデータ） (2023-03-20T17:25:22Z)
• Mate! Are You Really Aware? An Explainability-Guided Testing Framework for Robustness of Malware Detectors [49.34155921877441]
  マルウェア検出装置のロバスト性を示すための説明可能性誘導型およびモデルに依存しないテストフレームワークを提案する。 次に、このフレームワークを使用して、操作されたマルウェアを検出する最先端のマルウェア検知器の能力をテストする。 我々の発見は、現在のマルウェア検知器の限界と、その改善方法に光を当てた。
  論文  参考訳（メタデータ） (2021-11-19T08:02:38Z)
• Adversarial EXEmples: A Survey and Experimental Evaluation of Practical Attacks on Machine Learning for Windows Malware Detection [67.53296659361598]
  EXEmplesは、比較的少ない入力バイトを摂動することで、機械学習に基づく検出をバイパスすることができる。 我々は、機械学習モデルに対する過去の攻撃を包含し、一般化するだけでなく、3つの新たな攻撃を含む統一フレームワークを開発する。 これらの攻撃はFull DOS、Extended、Shiftと呼ばれ、DOSヘッダをそれぞれ操作し、拡張し、第1セクションの内容を変更することで、敵のペイロードを注入する。
  論文  参考訳（メタデータ） (2020-08-17T07:16:57Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。