Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

次世代セキュリティ製品の検知回避を狙う「Emotet」

リサーチャーグループ「Cryptolaemus」が7月17日から7月28日にかけて収集したデータをもとに、Deep Instinctが「Emotet」に関する3万8000サンプルのデータセットを作成、分析したところ、機械学習エンジンによる検知を回避するため、あえて多くの「無害なコード」を実装していることが判明した。

マルウェアの検出に機械学習ベースのエンジンを利用するエンドポイント製品の多くは、判定にあたって「実行ファイル」や「ライブラリファイル」といった「PEファイル」から「悪意ある機能」「無害な機能」といった特徴を抽出し、相対的に判断している。

攻撃者はこうした性質を逆手に取り、「実行ファイル」にあえて多くの無害なコードを挿入。こうしたノイズにより、多くの製品で「Emotet」を検出できない状態となっていたという。悪意あるコードを読み込む「ローダー」に関しても、良性のファイルに偽装されており、メモリ解析による検出を難しくする機能を備えていた。

Deep InstinctのAPJ事業開発担当副社長である乙部幸一朗氏は、「Emotet」を用いる攻撃者が機械学習ベースのエンドポイント製品を強く意識していると話す。

人手を通じてマルウェアの「特徴」を抽出、言語化して機械学習に応用している製品の場合、そうした「特徴」は攻撃者側も把握しており、回避に悪用されていると分析。

また「Emotet」では「ファイルレス攻撃」も展開しており、定義ファイルベースの製品はもちろん、機械学習ベースで検出する製品の多くが「実行ファイル」より検出を行っているため、検出を回避されるおそれがあると指摘。ドロッパーとなる悪意あるドキュメントファイルを検出できる製品の必要性を強調した。

(Security NEXT - 2020/10/29 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

漁協直売店で「Emotet」感染 - 通販サイトのメールが流出
夏季休暇に向けてセキュリティの再確認を - 盆休み直前の月例パッチにも注意
厚労省の委託先で「Emotet」感染 - メールなどが端末から流出
2Qセキュ相談、前四半期比約25%減 - 半減するも依然多い「Emotet」相談
教員私物PCが「Emotet」感染、不正メール送信の踏み台に - 愛媛大
複数新潟県立校で「Emotet」感染 - 「高野連」名乗るメールなどで
5月に勢い増した「Emotet」 - 海外にくらべて高い国内検知率
約800自治体が採用する電子申請のヘルプデスクがEmotet感染
職員3人「Emotet」感染、認証情報窃取されスパム踏み台に - 室蘭工業大
「Emotet」感染、なりすましメールに注意喚起 - 都築電気