マルウェア解析のための高速かつ安全なVMI機構

マルウェアの挙動や攻撃手法を解析する手段として，仮想マシン上のプログラムの内部状態を観察するVirtual Machine Introspection (VMI)という手法が用いられている．VMIには、主に外部のハイパーバイザから行うOut-of-the-box方式と仮想マシン内部から行うIn-the-box方式の2つがあるが，両者は解析時の動作速度の高速性と解析システムを保護・隠蔽する安全性の面でトレードオフの関係にある．そこで我々は，高速かつ安全なVMI機構としてFastVMIXを提案する．FastVMIXでは，マルウェアを解析する解析エージェントを仮想マシン内部に挿入することによってハイパーバイザへのコンテキストスイッチを減らしつつ，Intel CPUがサポートするVMFUNCのEPTP SwitchingとHuge Pageを用いた高速な動的メモリ保護変更機構により、マルウェアから解析エージェントのメモリ領域を保護・隠蔽する．また，準パススルー型ハイパーバイザを用いることで、仮想化のオーバーヘッド削減及び隠蔽度の向上を図る．本論文では，BitVisorをベースにFastVMIXを実装した結果を報告する．

As a means of quickly analyzing malware behavior and attack methods, a technique called Virtual Machine Introspection (VMI) is used to observe the internal state of programs on a virtual machine. A typical VMI system mainly takes either an out-of-the-box (i.e., with hypervisor) or in-the-box (i.e., within the virtual machine) approach; however, these two approaches involve a trade-off between the analysis speed and the security of protectiong and hiding the analysis system. In this paper, we propose FastVMIX that realizes fast and secure VMI. FastVMIX reduces the number of context switches to the hypervisor during malware analysis by inserting an analysis agent in the target virtual machine, while protecting and hiding the agent's memory area by switching memory protection with EPTP switching of VMFUNC and huge pages supported by Intel CPUs. In addition, we used a para-pass-through hypervisor to reduce the overhead of virtualization and improve the degree of hiding. This paper reports several experimental results of FastVMIX built on BitVisor.