McAfee、暗号化されたOffice文書による検知回避技法を紹介

NO BUDGET

2015-09-14 17:49

 マカフィーは9月14日、旧式のMicrosoft Officeドキュメント形式「Office Binary Format」の暗号化バイナリによりアンチウイルス(AV)製品の検知を回避しようとする攻撃者の技法について、実際に解析した不正コードのサンプルを交え公式ブログで紹介した。この手法を用いた攻撃では、大半のAV検知の回避に成功したケースもあるという。

 サンプルとして紹介されたのは、Sandworm脆弱性を用いた不正コード。もともとは、Office Binary Formatに代わるOfficeドキュメント形式「Office Open XML Format」に沿った「.ppsx」形式としてパッケージされていた。

 Open XML Formatは透明かつオープンな形式のためサードパーティ製アプリケーションでも容易に解析・理解でき、セキュリティ製品での検知も簡単だった。

 しかしその後、多くのSandworm不正コードでOffice Binary Formatを使用する「.pps」形式になりすましているケースが確認されているという。Office Binary Formatは互換性維持のため現在でもOfficeでサポートされており、その仕様はMicrosoftにより公開されているものの理解が困難で、セキュリティベンダーは検知に手こずってしまうとのこと。

 例えばThreatGeekサイトが報告したスピアフィッシングキャンペーンでは、不正コードが.pps形式でパッケージし直され、大半のAV検知の回避に成功したという。

 .pps形式は、さらに暗号化されていない「プレーンな」形式と、暗号化された形式に分けられる。このうちプレーンな形式であれば、不正コードに一般的なパターンを持つシグネチャなどから検知することも可能だが、より検知を困難にする暗号化形式を使用する例も確認されている。

 下記サンプルのように、プレーンな形式ではファイルの中身に「package」の文字列が認識できるのに対し、暗号化された形式では見当たらない。


プレーンな.pps形式のサンプル

暗号化された.pps形式のサンプル(マカフィー提供)

 この暗号化.pps形式を用いたサンプルは、表示は誰でも可能だが編集は不可となっており、不正コードは開く(表示する)だけで機能するのに対し、編集不可となっているためセキュリティ製品や研究者によるコンテンツの分析を困難にしている。Officeのドキュメント保護機能を巧みに利用した技法だ。

 ブログ筆者は、どのセキュリティ製品も単独では全ての脅威を阻止できないことが浮き彫りになったとし、サンドボックスベースの「Advanced Threat Defense」と「Host Intrusion Prevention」の併用が最適だとしている。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. ビジネスアプリケーション

    生成 AI 「Gemini」活用メリット、職種別・役職別のプロンプトも一挙に紹介

  2. セキュリティ

    まずは“交渉術”を磨くこと!情報セキュリティ担当者の使命を果たすための必須事項とは

  3. セキュリティ

    迫るISMS新規格への移行期限--ISO/IEC27001改訂の意味と求められる対応策とは

  4. セキュリティ

    マンガで分かる「クラウド型WAF」の特徴と仕組み、有効活用するポイントも解説

  5. セキュリティ

    警察把握分だけで年間4000件発生、IPA10大脅威の常連「標的型攻撃」を正しく知る用語集

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]