見た目と異なるマルウェア

サイバー犯罪者の間では、ソーシャルエンジニアリング攻撃など既に常識化しており、また騙されやすいユーザーが、ウイルス作者の使う様々な手口に引っかかる状況もよく知られています。セキュリティの研究に取り組んでいるMcAfee Labsでは、このような犯罪の被害者にならない対策について、繰り返し喚起を促しています。その一方で、セキュリティ研究者自身もより正確にマルウェアを判断するために、様々な対策を駆使して分析する必要があります。マルウェアに対する経験が豊富な研究者は、サンプルを見ただけで直観的に、ソフトウェアが良性か悪性なのか判断することができます。その一方で、直観とは異なる場合もあります。今回はそのような事例を、いくつか紹介しましょう。

マルウェアを分析する際に、作者の書いたメモを見つけることもあります。メモの内容は、からかうような文章であることもあれば、中には「このソフトウェアはウイルスではないので、マルウェア検出ファイル用に登録しないでください」という誤検出を避けてもらうための研究者向けメッセージの場合もあります。このような口頭以外の手段で伝えられたメッセージは、よく確認した方が良いでしょう。

マルウェア作者が埋め込んだ文章

メッセージの書き手とサンプルの作者が同一人物であるように思えるという事実は別にして、技術的な観点から、メッセージの内容は正しいと言えます。確かにこのサンプルはウイルスではありません。ただ、ダウンローダとして機能するトロイの木馬であり、リモートサイトから密かに任意のファイルをダウンロードし、実行します。なお、マカフィー製品では、いずれのサンプルも「Generic.acf」として検出します。

二つ目のサンプルは、少しだけ魅力的なものでした。研究者は、サンプルを調べる際に、「Hiew」などのツールでファイルを開く「静的分析」、およびサンプルの動きを模倣する「動的分析」という2種類の手法をよく使用します。このサンプルをHiewで開いたところ、リソース部分が異常で、正しくデータインポートできないことが判明しました。

異常なリソース

このエラーをやり過ごすと、ヘッダー内のエントリポイント(EP:Entry point)が「0001A001」で、イメージベース(Image base)が「00400000」であることが分かりました。この状況であれば、Hiewは「0041A001」番地にあるEPにアクセスできたはずです。しかし実際には、ファイルは0041A001よりも手前の「00410DFF」で終わっており、HiewはEPに到達できません。

EPの値が記載されたヘッダー情報

このファイルは壊れており、これ以上の分析は続行不可能と思われます。しかし、Windowsのプログラムローダーは間違いなくファイル読み込みに失敗するでしょうが、単にサンプルを実行しようとすると魔法のように動くのです。非常に怪しい状態なので、基本的な情報から見直してみるため、再びHiewで開き、セクションヘッダーを詳しく調べてみました。

セクションテーブルの内容

セクションテーブルには、きちんと表示できるものの非常に怪しいセクションが10個ありました。そのいくつかは物理サイズがゼロであり、残りはオーバーラップしていて、きちんと表示ができました。結果的には、このサンプルの作者は、先頭二つのセクションの物理サイズを「FF003000」と「FF000200」に、それぞれ仮想サイズを「3000」と「1000」に変えていたのです。セクションのサイズを「00003000」と「00000200」に変更するパッチを使用することで、Hiewで起きていたEPにアクセスできない問題を解消し、正しいEPに到達できるようになります。

ただし、逆アセンブラの「IDA」もこのファイルをロードできず、以下のようにエラー「Virtual Array:Address space limit reached(仮想配列:アドレス制限に到達)」を出して黙ってしまいました。

IDAの出したエラー

別の「Olly」というツールでは,「セクションサイズが大きい」と指摘されますが、問題なくロードできます。

作者はセクションテーブルに細工することにより、ソーシャルエンジニアリングを仕掛けようとしています。さらに、特定のウイルス対策ソフトにファイルロードを失敗させる目的もあるかもしれません。

今回の例から、直観に左右されずに、一つのツールだけでマルウェアを判断してはいけない、ということが言えるでしょう。なお、マカフィーのセキュリティ製品はこのファイルを「Spy-Agent.dp.gen」として検出します。

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

 マカフィーでは、1,400人のIT担当者に年次アンケートを実施し、クラウド採用状況やセキュリティについて調査しました。
 調査の結果、クラウドの採用とリスク管理への投資を増やしている組織がある一方で、クラウドの採用に慎重なアプローチをしている組織が多いことがわかりました。
 本調査では、クラウドサービスの利用状況を分類し、短期投資の確認、変化速度の予測、重要なプライバシーおよびセキュリティ上の障害物への対応方法の概要を示しています。

 本レポートでは、クラウドの現状把握と今後の方向性、クラウド対応の課題やポイントを理解することができます。

<掲載内容>
■ 主要調査結果
■ 調査結果から言える方向性
■ 課題への対応
■ 変化への対応力
■ 考慮すべき点:安全なクラウドの採用で事業を加速