Linuxファイルレスマルウェア検知手法に対するeBPFを用いた回避手法の提案とその対策

書誌事項

タイトル別名
  • Proposal of eBPF-based Evasion Methods Against Detection of Linux Fileless Malware and Their Countermeasures

説明

ファイルレスマルウェアはメモリ上にペイロードを配置するため,検知やフォレンジックが困難である.近年ではLinuxをターゲットとした検体も確認されており,その対策として複数の検知手法が考案されている.しかし,こうした検知手法は感染端末に用意されたコマンドやファイルに依存しており,それらが改ざんされた場合を考慮していない.たとえばLinuxに存在するeBPFという技術を悪用することで,システムコールやネットワークパケットの改ざんが可能である.そこで本論文では,現在考案されているLinuxファイルレスマルウェアの検知手法に対して,eBPFを用いた検知回避手法を提案し,実装を通してその実現性を示す.さらに,提案した検知回避手法に対する防御策についても考察を行い,既存の検知手法の堅牢性を向上させる手法を示す.

It is difficult to detect and analyze fileless malware because its payload resides in memory. Recently, samples of fileless malware have been found on Linux and several detection methods have been proposed to detect them. However, these detection methods rely on commands and files provided on the infected computer and do not consider potential tampering with them. For example, we can tamper with system calls and network packets by using ``eBPF'', a technology available on Linux. In this paper, we propose eBPF-based evasion methods against existing detection methods for Linux fileless malware, and show these feasibilities through implementation. In addition, we also discuss countermeasures against the proposed evasion methods and improve robustness of the existing detection methods.

収録刊行物

詳細情報 詳細情報について

問題の指摘

ページトップへ