【CODE BLUE 2023】赤羽秀 & 岡本剛 & 川古谷裕平 / Shu Akabane & Takeshi Okamoto & Yuhei Kawakoya
●Abstract
stelftools: クロスアーキテクチャに対応した静的結合されたライブラリ関数の特定ツール [ ja ]
stelftools: cross-architecture static library detector for IoT malware [ en ]
今回はBlueboxのカテゴリから「stelftools: クロスアーキテクチャに対応した静的結合されたライブラリ関数の特定ツール」の講演を行う、赤羽 秀氏、岡本 剛氏、川古谷 裕平氏のインタビューをお届けします。講演メインの発表者である赤羽氏より回答をいただきました。
stelftoolsは、シンボル情報が削除されたIoTマルウェアから静的にリンクされたライブラリ関数を識別するためのツールで、命令列のマッチングや関数の依存関係を利用して解析者の手間を減らすといいます。
We are presenting an interview with Shu Akabaneーsan, Takeshi Okamotoーsan, and Yuhei Kawakoyaーsan, who will conduct a lecture from the Bluebox category on "stelftools: cross-architecture static library detector for IoT malware" We have received answers from Akabaneーsan, the main presenter of the session.
stelftools is a tool designed to identify library functions that are statically linked to IoT malware from which symbol information has been removed, utilizing instruction sequence matching and function dependencies to reduce the workload for analysts.
ーーーー
●Bio
赤羽 秀 [ ja ]
岡本 剛 [ ja ]
川古谷 裕平 [ ja ]
Shu Akabane [ en ]
Takeshi Okamoto [ en ]
Yuhei Kawakoya [ en ]
●Interview
[ja]インタビュー
Q1 今回、カンファレンスで発表する研究を始めたきっかけを教えてください。
A1 IoTマルウェアの解析課題として、CPUアーキテクチャの種類の多様さが挙げられます。
増加傾向にあるIoTマルウェアを効率的に解析するためには、関数単位での解析手法が有効であると考えました。
しかし、さまざまな調査結果から、ほどんどのIoTマルウェアからはシンボル情報が消去されており、関数の名前やアドレスに関する情報が消されていることがわかりました。
IoTマルウェアの脅威は今後も増え続けると考え、私たちはライブラリ関数の特定手法の開発に着手しました。
Q2 研究の過程でどのような点で苦労しましたか?
A2 私たちが提案したライブラリ関数の特定手法は、命令のバイト列のマッチングや依存関係、結合順の比較など、とてもシンプルな仕組みで実現しています。
しかし、実際にはワイルドカードを沢山の種類の再配置に対応させたり、CPUアーキテクチャごとに異なる呼び出し処理から呼び出し先アドレスを自動で取得できるように実装したりなど、細かいですが沢山の知識と時間が求められます。
その他にもいくつか工夫した点がありましたが、おかげさまで高い精度でライブラリ関数を特定できるようになりました。
Q3 CODEBLUEの参加者、参加を検討している人に向けてメッセージをお願いします。
A3 私自身、学会以外での国際会議は初めてであり、世界トップクラスの情報セキュリティの専門家のみなさんと同じステージに立つ機会をいただき大変光栄に感じています。
講演内容を見ると、どのセッションもとても魅力的で楽しそうです。
発表者としても聴講者としても、セキュリティ分野の最先端で活躍する方々と交流できる素晴らしい機会だと思います。
ーーー
[en]Interview
Q1. How did you initiate your journey into the topic that you are presenting?
A1. One of the challenges in analyzing IoT malware is the diversity of CPU architectures. We believed that a function-level analysis approach would be effective for efficiently analyzing the growing trend of IoT malware. However, various studies have shown that symbol information is deleted from most IoT malware, erasing information about function names and addresses. Anticipating that the threat of IoT malware will continue to increase, we embarked on developing methods to identify library functions.
Q2. What were some challenges you faced during this research?
A2. The method we proposed for identifying library functions is realized with a very simple mechanism, including matching instruction byte sequences, comparing dependencies, and linking order. However, in practice, it requires a great deal of knowledge and time to, for example, adapt wildcards to a large variety of relocations or implement automatic retrieval of the destination addresses from calling processes that differ for each CPU architecture. We made several other innovations as well, and thanks to these efforts, we have been able to identify library functions with high accuracy.
Q3. What message would you like to convey to those considering attending this talk?
A3, As for myself, this is my first international conference outside of academic societies, and I feel extremely honored to have the opportunity to share the stage with many of the world's top experts in information security. Looking at the content of the lectures, every session seems very appealing and exciting. I believe it's a wonderful opportunity to interact with people who are active at the forefront of the security field, both as a presenter and as an attendee.