マカフィーは9月14日、旧式のMicrosoft Officeドキュメント形式「Office Binary Format」の暗号化バイナリによりアンチウイルス(AV)製品の検知を回避しようとする攻撃者の技法について、実際に解析した不正コードのサンプルを交え公式ブログで紹介した。この手法を用いた攻撃では、大半のAV検知の回避に成功したケースもあるという。
サンプルとして紹介されたのは、Sandworm脆弱性を用いた不正コード。もともとは、Office Binary Formatに代わるOfficeドキュメント形式「Office Open XML Format」に沿った「.ppsx」形式としてパッケージされていた。
Open XML Formatは透明かつオープンな形式のためサードパーティ製アプリケーションでも容易に解析・理解でき、セキュリティ製品での検知も簡単だった。
しかしその後、多くのSandworm不正コードでOffice Binary Formatを使用する「.pps」形式になりすましているケースが確認されているという。Office Binary Formatは互換性維持のため現在でもOfficeでサポートされており、その仕様はMicrosoftにより公開されているものの理解が困難で、セキュリティベンダーは検知に手こずってしまうとのこと。
例えばThreatGeekサイトが報告したスピアフィッシングキャンペーンでは、不正コードが.pps形式でパッケージし直され、大半のAV検知の回避に成功したという。
.pps形式は、さらに暗号化されていない「プレーンな」形式と、暗号化された形式に分けられる。このうちプレーンな形式であれば、不正コードに一般的なパターンを持つシグネチャなどから検知することも可能だが、より検知を困難にする暗号化形式を使用する例も確認されている。
下記サンプルのように、プレーンな形式ではファイルの中身に「package」の文字列が認識できるのに対し、暗号化された形式では見当たらない。
プレーンな.pps形式のサンプル
暗号化された.pps形式のサンプル(マカフィー提供)
この暗号化.pps形式を用いたサンプルは、表示は誰でも可能だが編集は不可となっており、不正コードは開く(表示する)だけで機能するのに対し、編集不可となっているためセキュリティ製品や研究者によるコンテンツの分析を困難にしている。Officeのドキュメント保護機能を巧みに利用した技法だ。
ブログ筆者は、どのセキュリティ製品も単独では全ての脅威を阻止できないことが浮き彫りになったとし、サンドボックスベースの「Advanced Threat Defense」と「Host Intrusion Prevention」の併用が最適だとしている。