Vol.03 MDS メモリ分析ベースの検知技術を搭載

Similar documents
Vol.71 政府機関を狙う連続ターゲット攻撃の目的は?

Vol.61 韓国と日本 同時多発的な不正アプリの拡散背景には

Vol.04 Partner Step-up Traning Day 2014

Vol.62 コインマイナーが狙う仮想通貨 Top4

Vol.41 ランサムウェア 攻撃ルートの多角化で猛威を振るう

アンラボ発信セキュリティ情報 PressAhn Pick Up! マルウェア詳細分析 相手の手札が丸見え レッドギャンブラー アンラボは韓国主要企業を対象に持続的なサイバー攻撃を実行した多数のハッキンググループを追跡中 ある攻撃グループが国内の不正ギャンブルゲームを通してマルウェアを配布したことが分

Vol.15 ハッカーの標的 POS システム

KSforWindowsServerのご紹介

Vol.63 Kimsuky の帰還 今回のターゲットは?

セキュリティプレス アン UNIX Linux OS 関連のBash (Born Again Shell) 脆弱性を詳細分析 Bash 脆弱性 シェルショック で全世界が震撼 2014年9月24日 GNU Bash環境変数を使用したコードインジェクションのセキュリティ脆弱性が報告された これは シェ

Focus In-Depth CyberSecurity Prediction 2018 セキュリティ環境が迎える変化 世界的なリサーチ機関 Frost&Sullivan のアナリストのチャールズ リム (Charles Lim) は2 月 アンラボ本社にて 2018 年サイバーセキュリティ展望 (

McAfee Embedded Control データシート

脆弱性を狙った脅威の分析と対策について Vol 年 7 月 21 日独立行政法人情報処理推進機構セキュリティセンター (IPA/ISEC) 独立行政法人情報処理推進機構 ( 略称 IPA 理事長 : 西垣浩司 ) は 2008 年度におけ る脆弱性を狙った脅威の一例を分析し 対策をまと

マルウェアレポート 2017年10月度版

プレゼンテーション

感染条件感染経路タイプウイルス概要 前のバージョン Adobe Reader and Acrobat より前のバージョン Adobe Reader and Acrobat before より前のバージョン Adobe Flash Player before

延命セキュリティ製品 製品名お客様の想定対象 OS McAfee Embedded Control 特定の業務で利用する物理 PC 仮想 PC や Server 2003 Server 2003 ホワイトリスト型 Trend Micro Safe Lock 特定の業務で利用するスタンドアロン PC

便利 vs. 安全のはざまで揺れる 韓国モバイル決済サービス市場の実情とは モバイル決済サービス市場 勝負の行方 ダウムカカオは 9 月にリリースしたモバイル決済サービス カカオ Pay に続き 14の銀行と組んでモバイル送金 決済サービスの バンクウォレットカカオ ( 以下バンカ ) を発表した

Vol.66 信頼できるマルウェア (?) に隠された真実

スライド 1

マルウェアレポート 2018年4月度版

FOCUS IN-DEPTH - URSNIF ANALYSIS アースニフ ステガノグラフィーで金融圏を攻撃 金融情報を奪取するマルウェアのアースニフ (Ursnif) が再び活動を再開した アースニフは金融圏で最も頻繁に発見されるマルウェアの一つであり 初期は北米 ヨーロッパ オーストラリアなど

マルウェアレポート 2018年2月度版

セキュリティプレス アン AhnLab ISF 顧客主導型セキュリティ 戦略を提唱 高度化された脅威に対抗する RE:SOLUTION とは? 10 月 15 日 AhnLab Integrated Security Fair( 以下 ISF2014) がソウルで開催された 企業 公共機

Microsoft PowerPoint - 入門編:IPSとIDS、FW、AVの違い(v1.1).ppt

報道関係者各位 2016 年 5 月 10 日 テクマトリックス株式会社 ネットワークセキュリティ事業部 次世代型メールセキュリティソリューション Proofpoint の取り扱いを開始 最新のサンドボックステクノロジーで標的型攻撃メールを可視化 テクマトリックス株式会社 ( 本社 : 東京都港区

日常生活に密着したセキュリティ脅威の特徴とその事例 生活密着型セキュリティ脅威 Top 年は WannaCryptor や Petya などの強力なランサムウェアが世界で猛威を振るった だがこれらの脅威以外にもけして見過 ごせない生活密着型脅威が続々と出現している 生活密着型脅威その 1

<4D F736F F F696E74202D E9197BF C A F B A834C C A5F C52E B8CDD8AB B83685D>

はじめに ウイルスに感染させるための罠が仕掛けられた悪意のある文書ファイルは これまでにも Office の脆弱性の悪用や マクロ機能を悪用する手口のものがありました 昨今 それらとは異なる新たな攻撃手口を使ったものが出てきています 本資料は 新たな攻撃手口について紹介し 注意点を説明するものです

マルウェアレポート 2018年1月度版

今月の呼びかけ 添付資料 ファイル名に細工を施されたウイルスに注意! ~ 見た目でパソコン利用者をだます手口 ~ 2011 年 9 月 IPA に RLTrap というウイルスの大量の検出報告 ( 約 5 万件 ) が寄せられました このウイルスには パソコン利用者がファイルの見た目 ( 主に拡張子

2014 年上半期セキュリティトレンドを振り返る 2014 年もすでに折り返し地点を過ぎ残り数ヶ月となりました 韓国は今年 大手カード会社で起こった大量の顧客情報流出という大事件からスタートし Windows XPサポート終了 Open SSL 脆弱性発見など 様々な問題がセキュリティ業界を緊張させ

Technical Report 年 8 月 31 日 株式会社セキュアソフト 注意喚起 : バンキングトロージャンに感染させるマルウェア付きメール拡散について 1. 概要最近インターネットバンキングなど金融機関関連情報の窃取を目的としたマルウェア付きメールが 日本国内で多数配

Windows 10 移行ガイド

2016 年脅威トピック 5 生き残りをかけた適者生存競争 激化 生存競争において環境に適応したものは生き残り そうでないのは淘汰される 一言でまとめたダーウィンの進化論である これは 2016 年セキュリティ脅威の動向にも当てはまる理論であった 今年の脅威はシンプルなものから複雑なものへと進化し

<4D F736F F F696E74202D D312E A90A78CE48AC28BAB93B193FC835C838A B E707074>

Microsoft Word - Outlook Web Access _IE7_ Scenario.doc

マカフィー R セキュリティサービス (Mac 版 ) インストール 基本操作 アンインストールマニュアル McAfee と McAfee のロゴは 米国およびその他の国における McAfee LLC の商標です 中部ケーブルネットワーク株式会社 第 1.5 版 2018/11/5

ACTIVEプロジェクトの取り組み

WannaCry とは WannaCry はランサムウェアの一種 WannaCry は ランサムウェアと呼ばれる身代金要求型のマルウェアです WannaCryptor WanaCrypt Wcry といった呼ばれ方もします 一般的にランサムウェアに感染すると 以下のようなデータを使用できないように暗

各種パスワードについて マイナンバー管理票では 3 種のパスワードを使用します (1) 読み取りパスワード Excel 機能の読み取りパスワードです 任意に設定可能です (2) 管理者パスワード マイナンバー管理表 の管理者のパスワードです 管理者パスワード はパスワードの流出を防ぐ目的で この操作

( 目次 ) 初回ログインクリプト便送信クリプト便受信ご参考 P2~ P6~ P11~ P14~ 本マニュアルは NRIセキュアテクノロジーズ株式会社 ( 以下 NRI 社 という ) より提供されました2014 年 12 月 1 日時点の クリプト便 ユーザーマニュアルをもとに作成しております 最

f-secure 2006 インストールガイド

モバイルの時代 Wifi 歩行中 現在 私たちはかつてないほど多くのデバイスと多くの接続方法を利用しています 仕事をする時間 場所 方法を選べることは便利なだけでなく 生産性の向上にもつながります オフィス しかし 多くのデバイスやソフトウェアを利用すればするほど 攻撃を受ける可能性は拡大し 脆弱性

今週の進捗

OSI(Open Systems Interconnection)参照モデル

6-2- 応ネットワークセキュリティに関する知識 1 独立行政法人情報処理推進機構

感染条件感染経路タイプウイルス概要 Authplay.dll (aka AuthPlayLib.bundle) を利用する Adobe Reader 9.x ~ より前のバージョンと 10.x から 上記動作環境に一致した環境下で当該 PDF タイプウイルスを実行することで

Microsoft PowerPoint - ã…Šã…¬ã…fiㅥㅼ盋_MVISONCloud製åfi†ç´¹ä»‰.pptx

McAfee Advanced Threat Defense

Microsoft Word - gred_security_report_vol17.final

1. はじめに 本書は Wind ows10 がインストールされたPC を大量に準備する際のいくつかの手順について 検証した結果をまとめたものになります 本書の情報は 2018 年 3 月時点のものです 本書に掲載されている内容は 弊社の検証環境での結果であり すべての環境下で動作することを保証する

マルウェアレポート 2018年3月度版

f-secure 2006 インストールガイド

THREAT ANALYSIS IDENTITY THEFT 自動ログインの利便性と そのリスク 最新の統計によると 1 人当たり平均 3つのソーシャルメディアを利用しているという また使用中のメールアカウントも 3つ以上が最も多かった このように複数のアカウントを利用するうえでそれぞれの IDやパ

制御システムのセキュリティリスク軽減対策~EMET のご紹介~

不正送金対策 フィッシング対策ソフト PhishWall( フィッシュウォール ) プレミアム のご案内 広島県信用組合では インターネットバンキングを安心してご利用いただくため 不正送金 フィッシング対策ソフト PhishWall( フィッシュウォール ) プレミアム を導入しました 無料でご利用

Visio-XPSP2_fl—fl….vsd

OP2

ログを活用したActive Directoryに対する攻撃の検知と対策

設定画面から ネットワーク設定 をタップします 管理者パスワード をタップします 管理者パスワードを入力して管理者としてログインします 管理者パスワードを入力して管理者としてログインします IPv4 設定 の IPv4 アドレス の値を確認します ネットワーク設定 をタップします もしくは ホーム画

CloudEdgeあんしんプラス月次レポート解説書(1_0版) _docx

なぜIDSIPSは必要なのか?(v1.1).ppt

Microsoft Word - gred_security_report_vol27_ docx

ESET NOD32アンチウイルス V4.2 リリースノート

OSI(Open Systems Interconnection)参照モデル

Active! mail 6 操作マニュアル 株式会社トランスウエア Copyright TransWare Co. All rights reserved.

マルウェアレポート 2017年9月度版

技術レポート 1)QuiX 端末認証と HP IceWall SSO の連携 2)QuiX 端末認証と XenApp の連携 3)QuiX 端末認証 RADIUS オプションと APRESIA の連携 Ver 1.1 Copyright (C) 2012 Base Technology, Inc.

KDDI Smart Mobile Safety Manager Mac OS キッティングマニュアル 最終更新日 2019 年 4 月 25 日 Document ver1.1 (Web サイト ver.9.6.0)

仙台 CTF2018 セキュリティ技術競技会 (CTF) 問題解説復習問題 平成 30 年 11 月 10 日 仙台 CTF 推進プロジェクト 五十嵐良一 Copyright (C) 2018 Sendai CTF. All Rights Reserved.

f-secure 2006 インストールガイド

Microsoft Word - Emsisoft-Anti-Malware-PressRelease docx

McAfee Complete Endpoint Threat Protection データシート

スライド 1

f-secure 2006 インストールガイド

SimLabプラグインは各機能を15回分評価版として試用できます

Vol.19 Gartner Security & Risk Management Summit 2015

Web Gateway資料(EWS比較付)

機能紹介:コンテキスト分析エンジン

統合型エンドポイントセキュリティ SentinelOne のご紹介 SentinelOne Endpoint Protection Platform セキュリティビジネス部 2019/7 D01-GC ITOCHU Techno-Solutions Corporation 1

WannaCry( )

PowerPoint プレゼンテーション

UCSセキュリティ資料_Ver3.5

2 ログイン ( パソコン版画面 ) Web サイトのログイン画面が表示されます 通知メールに記載されている ID と仮パスワードを入力して ログイン ボタンをクリックしてください ID パスワードを連続して 5 回間違うと 当 I D はロックアウト ( 一時的に使用不可 ) されるので ご注意く

PowerPoint プレゼンテーション

不正送金 フィッシング対策ソフト PhishWall( フィッシュウォール ) プレミアム について 中ノ郷信用組合では インターネットバンキングのセキュリティを高めるため 不正送金 フィッシング対策ソフト PhishWall( フィッシュウォール ) プレミアム をご提供しております ( ご利用は

Microsoft Edge の場合 (1) Mizdori 無料体験版ダウンロード画面の [ 体験版ダウンロード ] ボタンをクリックします (2) Edge の下部に mizdori_taiken_setup.zip について行う操作を選んでください と表示され ますので [ 開く ] をクリッ

はじめに (1) フィッシング詐欺 ( フィッシング攻撃 ) とは フィッシング詐欺とは インターネットバンキング ショッピングサイト等の利用者のアカウント情報 (ID パスワード等 ) や クレジットカードの情報等を騙し取る攻撃です 典型的な手口としては 攻撃者が本物のウェブサイトと似た偽のウェブ

マルウェアレポート 2017年12月度版

Sharing the Development Database

(Microsoft Word - Avira\216j\217\343\215\305\221\254\202\314\214\237\217o\203G\203\223\203W\203\223\202\360\223\213\215\332\201I\201uAvira Free Antivi

D シンクライアントデバイス Wyse シリーズを利用した 仮想化環境での EVE MA 顔認証 指静脈認証の実現 株式会社ディー ディー エス 営業本部販売推進部営業技術課 1 Wyse シリーズとの連携デル株式会社が取り扱うシンクライアントデバイス Wyse シリーズ( 以下 Wys

新製品 パソコンソフト セキュリティ対策ソフト NewsRelease 報道関係者各位 2004 年 8 月 26 日 ソースネクスト株式会社 二重の安心を提供する新発想のセキュリティ対策ソフト セキュリティアドバイザー 年 9 月 17 日 ( 金 ) 発売 ソースネクスト株式

第5回 マインクラフト・プログラミング入門

目次 はじめに... 2 動作環境... 2 ユーザーサポートについて... 2 セットアップ ( インストール ) 手順... 3 セットアップ手順 1 ソフトウェアのダウンロード... 4 セットアップ手順 2 Firebird データベースのインストール... 5 セットアップ手順 2 Fir

重要インフラがかかえる潜在型攻撃によるリスク

CubePDF ユーザーズマニュアル

カスペルスキーセキュリティご利用までの流れ STEP1. お申込み カスペルスキーセキュリティのお申し込み完了後 画面の案内にしたがってセキュリティソフトの ダウンロード インストールを行ってください インストール時に アクティベーションコードの入力が必要です アクティベーションコードはマイページで

FlashAir 設定ソフトウエア株式会社東芝セミコンダクター & ストレージ社 Copyright 2012 TOSHIBA CORPORATION, All Rights Reserved. 対応 OS: Windows XP SP3 / Vista SP2 / 7 (32bit/64bit)

Transcription:

2014.3 Vol.03 MDS メモリ分析ベースの検知技術を搭載

行為分析を回避するマルウェアをスマートに検知 MDS メモリ分析ベース検知技術を搭載 多くのAPTソリューションベンダーでは 未知のマルウェア unknown malware を検知する対策としてシグネチャレス signat ure-less 技術を強調している これは仮想マシン Virtual Machine やサンドボックス sandbox ベースの行為分析技術を意 味する しかしサンドボックスベースの分析技術も もはや効果的な方法とはいえない状況だ 最近の攻撃者は 自動化された行為 分析システムを回避する 高度化されたマルウェア作成に力を入れている マルウェアは日々想像以上の進化を遂げているのだ 本コラムではサンドボックスベースの行為分析技術の限界と これに代わるアンラボの対APTソリューションMDS Malware Defe nse System 以下MDS の新機能について紹介した サンドボックスの自動分析技術すら無力化する 高度なマルウェア 2012年11月 ASEC AhnLab Security Emergency Response Center に興味深いマルウェアサンプルが検知された これは 韓国空軍のプレ ゼンスに対する評価と診断 という件名のメールに添付されたドキュメントファイルで 大韓民国空軍の目標や航空宇宙軍に対する社会の認識につい て詳細な内容が記載されており メールの受信者が国防関連の重要文書であると信じ込ませるように見せかけていた これこそは攻撃者が標的を意識して仕掛けたAPT攻撃だった そして添付されたドキュメントファイルも驚くほど巧妙に作成されていた ファイルの悪性可否を判断しにくくするためにヒープスプレー 1eeap Spray をごく少量に抑え ヒープスプレー検知を回避した上にソフトウェ アの最新バージョンのみマルウェアが実行されるようになっており バージョンが低いソフトウェアでは作動しなかったのである だがこのドキュメントファイルは 明らかに悪意ある行為を実行していた はたしてこのファイルの秘密は何だろうか このファイルが作動するためには特定の条件が揃わなければならない まず 内容を確認するためユーザーがドキュメントファイルを展開する 内容 を読みながらスクロールバーを下に移動させ 2ページ目の 問題提起 という段落に到達した瞬間 encctrl.exe というファイルが自動作成さ れた後に実行される これは悪意ある不正ファイルであり 実行されると連続してまた別の不正ファイルが作成 実行されるのだ これらのファイル はPCから個人情報を収集し 特定のメールアドレスに送信するようになっていた つまり攻撃者は 特定のアクションがあってこそエクスプロイト が発動するようにマルウェアを設計したのである これはドキュメントファイルを利用した最新APT攻撃タイプの一つで 自動化されたサンドボック ス分析システムを回避する代表的なケースである 1 ヒープスプレーとは Windows が持っている不正プログラムの実行防止機能を回避し 攻撃成功率を高めるための手法 ヒープと呼ばれるメモリ領域に対して不正 なプログラムをスプレーで塗りつぶすように大量に書き込み 不正プログラムが実行される可能性を高める 出展 情報技術解析 平成 22 年報 2

仮想環境の行為分析技術 (Behavior Analysis in Sandbox) における限界 現在多くのAPT ソリューションベンダーは 新種のマルウェア (unknown malware) を検知するためシグネチャに依存しないシグネチャレス (sig nature-less) 技術の必要性を強調している 特に一部のベンダーでは 行為ベース分析 技術が まるで新種のマルウェアを検知する唯一のシグネチャレス技術であるかのように主張している だがこのサンドボックスなどの仮想環境ベースの行為分析技術を採用したソリューションだけで 日々高度化するマルウェアを十分に検知できるだろうか? この問いに対する答えは No である ではサンドボックスベースの行為分析技術の限界は何か 同技術を採用した対 APT ソリューションの問題点について最新情報をまとめた サンドボックスベースの行為分析技術とは 分析対象をサンドボックスと呼ばれる限られた環境の中で実行させ 行為 (behavior) の結果によって正常か脅威かを判断する技術だ だがこの技術を採用している APT ソリューションが 100% 機能を遂行するためには必ずマルウェアが作動しなければならない つまり マルウェアがサンドボックス分析環境下で常に意図している行為を予想したプロセス通りに動作してこそ検知できる だが前述したように 最近では何ら行為も起動しないドキュメントファイルを利用した攻撃が増加し 自動化されたサンドボックスの分析システムを回避し始めた 行為分析システムを回避する最新マルウェアの代表的な 3つのタイプは次の通りである 1. 特定のユーザーアクションを検知して悪意ある行為を実行するマルウェア前述のケースから見るとマルウェアが潜む PDF ファイルを展開するだけでは何も起こらず ユーザーが特定のページにスクロールしてこそマルウェアの悪意ある行為が作動した 他にもPCがマルウェアに感染した状態でユーザがマウスをクリックしたり特定の方向に移動させるなど 入力デバイスの変化を検知した時に初めて作動したケースもある 興味深いのは このケースではマルウェアに感染したことを警告するメッセージウィンドウが表示されたが 確認後に OK ボタンをクリックした場合のみ悪意ある行為が実行された これらのマルウェアはユーザが特定のアクションを行うまでは疑わしい行為を見せないため 事前に検知するのが非常に難しい 2. 自動化されたサンドボックスで制御が難しい 時間の制約 を利用するマルウェアほとんどのAPT ソリューションは自動化された行為分析のため 仮想マシン (Virtual Machine) やサンドボックス (Sandbox) 環境を使用する しかしこれらの環境を起動するためにはハードウェアの限られたリソースを使用することになる そしてサンプルの行為動作が終了するまで 1つのサンプルに対するダイナミック手法の分析時間を無限に使用することはできない マルウェア作成者は この点を突いて特定の時間に悪意ある作動を実行するスケジュール (scheduling) 技法を使用する これらの手法を利用するマルウェアを 時限爆弾マルウェア (time - bomb malware) または トロイの木馬ナップ (Trojan nap) という 一部のAPT ソリューションは時限爆弾手法に利用される スリープ (sleep)api など 特定のAPI を使用した場合は確実にマルウェアとして検知する ただし API は通常のプログラムでも使用されるので 検知ミスが増加する可能性もある 3. 仮想マシンまたはサンドボックスを認知して悪意ある動作を隠ぺいするマルウェア攻撃者がインテリジェントなマルウェアを作成する理由は APT ソリューションの検知と分析を回避するためだけでなく ダイナミック分析においても仮想マシンやサンドボックスが使用されるからだ 一部のAPT ソリューションは実行中のプロセス レジストリキーやレジストリ値 仮想ハードウェアなどの仮想マシンやサンドボックス内の様々な変化の試み自体を検知する しかしマルウェアは逆に検知機能を認知し 悪意ある動作を実行しないように進化しているのだ 3

MDS メモリ分析ベースのエクスプロイト検知技術を搭載 MDS は高度化されたマルウェアを検知するため ダイナミックコンテンツ分析 (Dynamic Intelligent Content Analysis) という新しい技術を適用した これはメモリ領域でアセンブリコード (assembly code) ベースに分析する技術で アンラボが開発した独自の技術である この技術はアプリケーションの脆弱性攻撃の段階 (exploitation phase) からマルウェアか否か判断し 新たなゼロデイ (zero - day) 脆弱性を突くマルウェアも検知が可能だ 図 1 ダイナミックコンテンツ分析技術の概念 [ 図 1] は MDS のダイナミックコンテンツ分析技術の基本的な概念を図に表したものだ 特定のアプリケーションの脆弱性を攻撃するマルウェアが難なく設計通りに脆弱性をエクスプロイト (exploit) し 不正行為を実行すると仮定してみよう このマルウェアが最終的に悪意ある行為を作動させるまでが 作動前 (pre- exploitation phase) 段階であり 条件が揃った後にマルウェアが作動する 作動時点 (exploitation phase) 段階に区分することができる このマルウェアが作動前の段階で正常に動作しなかったり マルウェアの作動時点で仮想マシンやサンドボックス環境を認識して何も反応しない場合は 行為ベース分析 技術は用無しになってしまう これにより悪意ある動作に関係なく マルウェアの作動前段階またはマルウェアの作動時点においてもマルウェアを検知できる方法が必要となる この行為ベース分析技術の限界を克服し エクスプロイトが発生する前の段階からマルウェアを検知するために開発されたのが MDS のダイナミックコンテンツ分析技術なのだ 4

MDS のダイナミックコンテンツ分析技術の仕組み 図 2 Dynamic Intelligent Content Analysis の動作原理 [ 図 2] はメモリ構造を簡単に図式化したもの 例えば ここにバッファオーバーフロー (buffer overflow) 攻撃に脆弱なマイクロソフトの Word ファイルがあるとしよう [ 図 2] の左側 Normal は 正常な Word ファイルを実行したときの状態だ Normal ファイルをクリックすると メモリ上にはメインプログラムであるwinword.exe に関するダイナミックライブラリファイルがロードされる これが正常な状態であれば DLL#3 まで処理されると通常のWord ファイルが展開される では脆弱な Word ファイルを攻撃するエクスプロイトが作動するとどんなことが起こるのか 最初はNormal の場合と同様プログラムが実行されるが ある瞬間ダイナミックにデータを格納するヒープ (heap) と呼ばれる領域にシェルコードを保存しておく その後バッファオーバーフローが発生するエクスプロイトタイミングに 正常であれば DLL#3 に移動するEIP が 異常シェルコード領域にジャンプ (jump) することに そしてシェルコードにコーディングされた悪意ある動作が生じることになる ダイナミックコンテンツ分析技術を搭載したMDS なら こういった場合にはマルウェアを次のように検知できる 分析対象プログラムがメモリ上にロードされた時点で デバッグスレッド を直接挿入し 異常メモリ領域への移動 / ジャンプを検知する ダイナミックコンテンツ分析技術は 通常のバッファオーバーフローはもちろんのこと SEe(Structured Exception eanding) RTL(Return-to-Lib) R OP(Return-Oriented Programing) ヒープスプレー (eeap spray) などマルウェアが利用する様々な脆弱性を攻撃 (exploitation) する段階で検知できる つまり MDS のダイナミックコンテンツ分析技術は マルウェアの悪意ある動作タイプや発生可否に関係なくマルウェアを検知できる 5

事前に APT を遮断せよ MDS のダイナミックコンテンツ分析技術は アンラボが開発した十数余のアルゴリズムを基に完成させ独自の技術だ 代表的なものとしては悪意ある非実行ファイルがエクスプロイトを作動させる前の段階でヒープスプレー (eeap Spray) を介してシェルコードを保存する手法 スタックオーバーフロー (Stack Overflow) を介してシェルコードを保存する手法 悪意あるスクリプトを含むメモリ領域にシェルコードを保存する手法などがある 特に MDS は アプリケーションの脆弱性を攻撃する不正ファイル内のシェルコードの正確なメモリの開始ポイントを判断し シェルコードのメモリダンプとそのアセンブリコードを視覚的に認識できるように表示する メモリ分析を通じてシェルコードを検知してシェルコードの開始アドレスを正確に提供することは MDS ならではの差別化された特徴であり最も優れた技術である これまで紹介したMDS のダイナミックコンテンツ分析技術は マルウェアのアナリストやセキュリティ研究者にとっては革新的な概念ではない しかしこれらの技術が自動化された分析システムに搭載され 大量のファイルを分析できるという点からマルウェアの分析と高度化された APT 攻撃の猛攻を食い止めるための新境地を開いたと評価できる MDS は本技術を採用する環境や動作の実行条件など 潜在的な要因に影響を受けずにマルウェアを診断することができるため APT 攻撃を事前に遮断する強力な保護を実現できるだろう 6

http://www.ahnlab.co.jp http://global.ahnlab.com http://www.ahnlab.com アンラボとは株式会社アンラボは 業界をリードする情報セキュリティソリューションの開発会社です 1995 年から弊社では情報セキュリティ分野におけるイノベーターとして最先端技術と高品質のサービスをご提供できるように努力を傾けてまいりました 今後もお客様のビジネス継続性をお守りし 安心できるIT 環境づくりに貢献しながらセキュリティ業界の先駆者になれるよう邁進してまいります アンラボはデスクトップおよびサーバー 携帯電話 オンライントランザクション ネットワークアプライアンスなど多岐にわたる総合セキュリティ製品のラインナップを揃えております どの製品も世界トップクラスのセキュリティレベルを誇り グローバル向けコンサルタントサービスを含む包括的なセキュリティサービスをお届け致します 101-002 東京都千代田区外神田 4-14-1 秋葉原 UDX 8 階北 Tel : 03-5209-8610 ( 代 ) 2014 AhnLab, Inc. All rights reserved.

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック