論文の概要: Peacock: UEFI Firmware Runtime Observability Layer for Detection and Response

• arxiv url: http://arxiv.org/abs/2601.07402v1
• Date: Mon, 12 Jan 2026 10:38:43 GMT
• ステータス: 翻訳完了
• システム内更新日: 2026-01-13 19:08:01.341946
• Title: Peacock: UEFI Firmware Runtime Observability Layer for Detection and Response
• Title（参考訳）: Peacock: UEFIファームウェア実行時の検出と応答のための可観測層
• Authors: Hadar Cochavi Gorelik, Orel Fadlon, Denis Klimov, Oleg Brodt, Asaf Shabtai, Yuval Elovici,
• Abstract要約: Peacockは、ブートプロセスの完全性監視とリモート検証を導入するフレームワークである。 評価の結果,PiacockはGlupteba,BlackLotus,LoJax,MosaicRegressorなど,複数の実世界のUEFIブートキットを確実に検出できることがわかった。
• 参考スコア（独自算出の注目度）: 21.022582425069675
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: Modern computing platforms rely on the Unified Extensible Firmware Interface (UEFI) to initialize hardware and coordinate the transition to the operating system. Because this execution environment operates with high privileges and persists across reboots, it has increasingly become a target for advanced threats, including bootkits documented in real systems. Existing protections, including Secure Boot and static signature verification, are insufficient against adversaries who exploit runtime behavior or manipulate firmware components after signature checks have completed. In contrast to operating system (OS) environments, where mature tools provide dynamic inspection and incident response, the pre-OS stage lacks practical mechanisms for real-time visibility and threat detection. We present Peacock, a modular framework that introduces integrity-assured monitoring and remote verification for the UEFI boot process. Peacock consists of three components: (i) a UEFI-based agent that records Boot and Runtime Service activity with cryptographic protection against tampering; (ii) a cross-platform OS Agent that extracts the recorded measurements and produces a verifiable attestation bundle using hardware-backed guarantees from the platform's trusted module; and (iii) a Peacock Server that verifies attestation results and exports structured telemetry for enterprise detection. Our evaluation shows that Peacock reliably detects multiple real-world UEFI bootkits, including Glupteba, BlackLotus, LoJax, and MosaicRegressor. Taken together, these results indicate that Peacock provides practical visibility and verification capabilities within the firmware layer, addressing threats that bypass traditional OS-level security mechanisms.
• Abstract（参考訳）: 現代のコンピューティングプラットフォームはハードウェアの初期化とオペレーティングシステムへの移行を調整するために統一拡張ファームウェアインタフェース(UEFI)に依存している。 この実行環境は高い特権を持って動作し、リブートをまたがって持続するので、実際のシステムに記録されたブートキットを含む高度な脅威の標的となりつつあります。 Secure Bootや静的署名検証などの既存の保護は、実行時の動作を利用したり、シグネチャチェックが完了した後ファームウェアコンポーネントを操作する敵に対して不十分である。 成熟したツールが動的検査とインシデント応答を提供するオペレーティングシステム(OS)環境とは対照的に、プレOSステージはリアルタイムの可視性と脅威検出のための実用的なメカニズムを欠いている。 UEFIブートプロセスの完全性保証とリモート検証を実現するモジュール型フレームワークであるPeacockを紹介する。 Peacockは3つのコンポーネントから構成される。 i)BootとRuntime Serviceの活動を記録するUEFIベースのエージェント i) 記録された測定を抽出し、プラットフォームが信頼するモジュールからハードウェア支援された保証を用いて検証可能な検証バンドルを生成するクロスプラットフォームOSエージェント。 三 検査結果を検証し、企業検知のための構造化テレメトリを輸出するピーコックサーバ。 評価の結果,PiacockはGlupteba,BlackLotus,LoJax,MosaicRegressorなど,複数の実世界のUEFIブートキットを確実に検出できることがわかった。 これらの結果は、Peacockがファームウェア層内で実用的な可視性と検証機能を提供し、従来のOSレベルのセキュリティメカニズムをバイパスする脅威に対処していることを示している。

関連論文リスト

• GhostEI-Bench: Do Mobile Agents Resilience to Environmental Injection in Dynamic On-Device Environments? [30.170538068791263]
  VLM(Vision-Language Models)は,モバイルグラフィカルユーザインターフェース(GUI)をナビゲートする自律エージェントとして,ますます普及している。 環境注入は、GUIに直接敵のUI要素を挿入することで、エージェントの視覚的知覚を損なう。 GhostEI-Benchは、動的に実行可能な環境で環境注入攻撃を受けるモバイルエージェントを評価するための最初のベンチマークである。
  論文  参考訳（メタデータ） (2025-10-23T08:33:24Z)
• DRIFT: Dynamic Rule-Based Defense with Injection Isolation for Securing LLM Agents [52.92354372596197]
  大規模言語モデル(LLM)は、強力な推論と計画能力のため、エージェントシステムの中心となってきています。 この相互作用は、外部ソースからの悪意のある入力がエージェントの振る舞いを誤解させる可能性がある、インジェクション攻撃のリスクも引き起こす。 本稿では,信頼に値するエージェントシステムのための動的ルールベースの分離フレームワークを提案する。
  論文  参考訳（メタデータ） (2025-06-13T05:01:09Z)
• VPI-Bench: Visual Prompt Injection Attacks for Computer-Use Agents [74.6761188527948]
  完全なシステムアクセスを持つコンピュータ利用エージェント(CUA)は、セキュリティとプライバシの重大なリスクを負う。 我々は、悪意のある命令がレンダリングされたユーザーインターフェイスに視覚的に埋め込まれた視覚的プロンプトインジェクション(VPI)攻撃について検討する。 実験により,現在のCUAとBUAは,それぞれのプラットフォーム上で最大51%,100%の速度で騙すことができることがわかった。
  論文  参考訳（メタデータ） (2025-06-03T05:21:50Z)
• CANTXSec: A Deterministic Intrusion Detection and Prevention System for CAN Bus Monitoring ECU Activations [53.036288487863786]
  物理ECUアクティベーションに基づく最初の決定論的侵入検知・防止システムであるCANTXSecを提案する。 CANバスの古典的な攻撃を検知・防止し、文献では調査されていない高度な攻撃を検知する。 物理テストベッド上での解法の有効性を実証し,攻撃の両クラスにおいて100%検出精度を達成し,100%のFIAを防止した。
  論文  参考訳（メタデータ） (2025-05-14T13:37:07Z)
• MIP against Agent: Malicious Image Patches Hijacking Multimodal OS Agents [60.92962583528122]
  オペレーティングシステム(OS)エージェントの最近の進歩により、視覚言語モデル(VLM)がユーザのコンピュータを直接制御できるようになった。 これらのOSエージェントに対する新たなアタックベクターを発見した:MIP(Malicious Image Patches) MIPは、OSエージェントにキャプチャされたとき、特定のAPIを活用することで有害なアクションを誘導する画面領域を逆向きに乱した。
  論文  参考訳（メタデータ） (2025-03-13T18:59:12Z)
• UEFI Memory Forensics: A Framework for UEFI Threat Analysis [22.944352324963546]
  UEFIメモリ法医学のためのフレームワークを提案する。 提案するフレームワークは,メモリ取得ツールであるUefiMemDumpと,解析モジュールの拡張可能なコレクションであるUEFIDumpAnalysisの2つの主要コンポーネントで構成されている。 我々の研究は、研究者や実践者がファームウェアレベルの脅威を調査し、分析モジュールを追加し、OS以下のセキュリティを総合的に進めることを可能にする。
  論文  参考訳（メタデータ） (2025-01-28T14:05:06Z)
• EILID: Execution Integrity for Low-end IoT Devices [12.193184827858326]
  EILIDは、ローエンドデバイス上でのソフトウェア実行の整合性を保証するハイブリッドアーキテクチャである。 それは、ソフトウェア不変性を保証する、予防ベースの(アクティブな)ハイブリッドRoot-of-Trust (RoT)の上に構築されている。
  論文  参考訳（メタデータ） (2025-01-16T00:31:39Z)
• ACRIC: Securing Legacy Communication Networks via Authenticated Cyclic Redundancy Integrity Check [98.34702864029796]
  安全クリティカルな業界における最近のセキュリティインシデントは、適切なメッセージ認証の欠如により、攻撃者が悪意のあるコマンドを注入したり、システムの振る舞いを変更することができることを明らかにした。 これらの欠点は、サイバーセキュリティを強化するために圧力をかける必要性を強調する新しい規制を引き起こしている。 我々は,レガシ産業通信をセキュアにするためのメッセージ認証ソリューションであるACRICを紹介する。
  論文  参考訳（メタデータ） (2024-11-21T18:26:05Z)
• SyzTrust: State-aware Fuzzing on Trusted OS Designed for IoT Devices [67.65883495888258]
  我々は、リソース制限されたTrusted OSのセキュリティを検証するための、最初の状態認識ファジィフレームワークであるSyzTrustを紹介する。 SyzTrustはハードウェア支援フレームワークを採用し、IoTデバイス上でTrusted OSを直接ファジングできるようにする。 我々は、Samsung、Tsinglink Cloud、Ali Cloudの3つの主要なベンダーからSyzTrust on Trusted OSを評価した。
  論文  参考訳（メタデータ） (2023-09-26T08:11:38Z)
• PA-Boot: A Formally Verified Authentication Protocol for Multiprocessor Secure Boot [7.945777469643774]
  ハードウェアサプライチェーン攻撃は、マルチプロセッサ安全なブートをバイパスすることができる。 本稿では,マルチプロセッサシステムにおけるセキュアブートのためのプロセッサ認証プロトコルとして,PA-Bootを提案する。
  論文  参考訳（メタデータ） (2022-09-16T13:54:43Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。