署名付きマルウェア:インテルとの共同開発テクノロジーから生まれた初の製品、McAfee Deep Defenderの最新情報 第1回

マカフィーがインテル傘下の企業となって1年以上が経過し、共同開発によるDeepSAFEテクノロジー、およびこの新技術を採用した初の製品であるDeep Defenderについて、最新情報をお伝えします。最近、報道されているサイバー脅威の例を見る限り、私たちのこれまでの取り組みには更なる確信を覚えます。

署名付きマルウェアの蔓延

最近、デジタル署名付きのマルウェアがメディアの注目を集めています。実際、2012年に発見された20万件以上の新規およびユニークなマルウェアのバイナリーには、有効なデジタル署名が付加されています。


出典: McAfee Labs(サンプルデータベース)

攻撃者はなぜマルウェアに署名を付けるのか

攻撃者がマルウェアに署名をつけるのは、ユーザーや管理者にファイルを信頼させるためだけでなく、セキュリティソフトの検知をかいくぐり、システムのポリシーを迂回するためでもあります。この種のマルウェアにはたいてい盗まれた証明書が使われますが、自己署名または「テスト署名」されたバイナリーもあります。テスト署名は、ソーシャル・エンジニアリング攻撃で使用されることがあります。

どちらの署名が本物でしょうか?


答え:どちらも本物かつ有効な証明書ですが、1つはテスト署名です。

テスト署名

テスト署名は、Microsoftがドライバーの署名を義務づけている64ビット版のWindowsを狙う攻撃者が特に使用します。デフォルトでは、このようなドライバーはロードされません。しかしMicrosoftではデベロッパーに対してこのポリシーを無効にする手段を提供しており、マルウェアの作成者もこれに倣うようになっています。Banker、Advanced PC Shield 2012およびCridexによって使用されているNecursのような64ビットのルートキットは、この手法を用いてオペーレーティングシステムに侵入します。これに対抗するため、Deep Defender v1.0.1ではデフォルトでテスト署名付きのドライバーをブロックしますが、マカフィーのセキュリティ統合管理ソリューションであるMcAfee ePolicy Orchestratorの管理者は必要に応じて社内のカーネルドライバー開発者のシステムを選択する事によって対象から除外が可能です。

言うまでもなく、これは保護の1つの層にすぎません。セキュリティで重要なのは、ネットワークからシリコンまでの「多層防御」です。Deep Defenderでは、メモリーをリアルタイムに監視することにより、Necursルートキットがカーネルに侵入しようとしたときにそれを特定することができます。

逃がさない監視機能

DeepSAFEは、メモリー内の一時的なイベントを監視する機能によって、従来のウイルス対策ソリューションでは検出が困難だったファイルも容易に検出できます。 その代表例が、Mediyesというトロイの木馬です。マカフィーのサンプルデータベースをざっと調べただけでも、このマルウェアには7,000個以上のユニークなバイナリーファイルが存在します。しかし、メモリー監視のルールが修正された1年前からルートキットの技法も対象になったため、最新の署名付きの攻撃もゼロデイの時点で即座に特定できるようになりました。

攻撃が明らかになった段階で、証明書は無効化されました。

上のキャプチャは、Cr0コントロールレジスターの書き込み保護ビットを変更し、さらにZwResumeThread関数にカーネルインラインフックをインストールしようとしているマルウェアを、Deep SAFEが捕捉したところを示しています。

VirusTotalで示されているように、この特定のサンプルについては、従来のファイルスキャンはあまり検出の成果が上がっていません(検出に成功したのは43種類のスキャナーのうち2つ)。

署名付きマルウェアの増加

しばらく前から、不正な目的のためにデジタル証明書を盗もうとする悪意のあるペイロードの存在が確認されてきましたが、今後も、こうした署名付きマルウェアは、確実にさらなる猛威をふるっていくでしょう。

*Deep Defender は、日本での発売時期は未定です。

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

 マカフィーでは、1,400人のIT担当者に年次アンケートを実施し、クラウド採用状況やセキュリティについて調査しました。
 調査の結果、クラウドの採用とリスク管理への投資を増やしている組織がある一方で、クラウドの採用に慎重なアプローチをしている組織が多いことがわかりました。
 本調査では、クラウドサービスの利用状況を分類し、短期投資の確認、変化速度の予測、重要なプライバシーおよびセキュリティ上の障害物への対応方法の概要を示しています。

 本レポートでは、クラウドの現状把握と今後の方向性、クラウド対応の課題やポイントを理解することができます。

<掲載内容>
■ 主要調査結果
■ 調査結果から言える方向性
■ 課題への対応
■ 変化への対応力
■ 考慮すべき点:安全なクラウドの採用で事業を加速