QEMU is being widely used for emulating hardware. The emulation technology can be applied to various fields, one of the good example is dynamic malware analysis. A number of state-of-the-art malware analysis platforms are based on the QEMU. As the emulation is popularly deployed to analyze the behavior, malwares equip themselves with various anti-emulation techniques to fingerprint the QEMU environment. Research communities start to develop stealthy malware analysis platforms that manipulate the run-time environment to make malware misapprehend it is running on a native environment.Despite the fact that malware analysis platforms are equipped with stealth technology, discrepancies created by complicated hardware logics are exploited by attacker to detect emulated environment. It's an arms race between attacker who wants to conceal malicious behavior and defender who wants to reveal undisclosed malware. This paper systematically locate previous timing based QEMU detection methods using lazy TLB emulation and introduce new detection mechanism based on the characteristic of Tiny Code Generator(TCG) and behavioral discrepancies in QEMU which could be easily exploited for detecting emulated environment with least privileges and higher detection rate than previous works. We hope this paper alarm research communities and drive them to consider it in developing stealthy malware analysis platform.

QEMU는 다양한 하드웨어를 에뮬레이션 해주기 위해 사용되는 대표적인 소프트웨어 에뮬레이터이다. 에뮬레이션 기술은 다양한 분야에 적용되고 있는데, 그중 대표적인 예로 악성 소프트웨어인 말웨어를 탐지하기 위한 동적 분석도구를 들 수 있다. 이러한 사실은 최신의 동적 말웨어 분석도구들이 QEMU를 기반으로 하고 있다는 사실에서도 찾아볼 수 있다. 하지만 QEMU와 같은 에뮬레이터가 말웨어의 행위를 분석하기 위한 도구로 널리 사용됨에 따라, 공격자들은 자신의 말웨어를 QEMU 환경을 탐지할 수 있는 기술들로 무장시키고 있다. 반면, 방어자들은 말웨어가 실행되는 에뮬레이터 환경을 조작하여, 말웨어 스스로가 네이티브 환경에서 실행되고 있도록 착각하게 만드는 stealthy 말웨어 분석 도구를 개발하고 있다. 하지만, 현존하는 하드웨어들의 구조가 매우 복잡하여 이를 소프트웨어 적으로 완전히 모방하기란 어렵기 때문에 이러한 점을 이용한 QEMU 탐지 공격들이 늘어나고 있다. 즉, QEMU환경을 탐지하여 악성행위를 숨기려는 공격자와 이를 탐지하려는 방어자간의 군비경쟁(Arms-race)은 계속해서 지속되고 있다. 본 논문은 기존의 QEMU 탐지 기법들에 대해 나열하고, 그중 에뮬레이터와 하드웨어의 행동 차이를 이용하는 Timing 공격에 대해, lazy TLB 에뮬레이션 기법을 통한 해결책을 제시하고, 더 나아가 QEMU의 기반을 이루는 Tiny Code Generator(TCG)의 특징을 이용한 새로운 QEMU 탐지 기법을 제시한다. 이 탐지 기법은 기존의 기법들과 달리 최소한의 유저권한만을 요구하며 더 높은 확률로 QEMU환경을 탐지해 낼 수 있다. 본 논문에서 제시된 바를 토대로 방어자가 말웨어의 탐지 시도에 더욱 강력한 말웨어 분석 도구를 만들 수 있기를 바란다.