MetaDefender Sandbox^™

ジオフェンシングを利用したマルウェア文書は、サイバーセキュリティ上の深刻な脅威となりつつあります。これらの悪意あるファイルは、位置情報に基づくトリガーを用いることで、検出や対策を困難にしています。 しかし、適応型脅威解析は、従来手法とは異なり、マルウェアが期待する位置情報を正確にエミュレーションし、偽装することで、こうした手口を無力化します。このアプローチにより、ジオフェンシング型の脅威に対する防御力を大きく高めることができます。

次のサンプルでは、特定の国でのみ実行を試みるジオフェンシング型マルウェアが確認されていますが、当社の革新的なソリューションは、要求される位置情報をエミュレーションすることでこの制限を回避し、ジオフェンシング型の攻撃に対する優れた対応力を実証しています。

不審なウェブサイトを実際にレンダリングし、高度な機械学習エンジンで解析することで、約300のブランドを識別可能です。次の例では、ロシアのウェブサイトが大手ゲームプラットフォーム「Steam」を装っている様子をご確認いただけます。当社のソリューションは、偽サイトの内容を正規URLと照合することで、このような詐欺的手口を迅速に特定し、デジタル資産や個人情報の保護を実現します。

オフラインURL検出用の機械学習モデルは、悪意のあるリンクによる脅威を特定・軽減するための新たな防御レイヤーを提供します。信頼性の高いベンダーによって「安全」または「悪性」とラベル付けされた数十万件規模のURLデータセットを活用し、機械学習技術によって不審なURLを高精度に検出します。

この機能は、オンラインでのレピュテーション参照が利用できないエアギャップ環境において、特に有効です。

次のサンプルは、UPXパッキング技術を用いて隠蔽されたマルウェアです。検出や防御の回避を試みていたものの、当社の解析により変換に成功し、その正体がトロイの木馬であることを突き止めました。さらに、マルウェアの設定情報を抽出し、その背後にある悪意の目的を明らかにするとともに、貴重なIOC（攻撃指標）も取得しました。

サンドボックスによる類似性検索機能を活用し、既知のマルウェアと極めて類似したファイルを検出しました。注目すべき点として、このファイルは以前「無害」と判定されており、セキュリティ評価における見逃しの可能性が明らかとなりました。この発見により、見過ごされていた脅威を特定し、対処することが可能になります。

類似性検索は、同一マルウェアや攻撃キャンペーンに関連するサンプルを特定するうえで非常に有効です。新たなIOCや脅威活動に関する重要な情報の取得が可能となり、脅威調査およびハンティングに大きく貢献します。

Our disassembling engine revealed intriguing findings within the target sample. Surprisingly, this sample monitors the system time using the uncommon <rdtsc> instruction and accesses an internal, undocumented structure in Windows, commonly used for different malicious tricks. These unusual actions raise questions about its purpose and underscore the need for further investigation to assess potential risks to the system.

解析対象のサンプルは、.NET Frameworkを用いて構築されたものでした。CILの表示は行っていませんが、逆コンパイル処理により、文字列、レジストリ情報、APIコールなどの注目すべき情報を抽出・提示しています。

さらに、.NETメタデータを解析することで、.NET特有の関数やリソースを特定します。メソッドやクラス、埋め込みリソースなど、アセンブリ構造に関する詳細情報を取得でき、.NETアプリケーションの挙動や構造を解析するうえで重要な手がかりとなります。

多くのアプリケーションエクスプロイトは、最終的なペイロードを生のバイナリ形式で送信しますが、これは通常のペイロード解析にとって障害となり得ます。当社のシェルコードエミュレーションにより、こうした最終ペイロードの挙動を特定・解析することが可能です。たとえば、広く悪用されているOfficeの数式エディタの脆弱性に関連するケースでは、関連するIOC（攻撃指標）の取得にもつながります。

難読化されたVBAマクロは、アクティブな脅威に迅速に対応するうえで大きな課題となります。可読性の低いコードは、解析と脅威の理解を極めて複雑にし、時間と労力を大きく要します。当社の最先端VBAエミュレーション技術は、こうした課題を克服し、難読化されたVBAマクロを数秒で包括的に解析し、その機能に関する明確なインサイトを提供します。

今回解析したサンプルは、.NET DLLファイルとLNKファイルをドロップして実行する、高度に難読化されたVBAコードを含むExcel文書です。VBAエミュレーションを通じて、MetaDefender Sandboxは起動されたプロセスや主な復号関数を特定し、暗号化・埋め込みされていた文字列の抽出やドロップされたファイルの保存も自動で実行します。マルウェアの主目的が迅速に明らかとなり、さらなる脅威分析への足がかりとなります。

Windowsのタスクスケジューラを利用してマルウェアの実行を遅延させる手法は、近年の脅威において確認されているサンドボックス回避テクニックです。解析時間の短い従来のサンドボックス環境の特性を突いた回避手法であり、実行の遅延によって悪意ある挙動を検出させないことを目的としています。

次のサンプルは、難読化されたVBScriptで構成されており、マルウェアのペイロードをダウンロード後、67分後に実行するようスケジュールされたタスクを作成します。従来のサンドボックスでは数分程度しか実行が継続されないため、こうした挙動は検出されません。しかし、当社のVBScriptエミュレータはこの回避技術を検知・克服し、実行環境を適応的に維持することでさらなる解析を継続。12秒以内に完全なレポートを取得し、悪意ある挙動を確実に明らかにします。

.NETリフレクションは、.NETフレームワークが提供する機能で、プログラムが実行時に.NETファイルの構造や挙動を動的に解析・操作できるようにします。アセンブリやモジュール、型の調査だけでなく、型のインスタンス化、メソッドの呼び出し、フィールドやプロパティへのアクセスも可能にします。

マルウェアはこの機能を悪用し、コンパイル時に参照されていないアセンブリからコードを動的に読み込み・実行することで、リモートサーバーやファイル内に隠された追加のペイロードをディスクに書き込むことなく実行し、検知されにくくなります。

本ケースでは、解析対象のVBScriptが、Windowsレジストリ内に格納されたバイト列から.NETアセンブリを直接メモリ上に読み込み、実行している様子が確認されました。

この機能により、PEリソースに暗号化された隠れたアーティファクトを可視化することが可能になります。悪意あるアーティファクトは、検出回避や挙動の隠蔽を目的として暗号化されていることが多く、その中にはC2情報や追加ペイロードなど、極めて重要なデータが含まれているケースもあります。これを抽出することで、サンドボックスはより深いスキャンを実行し、価値の高いIOCを特定できる可能性が大幅に高まります。

本サンプルでは、XORアルゴリズムを用いてアーティファクトが暗号化されており、検出回避のためのシンプルながら有効な手法が使われています。暗号化データのパターンを解析することで、暗号鍵を推測し、隠された情報を復号することが可能になります。