論文の概要: Memory Forensics Techniques for Automated Detection and Analysis of Go Malware
- arxiv url: http://arxiv.org/abs/2605.14020v1
- Date: Wed, 13 May 2026 18:34:00 GMT
- ステータス: 翻訳完了
- システム内更新日: 2026-05-15 21:45:34.456764
- Title: Memory Forensics Techniques for Automated Detection and Analysis of Go Malware
- Title(参考訳): Goマルウェアの自動検出と解析のためのメモリフォレスト技術
- Authors: Hala Ali, Andrew Case, Irfan Ahmed,
- Abstract要約: Goバイナリのランタイム解析のための最初のメモリフォサイシクスフレームワークを提示する。
我々のフレームワークは、型と関数のメタデータを再構築し、ヒープに割り当てられた静的文字列を復元し、アプリケーションレベルの関数を識別する。
- 参考スコア(独自算出の注目度): 0.73493417424903
- License: http://creativecommons.org/licenses/by-nc-nd/4.0/
- Abstract: The Go programming language has become increasingly popular among malware developers due to its ability to produce statically linked, cross-platform executables that challenge traditional analysis techniques. These binaries embed a substantial runtime and compiler-generated metadata and are compiled with aggressive optimizations that discard type information for function parameters and local variables. Go's design further complicates analysis by representing strings as pointer-length pairs rather than null-terminated sequences, employing a caller-allocated stack model that obscures argument boundaries, and fragmenting program state across concurrent goroutines. Although existing static analysis and reverse engineering tools provide Go-specific support, they remain limited to compile-time artifacts and cannot recover runtime execution state and artifacts that persist solely in memory. To address this gap, we present the first memory forensics framework for runtime analysis of Go binaries. By parsing Go's internal structures, our framework reconstructs type and function metadata, recovers heap-allocated and static strings, and distinguishes application-level functions. Through ABI-aware backward analysis, it derives execution paths and argument values from call sites. To capture runtime state beyond what static analysis reveals, it analyzes goroutine stacks to identify actively executing functions and recover their runtime argument values. We implemented all capabilities as Volatility 3 plugins and evaluated them against malware seen in recent incidents, such as the BRICKSTORM backdoor, Obscura ransomware, and Pantegana RAT, as well as open-source samples for reproducibility. The framework successfully recovered C2 endpoints, persistence mechanisms, encryption keys, ransom notes, and execution state, including critical runtime artifacts that were absent from published threat intelligence.
- Abstract(参考訳): Go言語は、従来の分析技術に挑戦する静的にリンクされたクロスプラットフォーム実行可能ファイルを生成する能力によって、マルウェア開発者の間で人気が高まっている。
これらのバイナリは、実質的なランタイムとコンパイラ生成メタデータを組み込み、関数パラメータとローカル変数の型情報を破棄するアグレッシブな最適化でコンパイルされる。
Goの設計は、文字列をヌル終端シーケンスではなくポインタ長ペアとして表現することで分析をさらに複雑にし、引数境界を曖昧にする呼び出しアロケーションスタックモデルを使用し、同時にゴールーチンをまたいだプログラム状態を断片化する。
既存の静的解析とリバースエンジニアリングツールはGo固有のサポートを提供しているが、コンパイル時のアーティファクトに限られており、メモリ内でのみ持続するランタイム実行状態やアーティファクトを回復できない。
このギャップに対処するため、Goバイナリのランタイム解析のための最初のメモリフォサイシクスフレームワークを提示する。
Goの内部構造を解析することで、私たちのフレームワークは型と関数のメタデータを再構築し、ヒープに割り当てられた静的文字列を復元し、アプリケーションレベルの関数を区別します。
ABI対応の後方分析により、呼び出しサイトから実行パスと引数値が導出される。
静的解析が示す以上のランタイム状態をキャプチャするために、Goroutineスタックを分析して、アクティブに実行される関数を特定し、ランタイム引数値を復元する。
私たちはVolatility 3プラグインとしてすべての機能を実装し、BRICKSTORMバックドアやObscuraランサムウェア、Pantegana RATといった最近のインシデントに見られるマルウェアや、再現性のためのオープンソースサンプルに対して評価しました。
このフレームワークは、公開された脅威インテリジェンスから欠落している重要なランタイムアーティファクトを含む、C2エンドポイント、永続化メカニズム、暗号化キー、ランサムノート、実行状態の回復に成功した。
関連論文リスト
- TLSCheck 2.0: An Enhanced Memory Forensics Approach to Efficiently Detect TLS Callbacks [0.0]
本稿では,プロセスメモリにおけるTLSコールバックの検出と解析を目的としたTlsCheck for Volatility 3の強化版を提案する。
ヘッダとメモリ構造を分析してTLSコールバックテーブルを正確に検出し、特定のコールバックルーチンを分解する。
このフレームワークには、アンチエイジング、コードインジェクション、プロセス操作など、マルウェアに頻繁にリンクされる振る舞いをハイライトするインストラクションレベル分析も含まれている。
論文 参考訳(メタデータ) (2026-04-22T09:26:45Z) - Dynamic analysis enhances issue resolution [53.50448142467294]
DAIRA(Dynamic Analysis-enhanced Issue Resolution Agent)は、エージェントの推論サイクルに動的解析を組み込む自動修復フレームワークである。
テストトレース駆動の方法論によって駆動されるDAIRAは、軽量モニタを使用して重要なランタイムデータを抽出する。
Gemini 3 Flash Previewを使用すると、DAIRAは新たな最先端(SOTA)パフォーマンスを確立し、SWE-bench Verifiedデータセットで79.4%の解像度を達成する。
論文 参考訳(メタデータ) (2026-03-23T14:48:54Z) - HALF: Process Hollowing Analysis Framework for Binary Programs with the Assistance of Kernel Modules [10.10348463565392]
本稿では,細粒度解析のユーザビリティと性能を向上させるために,新たなバイナリプログラム解析フレームワークを提案する。
このフレームワークは主にカーネルモジュールを使用して、従来の動的バイナリーインスツルメンテーションの分析能力をさらに拡張している。
既存の動的バイナリーインスツルメンテーションプラットフォームの機能を再利用し、ターゲットプログラムの実行への影響を減らすことができる。
論文 参考訳(メタデータ) (2025-12-26T14:34:30Z) - InspectCoder: Dynamic Analysis-Enabled Self Repair through interactive LLM-Debugger Collaboration [71.18377595277018]
大きな言語モデル(LLM)は、診断が難しい複雑なロジックエラーを伴うバグの多いコードを生成することが多い。
対話型デバッガ制御による動的解析を LLM に委ねる初のエージェントプログラム修復システムである InspectCoder を提案する。
論文 参考訳(メタデータ) (2025-10-21T06:26:29Z) - Exposing Go's Hidden Bugs: A Novel Concolic Framework [2.676686591720132]
本稿では,Goプログラムを包括的に評価する新しい方法論であるZoryaを紹介する。
従来のテスト以上の脆弱性を明らかにするために、システミックに実行パスを探索することで、象徴的な実行には明確なメリットがある。
我々の解は、GhidraのP-Codeを中間表現(IR)として採用する。
論文 参考訳(メタデータ) (2025-05-26T16:26:20Z) - Beyond the Edge of Function: Unraveling the Patterns of Type Recovery in Binary Code [55.493408628371235]
本稿では,バイナリコードの変数型を復元するフレームワークByteTRを提案する。
ByteTRは、関数間の変数伝搬の普遍性を考慮して、変数伝搬をトレースするためのプロシーダ間解析を行い、ゲートグラフニューラルネットワークを用いて、変数型回復のための長距離データフロー依存性をキャプチャする。
論文 参考訳(メタデータ) (2025-03-10T12:27:05Z) - ReF Decompile: Relabeling and Function Call Enhanced Decompile [50.86228893636785]
逆コンパイルの目標は、コンパイルされた低レベルコード(アセンブリコードなど)を高レベルプログラミング言語に変換することである。
このタスクは、脆弱性識別、マルウェア分析、レガシーソフトウェアマイグレーションなど、さまざまなリバースエンジニアリングアプリケーションをサポートする。
論文 参考訳(メタデータ) (2025-02-17T12:38:57Z) - Scaling Symbolic Execution to Large Software Systems [0.0]
シンボル実行は、プログラム検証とバグ検出ソフトウェアの両方で使用される一般的な静的解析手法である。
我々は、Clang Static Analyzerと呼ばれるエラー検出フレームワークと、その周辺に構築されたインフラストラクチャーであるCodeCheckerに焦点を当てた。
論文 参考訳(メタデータ) (2024-08-04T02:54:58Z) - FoC: Figure out the Cryptographic Functions in Stripped Binaries with LLMs [51.898805184427545]
削除されたバイナリの暗号関数を抽出するFoCと呼ばれる新しいフレームワークを提案する。
まず、自然言語における暗号関数のセマンティクスを要約するために、バイナリ大言語モデル(FoC-BinLLM)を構築した。
次に、FoC-BinLLM上にバイナリコード類似モデル(FoC-Sim)を構築し、変更に敏感な表現を作成し、データベース内の未知の暗号関数の類似実装を検索する。
論文 参考訳(メタデータ) (2024-03-27T09:45:33Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。