次世代型マルウェア解析で、隠れた脅威を数秒で可視化

ジオフェンシングを利用したマルウェア文書は、サイバーセキュリティ上の深刻な脅威となりつつあります。これらの悪意あるファイルは、位置情報に基づくトリガーを用いることで、検出や対策を困難にしています。 しかし、適応型脅威解析は、従来手法とは異なり、マルウェアが期待する位置情報を正確にエミュレーションし、偽装することで、こうした手口を無力化します。このアプローチにより、ジオフェンシング型の脅威に対する防御力を大きく高めることができます。

次のサンプルでは、特定の国でのみ実行を試みるジオフェンシング型マルウェアが確認されていますが、当社の革新的なソリューションは、要求される位置情報をエミュレーションすることでこの制限を回避し、ジオフェンシング型の攻撃に対する優れた対応力を実証しています。

• ブランドの検出：不審なウェブサイトをレンダリングし、当社の高度な機械学習エンジンにかけることで、300近いブランドを識別することができます。以下の例では、Netflixとして知られるストリーミング会社を装ったウェブサイトを見ることができます。当社のソリューションは、サイトのコンテンツを本物のURLと比較することに優れており、このような詐欺的な試みを迅速に特定し、お客様のデジタル資産と個人情報を保護します。さらに詳しく
• AIによる分析：私たちは、ネットワークトラフィック、レンダリングされたページの構造、テキストコンテンツを分析するAI主導のソリューションを持っています。共同モデルの結果は、「MLウェブ脅威モデル」の後で見ることができます。

オフラインURL検出用の機械学習モデルは、悪意のあるリンクによる脅威を特定・軽減するための新たな防御レイヤーを提供します。信頼性の高いベンダーによって「安全」または「悪性」とラベル付けされた数十万件規模のURLデータセットを活用し、機械学習技術によって不審なURLを高精度に検出します。

この機能は、オンラインでのレピュテーション参照が利用できないエアギャップ環境において、特に有効です。

次のサンプルは、UPXパッキング技術を用いて隠蔽されたマルウェアです。検出や防御の回避を試みていたものの、当社の解析により変換に成功し、その正体がトロイの木馬であることを突き止めました。さらに、マルウェアの設定情報を抽出し、その背後にある悪意の目的を明らかにするとともに、貴重なIOC（攻撃指標）も取得しました。

サンドボックスによる類似性検索機能を活用し、既知のマルウェアと極めて類似したファイルを検出しました。注目すべき点として、このファイルは以前「無害」と判定されており、セキュリティ評価における見逃しの可能性が明らかとなりました。この発見により、見過ごされていた脅威を特定し、対処することが可能になります。

類似性検索は、同一マルウェアや攻撃キャンペーンに関連するサンプルを特定するうえで非常に有効です。新たなIOCや脅威活動に関する重要な情報の取得が可能となり、脅威調査およびハンティングに大きく貢献します。

Our disassembling engine revealed intriguing findings within the target sample. Surprisingly, this sample monitors the system time using the uncommon <rdtsc> instruction and accesses an internal, undocumented structure in Windows, commonly used for different malicious tricks. These unusual actions raise questions about its purpose and underscore the need for further investigation to assess potential risks to the system.

解析対象のサンプルは、.NET Frameworkを用いて構築されたものでした。CILの表示は行っていませんが、逆コンパイル処理により、文字列、レジストリ情報、APIコールなどの注目すべき情報を抽出・提示しています。

さらに、.NETメタデータを解析することで、.NET特有の関数やリソースを特定します。メソッドやクラス、埋め込みリソースなど、アセンブリ構造に関する詳細情報を取得でき、.NETアプリケーションの挙動や構造を解析するうえで重要な手がかりとなります。

多くのアプリケーションエクスプロイトは、最終的なペイロードを生のバイナリ形式で送信しますが、これは通常のペイロード解析にとって障害となり得ます。当社のシェルコードエミュレーションにより、こうした最終ペイロードの挙動を特定・解析することが可能です。たとえば、広く悪用されているOfficeの数式エディタの脆弱性に関連するケースでは、関連するIOC（攻撃指標）の取得にもつながります。

難読化されたVBAマクロは、アクティブな脅威に迅速に対応するうえで大きな課題となります。可読性の低いコードは、解析と脅威の理解を極めて複雑にし、時間と労力を大きく要します。当社の最先端VBAエミュレーション技術は、こうした課題を克服し、難読化されたVBAマクロを数秒で包括的に解析し、その機能に関する明確なインサイトを提供します。

今回解析したサンプルは、.NET DLLファイルとLNKファイルをドロップして実行する、高度に難読化されたVBAコードを含むExcel文書です。VBAエミュレーションを通じて、MetaDefender Sandboxは起動されたプロセスや主な復号関数を特定し、暗号化・埋め込みされていた文字列の抽出やドロップされたファイルの保存も自動で実行します。マルウェアの主目的が迅速に明らかとなり、さらなる脅威分析への足がかりとなります。

Windowsのタスクスケジューラを利用してマルウェアの実行を遅延させる手法は、近年の脅威において確認されているサンドボックス回避テクニックです。解析時間の短い従来のサンドボックス環境の特性を突いた回避手法であり、実行の遅延によって悪意ある挙動を検出させないことを目的としています。

次のサンプルは、難読化されたVBScriptで構成されており、マルウェアのペイロードをダウンロード後、67分後に実行するようスケジュールされたタスクを作成します。従来のサンドボックスでは数分程度しか実行が継続されないため、こうした挙動は検出されません。しかし、当社のVBScriptエミュレータはこの回避技術を検知・克服し、実行環境を適応的に維持することでさらなる解析を継続。12秒以内に完全なレポートを取得し、悪意ある挙動を確実に明らかにします。

.NETリフレクションは、.NETフレームワークが提供する機能で、プログラムが実行時に.NETファイルの構造や挙動を動的に解析・操作できるようにします。アセンブリやモジュール、型の調査だけでなく、型のインスタンス化、メソッドの呼び出し、フィールドやプロパティへのアクセスも可能にします。

マルウェアはこの機能を悪用し、コンパイル時に参照されていないアセンブリからコードを動的に読み込み・実行することで、リモートサーバーやファイル内に隠された追加のペイロードをディスクに書き込むことなく実行し、検知されにくくなります。

本ケースでは、解析対象のVBScriptが、Windowsレジストリ内に格納されたバイト列から.NETアセンブリを直接メモリ上に読み込み、実行している様子が確認されました。

この機能により、PEリソースに暗号化された隠れたアーティファクトを可視化することが可能になります。悪意あるアーティファクトは、検出回避や挙動の隠蔽を目的として暗号化されていることが多く、その中にはC2情報や追加ペイロードなど、極めて重要なデータが含まれているケースもあります。これを抽出することで、サンドボックスはより深いスキャンを実行し、価値の高いIOCを特定できる可能性が大幅に高まります。

本サンプルでは、XORアルゴリズムを用いてアーティファクトが暗号化されており、検出回避のためのシンプルながら有効な手法が使われています。暗号化データのパターンを解析することで、暗号鍵を推測し、隠された情報を復号することが可能になります。

攻撃者は、アーカイブの連結を利用して、複数のアーカイブを1つのファイルに追加することで、マルウェアを隠蔽します。この手口は、アーカイブマネージャが使用する重要な構造要素である中心ディレクトリを複数作成し、抽出時に不一致を引き起こし、アーカイブの見落とされた部分に隠された悪意のあるコンテンツの検出を回避することを可能にします。

MDSandbox は、すべての連結アーカイブを検出してコンテンツを抽出し、どのファイルも見逃すことなく、この回避テクニックを効果的に無力化します。

脅威行為者は、サンドボックスにおけるリソースの制限や解析時間の制約を悪用して検出を回避するために、意図的に実行可能ファイルをジャンクデータで肥大化させます。この回避テクニックは、ツールを圧倒したり、時間制限を超えることでスキャンを回避しようとするものです。

MDサンドボックスは肥大化した実行可能ファイルを早期に検出し、ジャンクデータを削除し、効率的な解析のためにより小さなファイルを処理します。このデブロートプロセスは、オーバーレイ、PEセクション、証明書内のジャンクを含む様々なメソッドをターゲットとしており、元のリソースを節約しながら正確な検出を保証します。

このOffice文書は、イランの重要なインフラ（内容はペルシャ語）を標的に、認証情報や文書などの機密情報を盗み出し、定期的にスクリーンショットを撮影し、スパイ活動を目的とする可能性がある。

パーシステンスを確立した後、（google.comのような信頼できるドメインに対して）ステルス的に最初のインターネット接続チェックを行い、信頼できる接続を確保し、ネットワーク状況が攻撃を続行できるようになるまで、それ以降のアクションを遅らせる。これは、インターネットアクセスが断続的であったり、制限されていたりするような重要なインフラに対する攻撃でよく見られる手口です。

研究者は、意図的に破損されたOOXML文書（最新のオフィス文書）を発見した。内部ファイルヘッダ付近のバイナリコンテンツを変更することにより、意図的に破壊されたファイルは、圧縮ファイルを抽出しようとする自動スキャンによってZIPファイルとして誤検出される可能性がある。

文書ビューアーは、文書を開くと自動的に修復する。この時点で、文書にフィッシング・コンテンツが含まれているにもかかわらず、効果的に防御を回避している可能性がある。自動分析ではその内容を読み取ることができないため、関連する指標を見逃すことになる。

SPF、DKIM、DMARCのような電子メール認証メカニズムは不可欠ですが、洗練された攻撃者は時にそれらをバイパスすることができます。この例では、あるメールがGoogleによって認証され、標準的なチェックをパスしているにもかかわらず、MetaDefender Sandbox悪意があると識別されたシナリオを紹介します。

MetaDefender Sandbox 他のインジケータとともにいくつかの異常を検出しました：

• DKIM境界違反：DKIM署名の範囲を超えて追加されたコンテンツを特定。
• 難読化テクニック：悪意を隠すための過剰な空白を検出。
• フィッシング・パターン：フィッシングに特徴的な緊急の行動喚起を認識。
• ヘッダー分析：OAuthアプリケーションの不正使用に関連する電子メールヘッダの異常を検出します。

ClickFixは、ソーシャルエンジニアリングを活用し、ユーザーを騙して悪意のあるコマンドを実行させる、ウェブベースの新たな脅威です。従来のフィッシングとは異なり、ClickFixはファイルのダウンロードやクレデンシャルの窃取ではなく、欺瞞的なUX要素やクリップボードの操作によって動作します。

クリックフィックスのウェブサイトは、合法的に見えるように偽のreCAPTCHAまたは「ボット保護」画面を表示します。その後、ユーザーは、多くの場合、無害に見えるインタラクションを通じて、自分自身を確認するよう求められますが、その間、バックグラウンドでは、難読化されたJavaScriptコードが静かに実行されます。このスクリプトは、悪意のあるコマンドを動的にデコードし、システムのクリップボードに直接コピーする。次に、ユーザーには誤解を招くような指示が表示され、危険性に気づかないままマルウェアを実行するよう誘導されます。

ClickFixは、シンプルなウェブテクニックとユーザーの欺瞞を組み合わせることで、従来のセキュリティレイヤーを効果的に回避できることを強調しています。サンドボックス解析は、今回のような足跡の少ないステルス攻撃を発見する上で非常に重要です。

MetaDefender Sandbox この脅威をエンドツーエンドで分析します。サンドボックスはまず、悪意のあるURLをレンダリングし、フィッシング検出モデルを適用して疑わしいコンテンツを特定します。次に、クリップボードが変更される重要な瞬間に到達するために、ユーザのアクションをシミュレートしながらJavaScriptを抽出し、エミュレートします。隠されたコマンドがキャプチャされると、それがエミュレートされ、サンドボックスが悪意のある実行フローを完全にトレースできるようになります。これにより、クリップボードを利用した手口が明らかになるだけでなく、ペイロードの動作や感染チェーンも明らかになります。

SolarWinds社のサプライチェーン攻撃は、信頼できるソフトウェアの最小限のコード変更が、従来のセキュリティ防御を迂回しながら大規模な侵害を可能にすることを例証しています。脅威者は、正規のDLLにステルスバックドアを挿入し、元の機能を維持したまま悪意のあるロジックを埋め込みました。ペイロードは、正規のコンポーネントを模倣した並列スレッドで静かに実行されました。有効なデジタル署名とシームレスな動作により、このDLLは検出を回避し、何千人もの著名な被害者に秘密裏にアクセスすることができました。ビルド・パイプラインの侵害により、信頼されたアップデートがグローバルな侵入の手段となってしまったのだ。

4,000行のバックドアは重要であるように見えるかもしれませんが、大企業のソースコードの文脈では、簡単に見落とされてしまいます。MetaDefender Sandbox いるのはこの点です。コードを検査するだけでなく、ソフトウェアが何をするかを観察します。それは、通常の動作からの逸脱にフラグを立て、アナリストを本当に重要なものへと導き、従来のレビューでは見逃してしまいそうな脅威をスポットライトを当てるためにノイズをカットします。