РОЗРОБЛЕННЯ БАГАТОВИМІРНОЇ ФАСЕТНОЇ ТАКСОНОМІЇ ТЕХНІК ОБФУСКАЦІЇ ШКІДЛИВОГО ПРОГРАМНОГО ЗАБЕЗПЕЧЕННЯ

Назарій Четвертуха; Віктор Отенко

doi:10.28925/2663-4023.2026.33.1254

Автор(и)

Назарій Четвертуха Національний університет «Львівська Політехніка» https://orcid.org/0009-0001-0944-2599
Віктор Отенко Національний університет «Львівська Політехніка» https://orcid.org/0000-0003-4781-7766

DOI:

https://doi.org/10.28925/2663-4023.2026.33.1254

Ключові слова:

обфускація шкідливого програмного забезпечення, фасетна таксономія, протидія аналізу, класифікаційна схема, поведінкова інваріантність, виявлення шкідливого програмного забезпечення, методологія Nickerson, багатовимірна класифікація, шкідливе програмне забезпечення

Анотація

У статті розглянуто проблему систематизації обфускаційних технік шкідливого програмного забезпечення, що ускладнюється структурними обмеженнями наявних класифікаційних схем у галузі та відсутністю інтегрованого підходу до опису класичних обфускаційних технік та технік протидії аналізу. У роботі поняття обфускації подається у широкому сенсі, що охоплює як класичні обфускаційні техніки, так і техніки протидії аналізу, об'єднані спільним призначенням приховування шкідливої поведінки програми від аналітичних інструментів. Проаналізовано класичні та сучасні таксономії обфускації, для яких виявлено спільні системні обмеження, що включають неможливість опису багатоаспектних технік за кількома незалежними властивостями, відсутність інтегрованого підходу до класичних обфускаційних технік та технік протидії аналізу, а також відсутність використання систематичної методології при побудові наявних класифікаційних схем. Метою роботи є розроблення багатовимірної фасетної таксономії технік обфускації ШПЗ, що усуває зазначені обмеження. Для досягнення поставленої мети використано метод побудови таксономій Nickerson, Varshney та Muntermann із чергуванням емпірико-концептуальних та концептуально-емпіричних ітерацій. У результаті сформовано фасетну таксономію з п'ятьма незалежними вимірами, а саме рівнем спостережуваності, масштабом впливу, механізмом перетворення, фазою прояву ефекту та поведінковою інваріантністю. Запропоновану таксономію застосовано для опису 16 представницьких обфускаційних технік сучасного ШПЗ. Окремо запропоновано вимір поведінкової інваріантності, який операційно відрізняє класичні обфускаційні техніки від технік протидії аналізу та забезпечує об'єднання двох напрямів технік приховування шкідливої поведінки у спільну класифікаційну рамку зі збереженням структурного розрізнення між ними. Запропонована таксономія створює методологічну основу для систематизації обфускаційних технік та проектування систем виявлення обфускованого ШПЗ.

Завантаження

Дані завантаження ще не доступні.

Посилання

AV-TEST Institute. (2025). Malware statistics & trends report (2024-2025). https://www.av-test.org/en/statistics/malware/

MITRE. (n.d.). Obfuscated files or information (Technique T1027). MITRE ATT&CK® Framework. https://attack.mitre.org/techniques/T1027/

Brezinski, K., & Ferens, K. (2023). Metamorphic malware and obfuscation: A survey of techniques, variants, and generation kits. Security and Communication Networks, 2023, Article 8227751, 1-41. https://doi.org/10.1155/2023/8227751

Galloro, N., Polino, M., Carminati, M., Continella, A., & Zanero, S. (2022). A systematical and longitudinal study of evasive behaviors in Windows malware. Computers & Security, 113, 102550. https://doi.org/10.1016/j.cose.2021.102550

Collberg, C., Thomborson, C., & Low, D. (1997). A taxonomy of obfuscating transformations (Technical Report No. 148). Department of Computer Science, The University of Auckland. https://researchspace.auckland.ac.nz/handle/2292/3491

Afianian, A., Niksefat, S., Sadeghiyan, B., & Baptiste, D. (2019). Malware dynamic analysis evasion techniques: A survey. ACM Computing Surveys, 52(6), Article 126, 1-28. https://doi.org/10.1145/3365001

Nickerson, R. C., Varshney, U., & Muntermann, J. (2013). A method for taxonomy development and its application in information systems. European Journal of Information Systems, 22(3), 336-359. https://doi.org/10.1057/ejis.2012.26

You, I., & Yim, K. (2010). Malware obfuscation techniques: A brief survey. In Proceedings of the 2010 International Conference on Broadband, Wireless Computing, Communication and Applications (BWCCA 2010) (pp. 297-300). IEEE. https://doi.org/10.1109/BWCCA.2010.85

Opirskyi, I., Dzioban, T., & Vasylyshyn, S. (2025). Bypassing EDR in combination with SIEM: Analysis of methods for hiding attacks in logs – A study of tactics used by attackers to avoid detection. Cybersecurity: Education, Science, Technique, 1(29), 8-26. https://doi.org/10.28925/2663-4023.2025.29.865

Xu, H., Zhou, Y., Ming, J., & Lyu, M. (2020). Layered obfuscation: A taxonomy of software obfuscation techniques for layered security. Cybersecurity, 3, Article 9. https://doi.org/10.1186/s42400-020-00049-3

Aboaoja, F. A., Zainal, A., Ghaleb, F. A., Al-Rimy, B. A. S., Eisa, T. A. E., & Elnour, A. A. H. (2022). Malware detection issues, challenges, and future directions: A survey. Applied Sciences, 12(17), 8482. https://doi.org/10.3390/app12178482

Asghar, H. J., Zhao, B. Z. H., Ikram, M., Nguyen, G., Kaafar, D., Lamont, S., & Coscia, D. (2024). Use of cryptography in malware obfuscation. Journal of Computer Virology and Hacking Techniques, 20(1), 135-152. https://doi.org/10.1007/s11416-023-00504-y

Park, J., Jang, Y.-H., Hong, S., & Park, Y. (2019). Automatic detection and bypassing of anti-debugging techniques for Microsoft Windows environments. Advances in Electrical and Computer Engineering, 19(2), 23-28. https://doi.org/10.4316/AECE.2019.02003

Carrier, T., Victor, P., Tekeoglu, A., & Lashkari, A. H. (2022). Detecting obfuscated malware using memory feature engineering. In P. Mori, G. Lenzini, & S. Furnell (Eds.), Proceedings of the 8th International Conference on Information Systems Security and Privacy (ICISSP 2022) (Vol. 1, pp. 177-188). SCITEPRESS. https://doi.org/10.5220/0010908200003120

Geng, J., Wang, J., Fang, Z., Zhou, Y., Wu, D., & Ge, W. (2024). A survey of strategy-driven evasion methods for PE malware: Transformation, concealment, and attack. Computers & Security, 137, 103595. https://doi.org/10.1016/j.cose.2023.103595

Alkhateeb, E., Ghorbani, A., & Habibi Lashkari, A. (2024). A survey on run-time packers and mitigation techniques. International Journal of Information Security, 23(2), 887-913. https://doi.org/10.1007/s10207-023-00759-y

Alkhateeb, E., Ghorbani, A., & Habibi Lashkari, A. (2024). Identifying malware packers through multilayer feature engineering in static analysis. Information, 15(2), 102. https://doi.org/10.3390/info15020102

Kundisch, D., Muntermann, J., Oberländer, A. M., Rau, D., Röglinger, M., Schoormann, T., & Szopinski, D. (2022). An update for taxonomy designers: Methodological guidance from information systems research. Business & Information Systems Engineering, 64(4), 421-439. https://doi.org/10.1007/s12599-021-00723-x

De Sutter, B., Schrittwieser, S., Coppens, B., & Kochberger, P. (2025). Evaluation methodologies in software protection research. ACM Computing Surveys, 57(4), Article 86, 1-41. https://doi.org/10.1145/3702314

Muralidharan, T., Cohen, A., Gerson, N., & Nissim, N. (2022). File packing from the malware perspective: Techniques, analysis approaches, and directions for enhancements. ACM Computing Surveys, 55(5), Article 108, 1-45. https://doi.org/10.1145/3530810