Core Concepts
JITScannerは、実行可能ページの内容を実行時にリアルタイムでチェックすることで、マルウェアの検出を行う。
Abstract
JITScannerは、Linux OSにおいて実行可能ページの内容をリアルタイムでチェックするシステムである。従来のマルウェア検出手法とは異なり、JITScannerは実行可能ページにアクセスされた際にその内容をチェックする。これにより、実行時に暗号化されたコードが動的に復号化されるような場合でも、マルウェアを検出することができる。
JITScannerのアーキテクチャには、カーネルレベルとユーザレベルの2つの部分がある。カーネルレベルでは、実行可能ページへのアクセス時にその内容を即座にチェックする。同時に、ページのスナップショットをユーザレベルに渡し、より詳細な解析を行う。
特に、Write-Execute(WX)ページの管理には工夫が凝らされている。JITScannerはシャドウステートマシンを用いて、WXページの書き込みと実行を時間的に分離することで、ページ内容の変更を確実に検知できるようにしている。
JITScannerの評価実験では、従来手法と比べて高い検出率を示すことが確認された。また、一般的なアプリケーションやJITコンパイラを使うアプリケーションに対する性能への影響も小さいことが示された。
Stats
JITScannerは、従来手法と比べて、Emotetでは100%、Tsunamiでは80.2%、XMRIG Minerでは61.90%の検出率を示した。
一般的なアプリケーションに対する性能への影響は7%から13%の範囲であった。JITコンパイラを使うアプリケーションに対しては、同期チェックを無効にすれば5%以内の性能低下に抑えられることが確認された。
Quotes
"JITScannerは、実行可能ページの内容を実行時にリアルタイムでチェックすることで、マルウェアの検出を行う。"
"JITScannerはシャドウステートマシンを用いて、WXページの書き込みと実行を時間的に分離することで、ページ内容の変更を確実に検知できるようにしている。"