Zscaler のセキュリティ研究者は、マルウェア作成者が仮想マシンを回避するために使用する新しい手法を発見し、セキュリティ研究者による分析からコードを保護します。
そもそもマルウェアを作成した攻撃者は通常、自分のコードが検出されないようにしたいと考えています。そうすれば、そのマルウェアをより長期間、より多くのマシンで使用できるからです。
Microsoft Word マクロを介したマルウェア
Word文書の「マクロ」スクリプト機能を利用することは、標的を感染させる一般的な方法です。マルウェア作成者は、シグネチャベースのウイルス対策ソフトウェアを回避するためにコードを難読化し、仮想マシンやその他の分析ツールを回避する技術も実装しています。
これらのテストは、ダウンロード文書内のマクロスクリプトに記述されています。ただし、ユーザーはまずマクロを有効にする必要があります。Microsoftはセキュリティ上の理由から、何年も前にWordのマクロをデフォルトで無効にしていたためです。マルウェア作成者はソーシャルエンジニアリングの手法を用いて、ファイルをダウンロードしたユーザーの少なくとも一部にマクロを有効化させることができます。
次に、スクリプトはシステム上に存在する可能性のある標準的な仮想環境文字列をチェックします。また、Windows Management Instrumentation(WMI)をチェックし、分析システム、仮想環境、または一般的な分析ツールがWindows Management Instrumentationと通信していないかどうかを確認します。
これらのチェックのいずれかが陽性の結果を示した場合、マクロコードの実行は停止し、PCへの感染を目的とした最終的なマルウェアペイロードはダウンロードされなくなります。一方、テストが失敗した場合、マルウェアはコンピュータにダウンロードされます。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
Zscaler社は、ランサムウェア、バンキング型トロイの木馬、バックドア型トロイの木馬など、多くの種類のマルウェアファミリーがWord文書を感染の初期ベクトルとして使用していると述べた。
新しいサンドボックス対策技術
Zscalerの研究者は5月に、マルウェア作成者がサンドボックスを回避するためにいくつかの新しい手法を用いていることを発見したと述べています。例えば、Officeの「RecentFiles」プロパティに3以上の値を設定することで、ユーザーが最近3つ以上のドキュメントにアクセスしたかどうかを確認します。
セキュリティ研究者は通常、クリーンなOSとOffice環境を使用し、Word文書を1つか2つ程度開いてテストを行います。そして、そのVMのスナップショットを保存しておき、新しいテストを行う際にいつでもクリーンな状態に戻せるようにします。今、マルウェア作成者は、セキュリティ研究者のこの典型的な行動を利用して検出を回避しようとしています。
もう一つの新たな回避手法は、マクロスクリプトにユーザーの外部IPアドレスをチェックさせ、それを複数のセキュリティベンダーの既知のサーバーロケーションやデータセンターと比較させるというものです。ユーザーのIPアドレスがベンダーのIPアドレスのいずれかと一致した場合、マクロはマルウェアペイロードを送信せず、自身を終了します。
こうしたサンドボックス回避技術はマルウェア作成者の間でますます人気が高まっていますが、マルウェア作成者自身にも逆効果となる可能性があります。例えば、エクスプロイト対策ツールであるHitManPro.Alert 3には、まさにこの種の「ワクチン接種」と呼ばれる機能が追加されています。この機能は、サンドボックス対応マルウェアを、VM内にいる、あるいはリバースエンジニアリングのために監視されていると錯覚させることで、自己終了させます。
しかし、例年通り、ブラックハットとホワイトハットの間では、互いのコードの脆弱性を悪用しようとするいたちごっこが続くでしょう。マルウェア作成者は分析ツールを回避する新たな方法を模索し、アンチマルウェアベンダーはそれらを阻止するために製品の改良を続けていくでしょう。
ルシアン・アルマスはTom's Hardwareの寄稿ライターです。 @lucian_armasuでフォローできます。
ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。
