Scholoar アラートにより以下の論文を知った.
Hwang, Tongwook, Youngsang Shin, Kyungho Son, and Haeryong Park. "Virtual Machine Introspection Based Rootkit Detection in Virtualized Environments." In International Conference on Advanced Computing and Services (ACS). 2014.
代表的な既存手法を挙げている点は参考になる.新規性があるのかは,この論文からだけでは,よく分からなかった.SIEMに興味を持った.
以下,簡単なまとめ.
- APTはルートキットの能力に依存しているので,ルートキットの検知が大事
- VMMを使うことで,Out-of-the-box なルートキット検知システムを実現
- クラウド環境でルートキット検知を実現する場合の要件
- agentless virtual security appliance
- hypervisor independence
- performance
- usability
- SIEM との連携
- 著者らの既存研究である vIPS を利用
- ルートキット検知に使う情報は,LibVMIを使って取得
6ページと短いからか,細かい話は著者らの既発表論文を参考にしろという感じで書かれていた.Table 1 と Table 2 は参考になる.Table 1 は,ルートキットを分類して,それぞれのルートキットの検知手法を示している.Table 2 は,VMIライブラリを三つ(LibVMI, LibGuestFS, VMSafe)紹介している.LibVMIしか使ったことはないけど,VMSafeが機能的にはもっとも充実している.ただし,利用できるVMMはVMWareだけだ.VMMとしてXenやKVMを使いたいなら,LibVMIとLibGuestFSを使うのが良い.
図は,ルートキット検知エンジンを動作させるVMについてしか書かれておらず,検査対象のVMが書かれていないのでよくわからなかった.
肝心のルートキット検知については,VMMと使ったよくあるマルウェア検知と何が違うのかは分からなかった.in-the-box な検知手法では,対象のホスト内にエージェントを挿入して情報を集め,集めた情報をもとに,ルートキットを検知する.しかし,ルートキットはカーネルレベルで動作するものもあって,エージェントを攻撃される場合がある.そこで,T. Garfinkel らの論文でout-of-the-boxな手法としてVMIが提案されていて,それをルートキット検知に使いましょう,という論文だった.おそらく,著者の業績のまとめのような位置付けの論文なので,細かいところは著者の既発表論文を読むしかない.
