研究者たちは、Linuxマルウェアが微妙な機能保持型の変更を使用して機械学習(ML)ベースの検出システムをバイパスできるようにする新しい技術を発見しました。
この研究は、Linux環境を標的とした高度な脅威を検出する際のAI駆動型セキュリティツールの有効性に関する懸念の増加を浮き彫りにしています。
Linuxはクラウドインフラストラクチャ、高性能コンピューティング、およびIoTエコシステムを支配し続けているため、サイバー犯罪者にとってますます魅力的なターゲットになっています。
にもかかわらず、ほとんどのマルウェア回避研究は歴史的にWindowsポータブル実行可能形式(PE)ファイルに焦点を当てており、Linux ELF(実行可能形式とリンク可能形式)バイナリはあまり検討されていません。
このギャップに対処するために、プラハのチェコ工科大学の研究者たちは、Linuxベースの脅威がモダンなML防御をいかに簡単に回避できるかをテストするために設計された特殊なELFマルウェアジェネレータを開発しました。
彼らのアプローチは「セマンティック保持変換」に焦点を当てており、これはバイナリの構造を変更しながら実行に影響を与えません。
これらの変換は、マルウェアの元の動作を維持しながら検出モデルを混乱させるように慎重に設計されています。
このツールは、簡略化された遺伝的アルゴリズムを使用してこのプロセスを自動化し、複数の修正戦略を探索して最も効果的な組み合わせを選択します。
ジェネレータは7つの異なるデータソースを使用して12種類の変換を適用します。主な技術には、ELFファイルに新しいセクションを追加する、セグメント間の未使用パディングを修正する、バイナリに良性データを追加する、.strtab文字列テーブル内の静的シンボルを変更することが含まれます。
これらの変更は、機能を破壊することなく、セキュリティシステムにファイルがどのように見えるかを操作します。
その有効性を評価するために、研究者たちはジェネレータを広く使用されているML ベースのマルウェア検出モデルであるMalConvに対してテストしました。結果は重大でした。
すべての変換技術が適用されると、ツールは67.74パーセントの回避率を達成し、修正されたマルウェアサンプルの3分の2以上が検出をうまく回避したことを意味します。
さらに、修正は悪意のあるファイルを識別することの平均0.50のモデルの信頼度を低下させ、検出精度の大幅な弱化を示しています。
最も注目すべき発見の1つは、ML モデルが良性に見えるコンテンツによってどれほど簡単に誤解されるかということでした。
正当なファイルで一般的に見られる標準文字列の注入は、回避に非常に効果的であることが判明しました。特に、シンボル名が保存されている.strtabセクションへの修正により、攻撃者は無害に見える識別子を挿入して、モデルを誤分類にだましてしまうことができました。
この動作はMLベースの検出システムの構造的な弱点を明らかにしています。モデルはバイナリ内の位置に関係なく良性文字列に高い感度を示し、より深い行動分析ではなく表面的なパターンに大きく依存していることを示唆しています。
この研究は、サイバーセキュリティ防御者にとって重大な課題を強調しています。機械学習は最新の脅威検出の主要な要素になっていますが、慎重に作られた敵対的入力に対して依然として脆弱です。
Linuxの採用がエンタープライズおよびクラウド環境全体で増加し続けるにつれて、セキュリティベンダーは単純な文字列分析と静的機能を超えて検出メカニズムを強化する必要があります。
行動分析やコンテキスト認識検出などのより堅牢なアプローチが、ますます高度な回避技術から身を守るために必要になる可能性があります。
