ご参考資料(ブログ):台頭するファイルレス・マルウェアも検出可能なCheck Point SandBlast Agent
PR TIMES / 2018年9月11日 16時1分
新機能「Behavioral Guard」を使い、不正なふるまいを検出
米カルフォルニア州 サン カルロス - 2018年8月23日(日本では2018年9月11日付)
攻撃の際にファイルを使用しない「ファイルレス・マルウェア」が増加しています。この高度な攻撃手法では、攻撃者が標的のマシンを攻撃する際、マルウェアをインストールする必要がありません。そのため、(シグネチャーベースの)従来型のアンチウイルス・ソリューションでは検出することができません。ファイルレス・マルウェアは、標的のマシンに存在する既存の脆弱性を悪用し、Windows Management Instrumentation(WMI)やPowerShellなどの一般的なシステム管理ツールを用いて、通常は安全であると信頼されているプロセスに不正なコードを挿入します。
増加の一途を辿るこのファイルレス・マルウェアを非常に効果的に検出できるのが、先ごろチェック・ポイントがリリースしたSandBlast Agentの新機能、Behavioral Guardです。Behavioral Guardは、簡単に言えば、あらゆる不正なふるまいを検出して対処する振る舞い検出エンジンです。独自のフォレンジック技術を活用して未知のマルウェアのふるまいを効果的に検出し、そのマルウェア・ファミリーを正確に特定します。この高度な検出技術は、マルウェアの継続的な進化に適応する柔軟性を備えており、正規のスクリプト・ツールの悪用など、次々出現する新しい攻撃手法にも対応することが可能です。
Behavioral Guardの投入依頼、チェック・ポイントは、従来型の技術では検出困難なファイルレス攻撃を数多く発見しています。最近、お客様環境のPCで見つかった攻撃の1つでは、ファイルレスのペイロードがWMIのファイル・システムの奥深くに隠されており、システムの起動時など特定のイベント時にのみ、Windowsシステムによってバックグラウンドで密かに実行されていました。
この攻撃では、PowerShellを実行する永続的なWMIイベント・コンシューマ・オブジェクトを作成し、インラインのスクリプトでWindowsの認証情報を収集、パブリック・クラウド・サービス上のサーバにアップロードしていました。PowerShellは、現行のすべてのWindowsオペレーティング・システムに標準搭載されている、Microsoftによる署名付きの信頼されたプロセスです。シグネチャで検出できる一般的なマルウェア攻撃と異なり、この攻撃は、ディスクにファイルを書き込んだり、オペレーティング・システム上で不正なプロセスを実行したりすることなく、システムの奥深くで進行します。しかし、チェック・ポイントのBehavioral Guardは、スクリプトが難読化されたこのファイルレス攻撃の検出に成功しています。
スクリプト型のマルウェアは、本格的なファイル・ベースのマルウェアよりも短時間で簡単に作成できることから、攻撃者の間ではスクリプト型に移行する動きが広がっています。また、攻撃におけるスクリプトの使用は、ファイルとは違う課題をセキュリティ・ベンダーに突きつけています。スクリプト型マルウェアの詳細については、こちらのレポート(http://blog.checkpoint.com/wp-content/uploads/2016/05/CPTheScriptingThreat_GainingPopularityMay2016.pdf)をご覧ください。
ファイルレス攻撃の観測数は、増加する一方です。防御側の組織は、この攻撃の特徴や、従来型のアンチウイルス・ソリューションでは検出困難であるという事実を理解しておく必要があります。一般的なエンドポイント・セキュリティ対策は、高度なファイルレス攻撃に対してまったくの無力であり、いわゆる次世代アンチウイルス(NGAV)ソリューションでもこれらの攻撃を検出することはできません。しかし上で述べたように、SandBlast AgentのBehavioral Guard技術は、ファイルレス攻撃に対して有効に機能することが実証されています。既知の攻撃だけでなく、まだ見ぬ未知の攻撃に対しても、同様の効果が期待できます。
本ブログは、米国時間8月23日に配信されたものの抄訳です。
米ブログ本文はこちらをご確認ください。
https://blog.checkpoint.com/2018/08/23/file-less-malware-no-match-for-sandblast-agent/
日本のブログ本文はこちらをご確認ください。
https://www.checkpoint.co.jp/threat-cloud/2018/09/file-less-malware-no-match-for-sandblast-agent.html
■チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ( www.checkpoint.com )は、世界各国の政府機関や企業など、あらゆる組織に対応するサイバー・セキュリティ・ソリューションを提供する大手プロバイダーです。業界随一の検出率を誇る先進のソリューションにより、お客様のネットワークを、マルウェアやランサムウェアなどの多岐にわたる第5世代のサイバー攻撃から保護します。企業のクラウドやネットワークのほかモバイル・デバイスに保存されている情報を、今日の第5世代のサイバー攻撃を含めてあらゆる脅威から保護するため、第5世代の脅威に対応するマルチレベルのセキュリティ・アーキテクチャを備え、直感的で操作性に優れた総合的かつ一元的なセキュリティ管理システムを展開しています。世界の10万以上の組織・企業がチェック・ポイントのセキュリティ製品を利用しています。
企業プレスリリース詳細へ
PR TIMESトップへ
この記事に関連するニュース
-
機密を狙う“闇の帝王”降臨? マルウェア「ヴォルデモート」出現 日本もターゲットに
ITmedia NEWS / 2024年9月4日 18時10分
-
Googleスプレッドシートを悪用、税務署偽るフィッシングメールに警戒を
マイナビニュース / 2024年9月2日 12時22分
-
パロアルトの次世代ファイアウォールに偽装したマルウェア確認
マイナビニュース / 2024年9月2日 8時12分
-
マルウェアに感染させる新しい手口、ルート証明書の更新を促す警告に注意
マイナビニュース / 2024年8月25日 13時31分
-
チェック・ポイント・リサーチ、2024年7月に最も活発だったマルウェアを発表 国内ではAndroxgh0st が依然首位、世界的なRemcosとRansomHubの蔓延を確認
PR TIMES / 2024年8月22日 13時45分
ランキング
-
1あの「ポーター」が人気商品を大胆に変えた裏側 価格2倍にしても素材変えた吉田カバンの挑戦
東洋経済オンライン / 2024年9月20日 13時0分
-
2「令和のコメ騒動」不足解消でも楽観できない事情 人口減少社会で「農地改革」が進まない本当の理由
東洋経済オンライン / 2024年9月20日 8時0分
-
3ミニストップ、外国籍の利用客に“不適切な張り紙” 「問題を重く受け止め」謝罪
ORICON NEWS / 2024年9月20日 15時53分
-
46時間睡眠を続けた人の脳は「ワインを2~3杯飲んだ状態」と同じ…「昼休みも仕事する人は危険」といえる理由
プレジデントオンライン / 2024年9月20日 10時15分
-
5東京メトロは「郵政IPOの悲劇」二の舞を防げるか? 求められる戦略は
ITmedia ビジネスオンライン / 2024年9月20日 14時15分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください