| 講演抄録/キーワード |
| 講演名 |
2026-03-04 09:50
サンドボックス解析を回避する実証コード群のLLMを用いた生成 ○松澤 輝・東 志拓・グエン ティ ヴァン アン・田辺瑠偉・インミン パパ・吉岡克成(横浜国大) ICSS2025-116 |
| 抄録 |
(和) |
サンドボックス解析は,マルウェアの挙動を把握する上で不可欠な技術である一方,解析環境を検知して解析を逃れる「回避型マルウェア」が深刻な問題となっている.
既存研究では回避耐性の向上手法が提案されているが,評価用検体セットの不足により十分な評価が難しく,結果としてサンドボックスの回避耐性は依然として課題として残っている.
そこで本研究ではサンドボックスの回避耐性評価を目的に,多様な実証コードからなる大規模データセットを構築する.具体的には,言語や実装方針が異なる既存評価ツールのPoCをLLMを用いて統一的な形式で再実装するとともに,先行研究で定義された回避技術のカテゴリ定義に基づき,LLMを用いて回避手法を探索・実装することで,既存ツールで十分にカバーされない回避技術を補完する.
さらに,生成したPoCを基にLLMで実装を書き換えることで,単一の回避技術に対する実装バリエーションを拡張する.
一方で,LLMが生成したコードには誤りが含まれ得るため,ビルド可否,正常実行,一定の回避性能を検証する3段階の手順を設け,基準を満たすPoCのみをデータセットに採用する.
実験では4,508件のPoCを生成し,検証の結果1,520件をデータセットに採用した.作成したデータセットを商用サンドボックスに適用した結果,593件(39.0%)が実行環境を正しくサンドボックスと判定した.一方,既存ツールに含まれる246件のPoCを同一条件で実行した場合,回避に成功したのは56件(22.8%)にとどまった.以上より,本データセットは既存ツールより規模・性能の両面で優れており,サンドボックスの回避耐性評価に有用である. |
| (英) |
Sandbox analysis is essential for understanding malware behavior, yet evasive malware can detect analysis environments and avoid observation. Although many defenses have been proposed, evaluating sandbox evasion resistance remains difficult due to the lack of comprehensive test samples.
We present a large-scale dataset of proof-of-concept (PoC) programs for assessing sandbox evasion resistance. Using large language models (LLMs), we unify and reimplement PoCs from existing tools, extend coverage by generating additional techniques guided by prior technique taxonomies, and produce multiple implementation variants per technique. To mitigate errors in LLM-generated code, we retain only PoCs that pass a three-stage validation pipeline: buildability, correct execution, and verification of evasion-related behavior.
We generated 4,508 PoCs with an OpenAI model and curated 1,520 validated PoCs. When tested on a commercial sandbox, 593 PoCs (39.0%) detected the environment as a sandbox, compared with 56 (22.8%) of 246 PoCs from existing tools under the same conditions. Our dataset is larger and more effective than tool-based PoC sets, enabling more rigorous evaluation of sandbox evasion resistance. |
| キーワード |
(和) |
サンドボックス解析 / 回避型マルウェア / 大規模言語モデル / / / / / |
| (英) |
Malware Dynamic Analysis / Sandbox Evasion / Large Language Model / / / / / |
| 文献情報 |
信学技報, vol. 125, no. 381, ICSS2025-116, pp. 224-230, 2026年3月. |
| 資料番号 |
ICSS2025-116 |
| 発行日 |
2026-02-24 (ICSS) |
| ISSN |
Online edition: ISSN 2432-6380 |
著作権に ついて |
技術研究報告に掲載された論文の著作権は電子情報通信学会に帰属します.(許諾番号:10GA0019/12GB0052/13GB0056/17GB0034/18GB0034) |
| PDFダウンロード |
ICSS2025-116 |
|