Tag Archives: malware

What is a Zero-Day Threat?

      No Comments on What is a Zero-Day Threat?

The term “zero-day threat” may sound like the title of a hit film, but it’s definitely not that kind of thriller. A zero-day threat or attack is an unknown vulnerability in your computer or mobile device’s software or hardware. The term is derived from the age of the exploit, which takes place before or on Read more…

Who’s watching whom? Is Your Smart TV Spying on You?

Like something right out of George Orwell’s 1984, it turns out that Big Brother, or Big Hacker in this case, may in fact be watching you—through your television. Recent research shows that Smart TVs are just as vulnerable to a hacking attack as your home computer. After months of research and working with Smart TV Read more…

Bitcoin Miners Use AutoIt-Complied Programs With Antianalysis Code

Last year, my colleague Itai Liba blogged about the association between malware and AutoIt, a very convenient environment for malware and tools development. AutoIt allows both easy interface creation for rapid development and full Windows API access for whatever is not directly supported. We have seen an increase in the use of AutoIt scripts by Read more…

Black Hat: ??????????????????????????

      No Comments on Black Hat: ??????????????????????????

3273421_automated_analysis.png

セキュリティ業界の各企業は以前から、現在のシステムよりも確実にマルウェアを検出し特徴付ける方法を探り続けています。そのようなシステムがあれば、マルウェアとそれが引き起こす損害に対処しなければならないすべての人々にとって、大きなメリットとなるでしょう。現在でも、ごく基本的なものから高度なものまで、マルウェアの検出には多種多彩なテクニックが使われていますが、マルウェアを完全には特徴付けていないという点で、その大半は不十分です。

その多くは手動で分解と解析を行うか、または実環境または仮想マシン(VM)環境でサンプルを実行したうえで、システムに生じる変化を記録しマルウェアの副作用として報告するかのいずれかの手段に拠っており、そのどちらにも長所と短所があります。手動による解析は時間と手間の掛かる作業であり、人的エラーも発生しがちです。副作用の自動照合は高速で、人的介在もほとんど不要、あるいはまったく不要ですが、残念なことに有用な情報が欠けていたり不完全だったりすることも少なくありません。要するに、マルウェアの自動解析は解決の難しい問題だということです。自動解析で期待どおりの結果が得られない理由は、以下の要因にまとめられます。

  1. 条件付きコード: 多くのマルウェアには、特定の条件が満たされたとき、たとえばユーザーがボタンをクリックしたときや所定の Web サイトにアクセスしたときにのみ起動するコードが組み込まれています。コマンド & コントロールサーバーからのコマンドを待っている場合もあります。そうした条件が満たされなければ、マルウェアは何も活動しないこともあります。
  2. 仮想マシンの検出: セキュリティベンダーがマルウェアのランタイム解析に仮想マシンを使用していることは、マルウェアの作成者にも知られています。ランタイム解析を避けるために、マルウェア作成者は仮想マシンの存在を確認する機能を実装して、仮想マシンを検出するとマルウェアの動作を停止してその機能を隠そうとします。それと異なる動きをするマルウェアのひとつが、W32.Crisis ワームです。このマルウェアは、仮想マシン環境でも十分に機能するほか、VM ファイルがあるかどうかを積極的に検索し、それにも感染しようとします。
  3. 時間: 一部のマルウェアは、一定時間が経過してから悪質な動作を開始します。自動解析システムでは毎日何万というサンプルを実行するので、時間が障壁になります。各サンプルを自動解析してデータを収集する時間はごく短く、すぐに次のサンプルの解析が始まります。つまり、すぐに悪質な機能が実行されない場合は、自動解析システムで見逃されてしまいます。たとえば、あるトロイの木馬がすべてのドライブ上のすべての .doc ファイルを削除する機能を持っていても、C ドライブ上の一部のファイルを削除する時間しかなかったとしたら、自動解析システムではそれしか報告されません。
  4. コンテキスト: 自動解析システムによる報告で欠けていることが多いのは、コンテキストです。たとえば、あるサンプルがドライブ上のファイルを改変し始めた場合、多くの自動解析システムは、ファイルの改変を報告するだけで、どのような改変があったかまでは指摘しません。改変はウイルスコードの感染であったり、ファイル内容の消去や暗号化であったりするかもしれません。あるいは、何らかのテキストコンテンツがファイルに挿入された可能性もあります。しかし、ほとんどの自動解析システムでは改変内容まで報告されません。コンテキスト情報が欠けているもうひとつの例が、ネットワーク接続に関する報告です。特定の URL にアクセスするマルウェアが報告されるとき、その URL の目的までは指摘されません。別のマルウェアをダウンロードするのか、命令を受信するのか、それとも盗み出した情報をアップロードするのか、単に感染を通知するのかまでは示されないのです。そのような情報を知ることは重要ですが、自動解析システムに実装するのはきわめて困難です。
  5. モジュール化: 最近のマルウェアのほとんどは、独立した単一のコードとして存在するのではなく、それぞれが異なる機能を備えた複数のファイル群でモジュール化されています。このようなモジュールはたいてい、インストーラを使ってパッケージ化されてはいません。そのため、最初はインストーラが拡散して、次にインストーラが実行されると、他のコンポーネントのダウンロードを試みます。ときには、追加コンポーネントのダウンロードがリモートの攻撃者によって直接制御されている場合もあり、この攻撃者は侵入先のコンピュータの状況を伺ってから、次にダウンロードするものを判断します。インストーラ自体はたくさんの機能を持っているわけではないので、自動解析ではほとんど何も報告されません。同様に、個々のモジュール自体もコードライブラリに過ぎず他のコードで呼び出される必要があるため、実行されてすぐにその機能が判明することはありません。

これらの要因がすべて絡み合って、マルウェア自動解析機能が制限されます。

そのような状況を受けて、セキュリティ研究者であるジョシュア・サックス(Joshua Saxe)氏が Black Hat で発表するのが、オープンソースとクラウドトレーニングを利用してマルウェアファイルの機能を識別できるマシンラーニングツールです。このツールは、特定のネットワークプロトコルを利用する機能やデータを盗み出す機能など、マルウェアの機能のリストを生成できるとされています。検出された機能について、適切な場合に確率スコアを示すという機能は注目に値します。断定できないマルウェアや見かけで特定できないマルウェアでも、スコアがあれば機能の有無を予測できるからです。このツールを作成するプロジェクトは、DARPA の Cyber Fast Track プログラムから資金提供を受けており、使われているアルゴリズムについても今回のプレゼンテーションで詳しく紹介される予定です。興味深いプレゼンテーションになることは間違いないでしょう(訳注: Black Hat カンファレンスでの発表はすでに終了しています)。

ちなみに、シマンテックセキュリティレスポンスでも、マルウェアサンプルを収集してその情報と機能を照合する多くの自動システムが運用されています。これらのシステムは、マルウェアサンプルの統計とランタイム解析を実行し、その副作用を記録できます。この情報をシマンテックの他のデータや遠隔測定ソースと組み合わせて、独自のマルウェアレポートサービスを通じてお客様に提供しているので、お客様がマルウェア攻撃を予防し、マルウェアの被害から回復する際に有益な情報となっています。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Malicious Bitcoin Miners target Czech Republic

Today we are going to talk to those of you who use Bitcoin digital currency to pay for a variety of goods and services – along with a warning about yet another source of Bitcoin miners – the sharing services. You may think that if you avoid cracks and keygens while browsing the web you […]

Malicious Bitcoin Miners target Czech Republic

Today we are going to talk to those of you who use Bitcoin digital currency to pay for a variety of goods and services – along with a warning about yet another source of Bitcoin miners – the sharing services. You may think that if you avoid cracks and keygens while browsing the web you […]

BlackHat: Researcher to Present Details of New Automated Malware Capability Detection System

Companies in our field of business have long wished for a better way of discovering and describing malware capabilities than the current system. Such a system would be of great benefit to everyone who has to deal with malware and the damage they can c…

Watching Your Every Move: Your Phone Could be Snooping on You Right Now

Let’s just say it. The world is going mobile. Practically any task you can perform on your computer, you can also do with a mobile phone, and there are even a few that your computer can’t do. In just moments, you can simultaneously shop for shoes, deposit a check and then quickly buy a plan Read more…

The Dangers of a Royal Baby: Scams Abound

Big news stories are always an opportunity for scammers and spammers, who attempt to redirect users to malicious exploit kits or other unwanted services. Britain’s royal baby is the latest news to offer cover for malware. We have already found a lot of spam messages regarding the birth and baby that lead users to the Read more…

Stop Malvertisements from Causing a Click-tastrophe on Your Computer

Web ads: sometimes annoying, other times entertaining and useful, but for the most part, harmless. Or so you thought. It seems that cybercriminals are now turning their attention toward pulling you in with a strong sales message, and you may be none the wiser until it’s too late. Your neighborhood hacker has decided to start Read more…