CSEC52_45

1. emit 命令を用いた XEN 仮想マシン上
の
セキュリティインシデントの
可観測化と可視化
安藤類央
情報通信研究機構
高橋一志
東京大学
須崎有康
産業技術総合研究所
第 146 回 マルチメディア通信と分散処理・
第 52 回コンピュータセキュリティ合同研究発表会
1
2
3

2. 概要 _emit 擬似命令を用いた
VM active monitor
■ 本論文では、 _emit 擬似命令を用いた仮想マシン上のセ
キュリティインシデントの能動的観測と可視化手法を提
案する。
■ 提案手法では、フィルタドライバによるレジストリアク
セスを _emit 擬似命令を用いてハイパーバイザー側へ通
知し、可視化を行う。
■ 可視化（次元削減）には、自己組織化マップを用いた。
■ 仮想 Windows OS をレジストリが定義するステートマシ
ンとすると、各種ソフトウェアのインストール、マル
ウェア感染などの状態遷移可視化は直感的な結果となっ
た。

3. 仮想化 vs Malware
■ 仮想化技術を用いたマルウェアの挙動の動的解
析
[ccs 2008] Ether: Malware Analysis via Hardware
Virtualization Extensions
[ACSAC 2009]MAVMM: Lightweight and Purpose
Built
VMM for Malware Analysis
[NDSS 2011]
Practical Protection of Kernel Integrity for

4. 関連研究 セマンティック・ギャップ
仮想マシンのイベントをいかに捕捉するか？
■ セマンティック・ギャップとは：仮想マシンのイベントは、仮想マ
シンモニタ側では IO 要求として発行される。
■ 仮想マシンモニタ側では、上でなにがおきているのか通常はわから
ない。
セマンティックギャップを埋める研究
①Lionel Litty, H. Andrés Lagar-Cavilla, David Lie: Hypervisor Support
for Identifying Covertly Executing Binaries. USENIX Security
Symposium 2008: 243-258
②Lares: An Architecture for Secure Active Monitoring Using
Virtualization 2008 IEEE Symposium on Security and Privacy
table of contents Bryan D. Payne, Martim Carbone, Monirul
Sharif, Wenke Lee
受動的観測⇒スナップ解析は計算時間、コストがかかるので、 Active
Monitor 方式を選択した。

5. Classification of cloud computing
on-premise, HaaS, PaaS and SaaS
Four deployment style
1 On-Premise
2 HaaS Hardware | OS
Creating service
3 PaaS Platform | App
Creating backend
application (DB)
4 SaaS App | Script
Creating frontend
application (Web, etc)
Private Cloud
Own and manage all
laysers

6. Classification of Virtualizations (structural)
There are 5 kinds of virtualization
methods.
[1][2]Logical / physical partition:
Multiboot. Operating systems
cannot run in at the Same time.
Grub bootloader, BIOS firmware
[3][4]VM / VMM OS or VM runs
virtually at the same time.
Qemu, VMWare, Virtual Box
XEN, Kernel Virtual Machine
[5]HOSTING / virtual OS
Multiprogramming.
Application and virtulized OS
runs on the same kernel
at same the time.
OpenVZ, Application Proxy,
VMM is new in the point that a thin
layer is inserted below the operating
system. VM and resource monitor is
constructed on OS.
HaaS is deployed on [3][4].

7. 提案手法（概要）
We monitor and visualize Windows OS behavior using virtual machine montitor.

8. 提案手法（詳細）
ログ文字列を１文字ずつ送信
１文字を ASCII コードとしてレジスタに格納
EMIT 命令で HYPERCALL を仮想 Windows 側から生成
XEN 側の do_hypercall (hvm.c) で仮想レジスタから ASCII コード取り出し

9. 提案手法
（シーケンス図 :XEN Hypervisor ）
XEN
ハイパーバイザーがホスト OS
Linux の下で稼動
手順①
仮想 Windows OS 内の DLL ・
フィルタドライバ内で
構築したログ情報・ハッシュ値
を仮想 CPU のコンテキストに
格納。その後、
Hypercall を発行
手順②
XEN 内の HYPECALL
ハンドラで仮想 CPU の
コンテキストから通知を捕捉・
ログ情報を取得。

10. EMIT 命令（ _emit Pseudoinstruction
インラインアセンブラで非対応の命令を使う方法
■ __asm{
mov eax, X : ACSII code of log string
_emit 0x0f
_emit 0x01
_emit 0xc1
}
Hypercall 呼び出し
_emit Pseudoinstruction
http://msdn.microsoft.com/en-
us/library/1b80826t.aspx

11. Windows OS as huge state machine
SDT
・ ・ ・
・ ・ ・
ZwCreateKey
ZwDeleteKey
ZwDeleteValueKey
ZwEnumerateKey
ZwEnumerateValueKey
ZwQueryKey
ZwQueryValueKey
ZwSetValueKey
・ ・ ・
・ ・ ・
Registry access table
Registry value
Represents state
of Windows OS

12. Windows レジストリアクセス API のダンプ
ZwCreateKey
B8 29 00 00 00 mov eax,29h <- eax にインデックスをコピー
8D 54 24 04 lea edx,[esp+4]
9C pushfd
6A 08 push 8
E8 30 1C 00 00 call 00407631 <- システムコール呼び出し
C2 1C 00 ret 1Ch
ZwQueryKey
B8 A0 00 00 00 mov eax,0A0h
8D 54 24 04 lea edx,[esp+4]
9C pushfd
6A 08 push 8
E8 E4 12 00 00 call 00407631
C2 14 00 ret 14h
ZwQueryValueKey
B8 B1 00 00 00 mov eax,0B1h
8D 54 24 04 lea edx,[esp+4]
9C pushfd
6A 08 push 8
E8 90 11 00 00 call 00407631
C2 18 00 ret 18h

13. Windows レジストリアクセスフッ
ク■windows/system32/ntoskrnl.exe にある SDT (service
descriptor table) のレジストリ部分を修正する。
■#define SYSCALL_INDEX(f)
*(PULONG)((PUCHAR)(f)+1)
SDT でのシステムコールテーブルインデックスを
求めるためのマクロを用いる
■#define SYSTEMSERVICE(f)
KeServiceDescriptorTable->
ServiceTable[SYSCALL_INDEX(f)]
システムコールコードへのアドレスを返すマクロ。
この値をフック関数のアドレスへ置き換える。

14. 自己組織化マップ
■ クラスタリング・次元削減のための教師なし学
習アルゴリズムのひとつ
Wv(t + 1) = Wv(t) + Θ(t)α(t)(D(t) - Wv(t))
D(t): 入力 Wt: 重み係数
Θ(t):BMU からの近傍半径 α(t): 学習係数
■k-mean 等に比べ、クラスタ数を与件としない、
データ間のトポロジーが変わらない等の特徴が
ある。

15. レジストリアクセス取得データと前処理
位時間（ SEC) あたりの上記１０フィルタの頻度カウントを入力 :D(t) とする。
v(t + 1) = Wv(t) + Θ(t)α(t)(D(t) - Wv(t))

16. Visualizing states of Windows OS
malware Data for (before) SOM processing
通常状態 normal state Zeus-wsnpoem (BotNet)
Klez (worm) Sassar (worm)

17. Visualizing Windows behavior
using SOM
INSTALLING
APPLICATION
(text editor)
INSTALLING
Device driver
(video card)
MALWARE
INFECTION

18. Visualizing Windows behavior
using SOM
Running P2P
application
Installing
Application
(text editor)
Malware
infection

19. Visualizing Windows behavior
using SOM
Running P2P
application
Running Internet
Explorer
Malware infection

20. 結論 _emit 擬似命令を用いた
VM active monitor
■ 本論文では、 _emit 擬似命令を用いた仮想マシン上のセ
キュリティインシデントの能動的観測と可視化手法を提
案した。
■ 提案手法では、フィルタドライバによるレジストリアク
セスを _emit 擬似命令を用いてハイパーバイザー側へ通
知し、可視化を行った。
■ 可視化（次元削減）には、自己組織化マップを用いた。
■ 仮想 Windows OS をレジストリが定義するステートマシ
ンとすると、各種ソフトウェアのインストール、マル
ウェア感染などの状態遷移可視化は直感的な結果となっ
た。

21. 負荷測定比較（ XEN,KVM) ファイルアクセス
Unzip による測定を行った。
大量のファイルアクセスが発行する場合、
KVM はリソース消費量が安定しないものの、
XEN より良好なパフォーマンスを示した。
結論： P2P 観測には KVM の方が適切。

22. 負荷測定比較（ XEN,KVM) HTTPD
Apache による測定を行った。
XEN はリソース消費量が安定せず、
IO 仮想化周りでパフォーマンスが落ちる。
しかし、大量のストリームをゲスト側で処理する
場合（レジストリ処理など）、 KVM ベースの
システムは仮想メモリ不具合が発生する。

23. 負荷測定比較（提案システムと ProcMon)