Linuxが高性能コンピューティング、クラウドサービス、およびモノのインターネット(IoT)デバイスでの支配を続けているため、それはサイバー犯罪者の主要なターゲットになっています。
しかし、多くの研究がセキュリティをバイパスするためのWindows実行ファイルの操作に焦点を当てている一方で、Linux実行形式(ELF)はほぼ無視されてきました。
このギャップに対処するため、プラハのチェコ技術大学の研究者は、Linuxマルウェアがいかに簡単に最新の機械学習(ML)防御を回避できるかを評価する新しいツールを開発しました。
セマンティック保持変換
対抗的マルウェアの作成は微妙なバランス行為です。攻撃者は悪意のあるプログラムが完全に機能することを確保しながら、バイナリコードを変更してアンチウイルスソフトウェアを混乱させる必要があります。
研究者は「セマンティック保持変換」を使用してこれを実現しました。これは、元の実行フローを破壊することなく、ファイルの基本的な署名をセキュリティスキャナーに変更する修正です。
新しく設計されたジェネレータは、これらの変更を処理するために簡略化された遺伝的アルゴリズムに依存しています。
12種類の異なる改変と7つの異なるデータソースを使用して、修正空間を自動的に探索します。主な修正には次のものが含まれます:
- ELFファイルの末尾近くに新しいセクションを追加する。
- ロード可能なセグメント間の未使用のパディング空間を変更する。
- 無害なファイルコンテンツをマルウェア実行ファイルの末尾に追加する。
- .strtab文字列テーブルセクション内の静的記号を変更する。
機械学習検出器を騙す
ジェネレータをテストするために、研究者は広く使用されているMLベースのマルウェア検出器であるMalConvをターゲットにしました。回避ツールは非常に成功しました。
すべての修正タイプとデータソースが有効にされたとき、ジェネレータは67.74%の回避率(ER)を達成しました。これは、修正されたマルウェアの3分の2以上がAI搭載のディフェンスシステムをうまく通り抜けたことを意味しています。
さらに、修正はマルウェア分類に対する検出器の信頼度を平均で-0.50削減しました。
この研究からの興味深い発見は、MLモデルがいかに簡単に標準的なテキストで騙されたかでした。ジェネレータの詳細なログを分析することで、研究者は、無害なファイルから典型的な文字列を単に注入することが信じられないほど効果的であることを発見しました。
最も成功した回避技術は、.strtabセクションを変更し、クリーンファイルに典型的なシンボルをマルウェアに追加することでした。
これは重要な構造的弱点を明らかにします。ターゲットMLクラシファイアは、実行ファイル内のどこにでも配置された無害な文字列に対して非常に敏感に見えました。
この研究は、サイバーセキュリティの状況における増加する課題を強調しています。機械学習は未知の脅威を検出するために大きく依存していますが、この研究はMLモデルが簡単で慎重に作られた調整で騙されることができることを証明しています。
Linuxの使用が世界中で拡大し続けるにつれて、セキュリティベンダーは単純な文字列分析を超えたスキャンソリューションに更新する必要があります。
翻訳元: https://gbhackers.com/linux-elf-malware-generator-evades-ml-detection/
