ビデオ: Faith Evans feat. Stevie J – "A Minute" [Official Music Video] (九月 2024)
制御された環境で未知のソフトウェアの動的分析を実行する(つまり「サンドボックス化」)ことは、セキュリティの専門家がマルウェアをフラッシュするために使用する強力なツールです。 ただし、悪者はこの手法に賢明であり、サンドボックスからシステムに侵入するための新しいトリックを導入しています。
「動的分析は正しい方法であり、多くの人々がそれを行っています」と、セキュリティ会社LastLineの共同創設者兼主任科学者であるChristopher Kruegelは述べています。 「しかし、実際には、表面をひっかいているだけです。」 AVソリューションの古いモデルは、既知のマルウェアのリストに焦点を当てており、そのリストに一致するあらゆるものから保護していました。 問題は、この方法ではゼロデイ攻撃や既存のマルウェアの無数のバリエーションを防ぐことができないことです。
仮想マシンのような制御された環境で未知のソフトウェアを実行し、マルウェアのように振る舞うかどうかを監視するサンドボックスに入ります。 プロセスを自動化することにより、AV企業はこれまでに見たことのない脅威に対するリアルタイムの保護を提供することができました。
サンドボックスを破る
当然のことながら、悪者たちはサンドボックスをだましてマルウェアを無視させ、それを通過させる新しいツールを導入しました。 Kruegelは、マルウェアがこれを開始する2つの方法を挙げました。1つ目は、環境トリガーの使用です。このトリガーでは、マルウェアがサンドボックス環境で実行されているかどうかを微妙に確認します。 マルウェアは、ハードディスクの名前、ユーザーの名前、特定のプログラムがインストールされている場合、またはその他の基準をチェックする場合があります。
Kruegelが説明した2番目のより洗練された方法は、実際にサンドボックスを失速させるマルウェアでした。 このシナリオでは、マルウェアはチェックを実行する必要はなく、代わりにサンドボックスが満たされるまで無駄な計算を実行します。 サンドボックスがタイムアウトすると、マルウェアが実際のコンピューターに渡されます。 「マルウェアは実際のホストで実行され、ループを実行してから、悪いことをします」とクルーゲル氏は言います。 「これは、動的分析を使用するシステムにとって重大な脅威です。」
すでに野生に
これらのサンドボックスを破る手法の変種は、すでに注目を集める攻撃への道を見出しています。 Kruegelによると、先週の韓国のコンピューターシステムに対する攻撃は、検出を回避するための非常にシンプルなシステムでした。 その場合、Kruegelは、マルウェアが特定の日時にのみ実行されると述べました。 「サンドボックスが翌日または前日に取得した場合、何も実行されません」と彼は説明しました。
Kruegelは、マルウェアが中東の石油会社で数千台のコンピューター端末を破壊したAramco攻撃でも同様の手法を見ました。 「彼らは、IPアドレスがその領域の一部であることを確認していました。サンドボックスがその領域にない場合、実行されません」とクルーゲル氏は言います。
LastLineが確認したマルウェアのうち、KruegelはSecurityWatchに、少なくとも5%がすでにストールコードを使用していることを発見したと語った。
AVアームズレース
デジタルセキュリティは常にエスカレーションであり、対策は永遠に新しい反撃に対処します。 Kruegelの会社LastLineは、既にコードエミュレーターを使用して潜在的なマルウェアをより深く調査しようとしており、潜在的なマルウェアが直接実行されることを許可しないため、サンドボックスの回避も例外ではありません。
Kruegelは、潜在的なストールループを壊そうとすることで、潜在的なマルウェアを不正な動作に「押し込む」ことも試みていると述べました。
残念ながら、マルウェアの生産者は無限に革新的であり、サンドボックスを打ち負かすために働き始めたのはわずか5%ですが、私たちが知らない他の人がいることは間違いありません。 「ベンダーが新しいソリューションを発表するたびに、攻撃者は適応します。このサンドボックスの問題も同じです」とクルーゲル氏は述べています。
良いニュースは、技術的なプッシュとプルはすぐには終わらないかもしれないが、他のものはマルウェアの生産者がお金を稼ぐために使用する方法を標的にしていることです。 おそらくこれは、賢いプログラミングでさえ彼らを保護できない悪者、つまり財布にぶつかるでしょう。
