MetaDefender™Sandbox 2.4.0 リリースノート

このリリースでは、新機能のほかに、パフォーマンス、回復力、可視性を合理化する的を絞った機能強化が導入されています。

• 脅威インジケータの概要カウント
  ダッシュボードは、明確な脅威インジケータを表示し、ノイズを排除して、より明確で実用的なリスク評価を提供します。
• 入力のアクセシビリティとフォームのリファクタリング
  フォームコンポーネントの刷新により、一貫したラベリング、ARIAへの準拠、アクセシブルなバリデーションが保証され、ユーザビリティが向上し、アクセシビリティのベストプラクティスに沿っています。

これらの改善により、MetaDefender Sandbox高度な脅威分析のための基盤ツールとしての役割が強化されました。

Advanced PEエミュレータ（ベータ版）は、今回のリリースで大きなアップグレードが行われ、より深い行動インサイトを解き明かし、従来の分析を回避する脅威を発見します。

• シェルコード実行
  スタンドアロン・シェルコードとフォワーダー・バインディングのサポートが追加され、低レベルのペイロードをより深く分析できるようになりました。
• イベントトラッキング
  メモリやディスクの書き込み、プロテクションの変更、DNS解決、HTTPリクエストなど、疑わしいアクティビティをキャプチャします。
• 関連ダンプ
  PEファイルなどの重要な実行ポイントからメモリダンプを自動的に抽出し、脅威をより深く検査します。
• 逆アセンブルとの統合
  重要なメモリダンプを直接逆アセンブラパイプラインにルーティングし、詳細な分析を強化。
• 概要とトレース
  実行トレースの可視性をより豊かにするために、サマリー統計、バージョン管理、設定可能なAPI ログの機能強化が導入されています。
• 新しい脅威インジケータ
  PE に特化した行動インジケータを追加し、より的を絞った有意義な分析インサイトを提供します。
• 追加のIOC抽出
  エミュレーションを活用して、静的解析では見えないIOCを発見し、検出の完全性を高めます。
• Defeating Evasion
  高度なシミュレートされたフィンガープリンティングを実装し、回避的なマルウェアの動作を検出、回避します。

これらの機能強化により、エミュレータは複雑で多段階のマルウェアを検出し、実用的なIOCを比類のない精度で抽出するための重要な資産として確立された。

このエンジンのアップデートにより、エミュレーションの拡張、高度なインジケーター・ロジック、最新のスクリプト分析が導入された。

• .lnk バッチドロップ検出
  バッチスクリプトを生成し実行する Windows ショートカットファイルを検出し、「その場しのぎ」のテクニックに悪用される致命的なギャップを埋めます。
• クリップボードAPI エミュレーション
  Webエミュレーションは、write()やwriteText()のような最新のクリップボード操作をキャプチャし、フィッシングキットやドロッパーで使用されているテクニックを公開します。
• アネシドラにおけるECMAScript 6のサポート
  JavaScriptエミュレーションがES6構文をサポートするようになり、高度で最新の悪意のあるスクリプトのカバー範囲が大幅に広がりました。

各新機能は、特に複雑な環境において、より早い脅威の検知と、より確実な判定に貢献する。

エンジンの最新の改良サイクルでは、パフォーマンス、忠実度、自動化が一歩前進している。

• HTMLエミュレーションにおけるボタン/リンクの自動クリック
  エミュレーションの改善により、UI駆動型スクリプトがトリガーされ、インタラクティブ要素の背後に隠れたドライブバイダウンロードの検出率が向上しました。
• onclick でのイベントハンドラの実行
  インラインの onclick イベントハンドラが実行されるようになり、HTML/JavaScript に埋め込まれたエクスプロイトの検出が強化されました。
• document.body.append() & Self-Read / Stage-Spawn Support
  忠実度の高いDOMシミュレーションと自己参照動作のサポートを導入し、マルチステージの脅威をより的確に分析。
• HtmlUnitのアップグレード
  Javaベースのブラウザ・エミュレーションのアップグレードにより、JavaScriptエンジンが修正され、CSSレンダリングが改善され、全体的な安定性が向上しました。

これらのバックエンドの改善により、大容量や高度なペイロードに対するスケーラビリティと精度が向上した。