Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

次世代セキュリティ製品の検知回避を狙う「Emotet」

リサーチャーグループ「Cryptolaemus」が7月17日から7月28日にかけて収集したデータをもとに、Deep Instinctが「Emotet」に関する3万8000サンプルのデータセットを作成、分析したところ、機械学習エンジンによる検知を回避するため、あえて多くの「無害なコード」を実装していることが判明した。

マルウェアの検出に機械学習ベースのエンジンを利用するエンドポイント製品の多くは、判定にあたって「実行ファイル」や「ライブラリファイル」といった「PEファイル」から「悪意ある機能」「無害な機能」といった特徴を抽出し、相対的に判断している。

攻撃者はこうした性質を逆手に取り、「実行ファイル」にあえて多くの無害なコードを挿入。こうしたノイズにより、多くの製品で「Emotet」を検出できない状態となっていたという。悪意あるコードを読み込む「ローダー」に関しても、良性のファイルに偽装されており、メモリ解析による検出を難しくする機能を備えていた。

Deep InstinctのAPJ事業開発担当副社長である乙部幸一朗氏は、「Emotet」を用いる攻撃者が機械学習ベースのエンドポイント製品を強く意識していると話す。

人手を通じてマルウェアの「特徴」を抽出、言語化して機械学習に応用している製品の場合、そうした「特徴」は攻撃者側も把握しており、回避に悪用されていると分析。

また「Emotet」では「ファイルレス攻撃」も展開しており、定義ファイルベースの製品はもちろん、機械学習ベースで検出する製品の多くが「実行ファイル」より検出を行っているため、検出を回避されるおそれがあると指摘。ドロッパーとなる悪意あるドキュメントファイルを検出できる製品の必要性を強調した。

(Security NEXT - 2020/10/29 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

ランサムウェア感染組織の平均被害金額は2386万円 - JNSA調査
2Qのセキュ相談、前四半期比約12%増 - 「偽警告」過去最多
ZyxelのNAS製品にゼロデイ脆弱性 - 悪用コードが闇市場に
J-CSIP、脅威情報22件を共有 - 海外関連会社への攻撃報告も
ゴールデンウィークに向けてセキュリティ体制の再確認を
1Qのセキュ相談、前四半期比1割増 - 「偽警告」が大きく増加
暗号資産取引所を狙うサイバー攻撃、「OneNoteファイル」を悪用
「EmoCheck v2.4.0」がリリース - 進化した「Emotet」に対応
従業員PCが「Emotet」感染、情報流出の可能性 - 古河電池
「Emotet」に新手口、OneNote形式を悪用 - 拡張子「.one」に警戒を