編集部からのお知らせ
(記事集)ニューノーマルで伸びる業界
「ニューノーマルとIT」新着記事一覧
ネットワークセキュリティの要諦

長期潜伏、自らを削除--サンドボックスを回避する未知のマルウェア - (page 2)

菅原継顕(Palo Alto Networks)

2014-05-16 07:30

未知のマルウェアのサンドボックス分析回避行動

 未知のマルウェアを検知するために各セキュリティベンダーは仮想マシン上で実際に疑わしいファイルを動作させてその挙動によりマルウェアかどうかを判定する仕組みを持ち始めています。これがサンドボックスでのマルウェア解析です。「分析の回避」とは、このサンドボックスによる解析を回避するための行動です。


サンドボックス上で分析を回避する行動

 「分析の回避」についてくわしく見てみましょう。約57%と最も多くみられたのが「長期潜伏」です。サンドボックス上で、しばらくじっとしてから行動を始めることでサンドボックス上での検知を逃れるというものです。

 次は約20%の「自身を削除」です。マルウェアである自分自身を削除することにより発見されにくくします。自分自身を削除すると何もできなくなってしまうのではないかと思われるかもしれませんが、そこで次に多かった「コードインジェクション」が関係してきます。

 これはすでに動いているホスト(クライアントPCやサーバ)上でのプロセス(動作中のプログラムの一部)に悪意のあるコードを書き加えることで、マルウェア自身や悪意のある行動を発見されにくくするテクニックです。他にもマスターブートレコード(起動ディスクの最初に読み込まれる領域)に感染するなど、自身を削除しても活動し続けるための行動も今回の調査で確認されました。

 これらの行動に対応するには「長期潜伏」による回避を試みるマルウェアを発見し、「自身を削除」や「コードインジェクション」といった回避行動を検知できるサンドボックスが必要です。

 コードインジェクションの行動を見つけるためには、一般的な他のアプリケーション(プロセス)をサンドボックス上で動作させておくことも重要です。この辺りはエンドユーザーでカスタマイズできない部分なのでサンドボックスによるマルウェア検知システムを導入する際、こうした回避行動に対する対応がなされているか確認することをお勧めします。

 0.09%のマルウェアは外部と通信できるかどうかを確認し、外部とつながっていなければサンドボックスである可能性が高いと判断し活動を停止させるという回避行動をとることが分かりました。

 このマルウェアを検知するにはインターネット接続されたサンドボックスの方が確実に検知できます。外部接続をエミュレートし、本当はインターネットに接続していないのに接続しているように見せかけるサンドボックスもありますが、エミュレーションを見破られるとマルウェアは活動を止めてしまうため、マルウェアを見逃す可能性が高くなります。

 これらの回避行動テクニックは、すでに多くのセキュリティベンダーによって対応済みとなっているため、今後もマルウェアは今までにない回避テクニックの開発を試みるはずです。サンドボックスがクラウドベースの場合はセキュリティベンダー側でアップデートするためエンドユーザーの作業はありませんが、サンドボックスがアプライアンス(オンプレミス)ベースの場合、新しい手法に対応するためアップデート作業が必要になる場合があります。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. 運用管理

    ファイルサーバ管理のコツはここにあり!「無法状態」から脱出するプロセスを徹底解説

  2. クラウドコンピューティング

    社員の生産性を約2倍まで向上、注目の企業事例から学ぶDX成功のポイント

  3. コミュニケーション

    真の顧客理解でCX向上を実現、いまさら聞けない「データドリブンマーケティング」入門

  4. ビジネスアプリケーション

    デメリットも把握しなければテレワークは失敗に?─LIXIL等に学ぶ導入ステップや運用のコツ

  5. 運用管理

    ニューノーマルな働き方を支えるセキュリティ-曖昧になる境界に変わらなくてはならないデータセンター運用

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]