論文の概要: SaMOSA: Sandbox for Malware Orchestration and Side-Channel Analysis

• arxiv url: http://arxiv.org/abs/2508.14261v1
• Date: Tue, 19 Aug 2025 20:41:24 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-08-21 16:52:41.2658
• Title: SaMOSA: Sandbox for Malware Orchestration and Side-Channel Analysis
• Title（参考訳）: SaMOSA: マルウェアのオーケストレーションとサイドチャネル分析のためのサンドボックス
• Authors: Meet Udeshi, Venkata Sai Charan Putrevu, Prashanth Krishnamurthy, Ramesh Karri, Farshad Khorrami,
• Abstract要約: SaMOSAは、モジュール的でカスタマイズ可能なサンドボックスフレームワークを提供することで、Linuxマルウェア分析のギャップを埋める。 SaMOSAは、システムコール、ネットワークアクティビティ、ディスクアクティビティ、ハードウェアパフォーマンスカウンタなど、より多くのサイドチャネルをキャプチャする。 OTとCPSで主に使用される3つのアーキテクチャ、すなわちx86-64、ARM64、PowerPC64をサポートする。
• 参考スコア（独自算出の注目度）: 17.861324495723487
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: Cyber-attacks on operational technology (OT) and cyber-physical systems (CPS) have increased tremendously in recent years with the proliferation of malware targeting Linux-based embedded devices of OT and CPS systems. Comprehensive malware detection requires dynamic analysis of execution behavior in addition to static analysis of binaries. Safe execution of malware in a manner that captures relevant behaviors via side-channels requires a sandbox environment. Existing Linux sandboxes are built for specific tasks, only capture one or two side-channels, and do not offer customization for different analysis tasks. We present the SaMOSA Linux sandbox that allows emulation of Linux malwares while capturing time-synchronized side-channels from four sources. SaMOSA additionally provides emulation of network services via FakeNet, and allows orchestration and customization of the sandbox environment via pipeline hooks. In comparison to existing Linux sandboxes, SaMOSA captures more side-channels namely system calls, network activity, disk activity, and hardware performance counters. It supports three architectures predominantly used in OT and CPS namely x86-64, ARM64, and PowerPC 64. SaMOSA fills a gap in Linux malware analysis by providing a modular and customizable sandbox framework that can be adapted for many malware analysis tasks. We present three case studies of three different malware families to demonstrate the advantages of SaMOSA.
• Abstract（参考訳）: 運用技術(OT)とサイバー物理システム(CPS)に対するサイバー攻撃は、近年、OTとCPSシステムのLinuxベースの組み込みデバイスをターゲットにしたマルウェアが急増し、急速に増加している。 総合的なマルウェア検出には、バイナリの静的解析に加えて、実行動作の動的解析が必要である。 サイドチャネルを介して関連する振る舞いをキャプチャするマルウェアの安全な実行には、サンドボックス環境が必要である。 既存のLinuxサンドボックスは、特定のタスクのために構築されており、1つまたは2つのサイドチャネルのみをキャプチャし、異なる分析タスクのカスタマイズを提供していない。 4つのソースから同期したサイドチャネルをキャプチャしながら、Linuxマルウェアのエミュレーションを可能にするSMOSA Linuxサンドボックスを提示する。 SaMOSAはまた、FakeNetを介してネットワークサービスのエミュレーションを提供し、パイプラインフックを介してサンドボックス環境のオーケストレーションとカスタマイズを可能にする。 既存のLinuxサンドボックスと比較して、SAMOSAはシステムコール、ネットワークアクティビティ、ディスクアクティビティ、ハードウェアパフォーマンスカウンタなど、より多くのサイドチャネルをキャプチャする。 OTとCPSで主に使用される3つのアーキテクチャ、すなわちx86-64、ARM64、PowerPC64をサポートする。 SaMOSAは、多くのマルウェア分析タスクに適応できるモジュール式でカスタマイズ可能なサンドボックスフレームワークを提供することで、Linuxマルウェア分析のギャップを埋める。 そこで本研究では,SAMOSAの利点を実証するために,3つの異なるマルウェアファミリーのケーススタディを提示する。

関連論文リスト

• A Study of Malware Prevention in Linux Distributions [6.824532680704441]
  オープンソースソフトウェアパッケージに対する悪意ある攻撃は、ますます懸念される。 本研究は,Linuxディストリビューションリポジトリにおけるマルウェアの防止と検出の課題について考察する。
  論文  参考訳（メタデータ） (2024-11-17T09:42:08Z)
• Understanding crypter-as-a-service in a popular underground marketplace [51.328567400947435]
  Cryptersは、ターゲットバイナリを変換することで、アンチウイルス(AV)アプリケーションからの検出を回避できるソフトウェアの一部です。 シークレット・アズ・ア・サービスモデルは,検出機構の高度化に対応して人気を博している。 本論文は,シークレット・アズ・ア・サービスに特化したオンライン地下市場に関する最初の研究である。
  論文  参考訳（メタデータ） (2024-05-20T08:35:39Z)
• The Reversing Machine: Reconstructing Memory Assumptions [2.66610643553864]
  悪意のあるカーネルレベルのドライバは、OSレベルのアンチウイルスメカニズムを簡単にバイパスすることができる。 textitThe Reversing Machine (TRM) は,リバースエンジニアリングのための新しいハイパーバイザベースのメモリイントロスペクション設計である。 我々は、TRMがそれぞれの脅威を検知できることを示し、24の最先端のAVソリューションのうち、最も高度な脅威を検出できるのはTRMのみであることを示した。
  論文  参考訳（メタデータ） (2024-05-01T03:48:22Z)
• JITScanner: Just-in-Time Executable Page Check in the Linux Operating System [6.725792100548271]
  JITScannerはLoadable Kernel Module (LKM)上に構築されたLinux指向パッケージとして開発されている。 スケーラブルなマルチプロセッサ/コア技術を使用してLKMと効率的に通信するユーザレベルのコンポーネントを統合する。 JITScannerによるマルウェア検出の有効性と、通常のランタイムシナリオにおける最小限の侵入が広くテストされている。
  論文  参考訳（メタデータ） (2024-04-25T17:00:08Z)
• DRSM: De-Randomized Smoothing on Malware Classifier Providing Certified Robustness [58.23214712926585]
  我々は,マルウェア検出領域の非ランダム化スムース化技術を再設計し,DRSM(De-Randomized Smoothed MalConv)を開発した。 具体的には,実行可能ファイルの局所構造を最大に保ちながら,逆数バイトの影響を確実に抑制するウィンドウアブレーション方式を提案する。 私たちは、マルウェア実行ファイルの静的検出という領域で、認証された堅牢性を提供する最初の人です。
  論文  参考訳（メタデータ） (2023-03-20T17:25:22Z)
• Adversarial EXEmples: A Survey and Experimental Evaluation of Practical Attacks on Machine Learning for Windows Malware Detection [67.53296659361598]
  EXEmplesは、比較的少ない入力バイトを摂動することで、機械学習に基づく検出をバイパスすることができる。 我々は、機械学習モデルに対する過去の攻撃を包含し、一般化するだけでなく、3つの新たな攻撃を含む統一フレームワークを開発する。 これらの攻撃はFull DOS、Extended、Shiftと呼ばれ、DOSヘッダをそれぞれ操作し、拡張し、第1セクションの内容を変更することで、敵のペイロードを注入する。
  論文  参考訳（メタデータ） (2020-08-17T07:16:57Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。