ブログ
次の結果を表示 
次の代わりに検索 
もしかして 

2016年7月に検出された新たな脅威

投稿者 J-Net_Japan_Blog_Team ‎09-29-2016 12:00 PM - 編集済み ‎11-08-2016 09:02 PM

(このシリーズでは、Sky ATPSky Advanced Threat Prevention)の解析エンジンによって検出された新たな脅威を紹介します。ブログは毎月1回の投稿を予定しており、今回が第1回目となります。)

 

7月、何万もの悪意のあるアプリケーションやドキュメントが、SRXのファイヤウォールを通過する度にSky ATPによって検出されました。これらのほとんどは既知の脅威でしたが、一部では、数種類のランサムウェア、さまざまな種類のトロイの木馬ドロッパースパイウェア不審なプログラムを含む新型マルウェアも検出されました。この記事では、2つの新種のランサムウェアと、検知を回避するために(ほぼ)ファイルレスのマルウェアに進化した脅威を取り上げます。

 

Sky ATPの解析パイプラインは、早い段階でウイルス対策(AV)エンジンに対して、新しいサンプルをそれぞれ実行します。AVエンジンは、既知の脅威やそれに近い変種を検知してフィルタリングする、迅速かつ効率的な方法です。そうした既知の脅威を可能な限り早い段階で解析パイプラインから除去することで、静的解析エンジンやサンドボックス技法におけるデトネーションなど、パイプラインの計算コストの高い部分の負荷が軽減されます。ただし、新たな脅威については、ハッシュやシグネチャが十分ではありません。このブログ投稿では、7月に検出された脅威をいくつか紹介します。これらの脅威は、多数のAVエンジンでは検出されませんでしたが、Sky ATPの綿密な分析によって検知されました。

 

ランサムウェア「Zepto

 

「Zeptoは新種ですが、見た目も振る舞いも「Locky」に非常によく似ています。(「Locky」については過去のブログ投稿(英語)「Juniper Sky Advanced Threat Prevention vs. Locky Malware「More on Ransomwareで詳しく説明しています。)異なる点は、暗号化されたファイルの拡張子に「.zepto」を使用していることです。

  

1.png

 

 「Locky」(およびその他のほとんどのランサムウェア)と同様、被害に遭うとポップアップ、テキストファイル、デスクトップには新しい壁紙が表示され、身代金の支払いをビットコインに変換し、ダークウェブのサイトを介して支払う方法が指示されます。

 

2.png

 

 

ランサムウェア「Cerber

 

Sky ATPによる綿密な分析は、従来のウイルス対策エンジンを回避したランサムウェア「Cerberの変種を多数検出しました。身代金の要求には、感染を知らせる自動音声が含まれます。

 

 

 

(ほぼ)ファイルレスのマルウェア「Kovter

 

当社は7月に、パイプラインによる綿密な分析で最も興味深いサンプルを検出しました。その中には、クリック詐欺のマルウェア「Kovterの変種が複数含まれていました。このマルウェアの新種はますます検出されにくくなっており、ほぼファイルがない状態で被害者のPCに常駐し続けます。

 

Kovterは、難読化されたJavaScriptと、Windowsレジストリに保存されているバイナリコンテンツから感染します。

 

3.png

 

Kovterの作成者は、巧妙な手口を使って、実際のWindowsのファイルシステム上にマルウェアを残さずに常駐します。このマルウェアは、任意の(ただし重要な)拡張子を付けたファイルをランダムに作成して、バッチファイルおよびショートカットと一緒に追加します。

 

4.png

  

バッチファイルは、起動コマンドが含まれている拡張子「.fcb676eie」を持つガベージファイルを「開き」ます。

 

5.png

 

ファイルを開く代わりに、拡張子「.fcb676eie」に関連付けられたレジストリキーが、Windowsにまったく異なるコマンドを実行するように指示します。

 

6.png

 

これは、Microsoftのエンジンmshta.exeを利用して、レジストリに保存されている難読化されたJavaScriptを実行します。ペイロードの大部分は5,000文字以上の16進文字列で、JavaScripteval()関数によってデコード、実行されます。これによって、Base64でコード化された非常に長い文字列を持つ別のJavaScriptプログラムが作成されます。

 

7.png

 

次に、未処理のシェルコードを含むPowerShellのスクリプトを作成するためにデコードされます。このシェルコードが挿入および起動されると、旧版のMetasploitテンプレートから取得した手法を利用してWindowsに悪意のあるプロセスが作成されます。 

 

8.png

 

このような複雑なプロセスで、マルウェアは、不要ファイルとそれに関連付けられたバッチファイルおよびショートカット以外は、ファイルシステムに何も残すことなく被害者のPCに居座り続けることができます。ただし、この悪意のある振る舞いは、Sky ATPの綿密な分析技術で検出されます。

 

来月は・・・

 

前述のとおり、これらの脅威は、Sky ATPの解析エンジンで検出された多くの脅威のうちの一部にすぎません。ご覧いただきありがとうございました。第2回は来月お届けします。お楽しみに!