今週の進捗

Size: px

Start display at page:

Download "今週の進捗"

ときおとべ
5 years ago
Views:

1 Virtualize APIC access による APIC フック手法立命館大学富田崇詠, 明田修平, 瀧本栄二, 毛利公一 2016/11/30 1

はじめに (1/2) マルウェアの脅威が問題となっている 2015年に4 億 3000

スレッド単位でトレースしマルウェアの挙動を観測マルウェア観測用 PC ユーザモード

Analyzer Alkanet システムコールをフックし, 情報取得ログログ IEEE1394

2 はじめに (1/2) マルウェアの脅威が問題となっている 2015年に4 億 3000 万以上の検体が新たに発見されているマルウェア対策にはマルウェアが持つ機能挙動の正確な解析が重要マルウェア動的解析システム : Alkanet 仮想計算機モニタのBitVisorの拡張機能として動作システムコールをプロセススレッド単位でトレースしマルウェアの挙動を観測マルウェア観測用 PC ユーザモードカーネルモード BitVisor VM SystemCall Windows SystemCall Analyzer Alkanet システムコールをフックし, 情報取得ログログ IEEE1394 ロギング用 PC LogAnalyzer 表示保存 Logger Symantec: 2016 年インターネットセキュリティ脅威レホート第 21 号 (2016). 2016/11/30 2

3 はじめに (2/2) 他プロセスへコード挿入を行うマルウェアが存在するマルウェアに起因するシステムコールの識別が困難ブランチトレース機能を用いたシステムコール呼出し元アドレス取得手法 User Kernel Branch Trace Store(BTS) により取得した分岐元アドレス分岐先アドレスからシステムコール発行時の関数呼出し階層を特定マルウェアプロセス injection 被感染プロセス発行されたシステムコールがマルウェアに起因するものか識別が可能 call System call メモリ空間 ( 非感染領域 ) ( 感染領域 ) API ( 非感染領域 ) Windows Kernel call call 2016/11/30 3

4 BTS を用いた分岐記録 BTS の記録は BTS Buffer 内に記録されるバッファあふれが発生する場合があるシステムコール発行前の分岐を全て記録できないマルウェアに起因するシステムコール発行を識別できない BTS の割込み機能を用いた継続的な分岐記録 BTS Buffer に限界まで記録が蓄積した時に割込みを発生させる割込み発生毎に記録を退避させる from: 40051c to : BTS による記録 BTS Buffer いっぱいまで蓄積 BTS Buffer 2016/11/30 4

5 BTS の割込み制御 BTSの割込みを制御するには APIC 内のLVT(Local Vector Table) を変更する必要がある割込みベクタ番号割込みのマスクなどの制御ゲストOSに変更されるとBTSの割込みが正常に動作しない可能性がある APIC へのアクセスをフックしゲスト OS による変更を防ぐ 2016/11/30 5

6 BitVisor 上での APIC フック手法 BitVisor内の関数を用いたMMIOフック EPT Violationを用いたフック手法 mmio_register関数でフック対象を指定できる BitVisorで利用されている Intel VTのVirtualize APIC accessを用いたフック APICページへのアクセス時にVM Exitを発生させる BitVisorでは利用されていない 2016/11/30 6

7 BitVisor での MMIO フック EPT Violationによってフックを実現されている Intel VT-xのアドレス空間仮想化機構フック対象をマップしないことでEPT Violationを起こす APICのMMIO 領域をフック対象に指定 0xFEE0 0340(LVT PC) をフックする必要がある 2016/11/30 7

8 Virtualize APIC access を用いたフック VM Execution Controls Virtualize APIC 自体の有効化 APIC access address APIC page の物理アドレスを指定 APIC-access VM Exit(Exit Reason 44) 時に実行される処理の追加 cpu_interpreter 関数を実行 VM VMM ゲスト OS アクセス APIC access page 物理アドレス指定 APIC-access Address in VMCS VM Exit 2016/11/30 8

9 Virtualize APIC access を用いた場合と MMIO フックを用いた場合の起動時間 (1/2) BitVisor内の関数を用いたMMIOフック LVTに限定してフックした場合 APIC全体をフックした場合 Intel VTのVirtualize APIC accessによるフックこれらの起動時間を確認各条件で3 回ずつ計測 Windows XPで起動 GrubでのOS 選択からデスクトップ画面表示までを計測 2016/11/30 9

10 Virtualize APIC access を用いた場合と MMIO フックを用いた場合の起動時間 (2/2) BitVisor内の関数を用いたMMIOフック LVTに限定してフックした場合平均 4 分 6 秒 APIC全体をフックした場合平均 4 分 8 秒 Intel VTのVirtualize APIC accessによるフック平均 4 分 10 秒起動時間に大きな差は出なかった 2016/11/30 10

11 フック手法による比較両手法とも起動時間に大きな差はなかった両方 APICページ全体をフックしているためか BitVisorのMMIOフック機能 EPT Violationを応用した機能のため, これ以上のオーバヘッド削減方法がなさそう Intel VT-xのVirtualize APIC access VM Exit回数削減のための機能があるオーバヘッド削減の余地がある 2016/11/30 11

12 Virtualize APIC access を利用オーバヘッド削減のための機能が存在する Virtualize APIC accessを採用 APICレジスタへのアクセスを仮想化しVM Exit 回数の削減 TPR Shadow TPRへのアクセスを仮想化 APIC Register Virtualization TPR以外のレジスタ (EOI,IRR,ISRなど) を仮想化フックが必要なLVTへアクセスした時のVM Exitも削減されてしまう TPR Shadow を用いて動作を確認する 2016/11/30 12

13 TPR TPR の値と割込みの優先度を比較し, マスクするか判断される割込みの優先度はベクタ番号から決定される割込み優先度 = ベクタ番号 /16 Windows の起動時に発生する APIC アクセスのほとんどが TPR TPR = a CPU 優先度 a 以上優先度 a 未満 2016/11/

14 TPR Shadow を用いた VM Exit 削減 TPRレジスタへのアクセスを仮想化 VMCS内のVM Execution Controlsのビットを変更し有効化その他に必要な設定 Virtual APIC page TPR Threshold 2016/11/30 14

15 その他の必要な設定 Virtual APIC page の設定メモリを確保しその物理アドレスを指定 TPR の値を格納する場所として用意 TPR Threshold TPR への書込み時に, VM Exit を起こすかどうかの閾値書込まれた TPR の値が TPR Threshold 以下なら VM Exit VM Guest OS VMM VM Exit BitVisor read/write APIC Page Virtual APIC Page 2016/11/30 15

16 TPR Threshold の変更 (1/2) Xen のソースコードを参考に処理を追加 TPR Threshold の変更割込みがブロックされた時に値を変更するブロックされた割込みと同じ優先度を設定する動作例 LAPIC TPR = 5 TPR Threshold = 0 優先度 4 の割込み LAPIC TPR = 5 VM Exit TPR=3 の書込み TPR Threshold = /11/30 16

17 TPR Threshold の変更 (2/2) IRR( 割込み要求レジスタ ),ISR( インサービスレジスタ ) から APIC が受信している割込みベクタ番号を取得できる追加した関数 check_tprblock 以下 2 つの関数を実行し, その結果から TPR Threshold を変更する vlapic_has_pending_irq ISR,IRR の値を read interrupt_blocked TPR の値と ISR,IRR の値を用いてブロックの原因を識別 2016/11/30 17

18 TPR Shadow 動作検証 (1/2) Virtualize APIC access,tpr Shadowを有効にし起動 TPRアクセスによるVM Exit 発生時にログ出力 TPRによるVM Exitが削減されているかを確認するため正常に起動するか確認ゲストOSとしてWindows XPを実行 2016/11/30 18

19 TPR Shadow 動作実験 (2/2) TPR アクセスによる VM Exit 時のログは出なかった VM Exit の削減に成功している TPR Shadow 自体は動作しているロゴ画面が表示された瞬間に停止起動までは確認できず動作停止の原因は調査中 2016/11/30 19

20 おわりに Virtualize APIC accessを利用したapicフックを確認 MMIOフックとVirtualize APIC accessで起動時間に大きな差はなかった Virtualize APIC accessには VM Exit 回数を削減できる機能がある TPR Shadowを試したが起動中に停止今後の予定動作停止について調査 TPR Shadowを用いた場合の起動時間計測 2016/11/30 20

bitvisor_summit.pptx

bitvisor_summit.pptx BitVisor 内蔵の lwip で Alkanet ログの送信を試みる命館学システムソフトウェア研究室下雄也, 明修平, 瀧本栄, 利公 1 はじめに (1/4) 近年, マルウェアが増加しており, マルウェアの脅威が問題となっているマルウェアの脅威に対抗するためには, 多数のマルウェアを迅速に解析する必要があるシステムコールトレーサ Alkanet Windows 上で動作するマルウェアを対象とし,