編集部からのお知らせ
Pick up! ローコード開発の行方
「これからの企業IT」の記事はこちら

McAfee、暗号化されたOffice文書による検知回避技法を紹介

NO BUDGET

2015-09-14 17:49

 マカフィーは9月14日、旧式のMicrosoft Officeドキュメント形式「Office Binary Format」の暗号化バイナリによりアンチウイルス(AV)製品の検知を回避しようとする攻撃者の技法について、実際に解析した不正コードのサンプルを交え公式ブログで紹介した。この手法を用いた攻撃では、大半のAV検知の回避に成功したケースもあるという。

 サンプルとして紹介されたのは、Sandworm脆弱性を用いた不正コード。もともとは、Office Binary Formatに代わるOfficeドキュメント形式「Office Open XML Format」に沿った「.ppsx」形式としてパッケージされていた。

 Open XML Formatは透明かつオープンな形式のためサードパーティ製アプリケーションでも容易に解析・理解でき、セキュリティ製品での検知も簡単だった。

 しかしその後、多くのSandworm不正コードでOffice Binary Formatを使用する「.pps」形式になりすましているケースが確認されているという。Office Binary Formatは互換性維持のため現在でもOfficeでサポートされており、その仕様はMicrosoftにより公開されているものの理解が困難で、セキュリティベンダーは検知に手こずってしまうとのこと。

 例えばThreatGeekサイトが報告したスピアフィッシングキャンペーンでは、不正コードが.pps形式でパッケージし直され、大半のAV検知の回避に成功したという。

 .pps形式は、さらに暗号化されていない「プレーンな」形式と、暗号化された形式に分けられる。このうちプレーンな形式であれば、不正コードに一般的なパターンを持つシグネチャなどから検知することも可能だが、より検知を困難にする暗号化形式を使用する例も確認されている。

 下記サンプルのように、プレーンな形式ではファイルの中身に「package」の文字列が認識できるのに対し、暗号化された形式では見当たらない。


プレーンな.pps形式のサンプル

暗号化された.pps形式のサンプル(マカフィー提供)

 この暗号化.pps形式を用いたサンプルは、表示は誰でも可能だが編集は不可となっており、不正コードは開く(表示する)だけで機能するのに対し、編集不可となっているためセキュリティ製品や研究者によるコンテンツの分析を困難にしている。Officeのドキュメント保護機能を巧みに利用した技法だ。

 ブログ筆者は、どのセキュリティ製品も単独では全ての脅威を阻止できないことが浮き彫りになったとし、サンドボックスベースの「Advanced Threat Defense」と「Host Intrusion Prevention」の併用が最適だとしている。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. 運用管理

    ファイルサーバ管理のコツはここにあり!「無法状態」から脱出するプロセスを徹底解説

  2. クラウドコンピューティング

    社員の生産性を約2倍まで向上、注目の企業事例から学ぶDX成功のポイント

  3. コミュニケーション

    真の顧客理解でCX向上を実現、いまさら聞けない「データドリブンマーケティング」入門

  4. ビジネスアプリケーション

    デメリットも把握しなければテレワークは失敗に?─LIXIL等に学ぶ導入ステップや運用のコツ

  5. 運用管理

    ニューノーマルな働き方を支えるセキュリティ-曖昧になる境界に変わらなくてはならないデータセンター運用

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]