Deep CDR で Excel に潜む検知回避技術を阻止
マルウェア脅威の 98% は回避テクノロジーを備えており、サイバーセキュリティにとって深刻な問題になっています。(1) サイバー犯罪者は、シグネチャや挙動による検知ツールを打ち負かし、多くの高度な回避戦術を利用して検知をすり抜けます。本ブログでは、ウイルス対策ソフトウェアを回避するために、脅威アクターが使用する 2 つの方法について説明します。
マルウェアのサンプルを例に説明しましょう。このファイルに含まれているマクロは、ステガノグラフィーファイルをダウンロードし、悪意のあるペイロードを抽出するためにデコードします。このファイルを MetaDefender Cloud 上の複数のマルウェア対策(AV)エンジンでスキャンすると、40個の AV エンジンのうち 18 個のエンジンが脅威を検知しました。
VelvetSweatshop パスワード
「VelvetSweatshop」のデフォルトパスワードは、8 年前の脆弱性で、 2013 年に最初に利用されました。最近では、 LimeRAT マルウェアの拡散に使用されました。(2) Microsoft Excel には、埋め込みのデフォルトパスワード VelvetSweatshop でファイルを復号化し、パスワードを要求することなく読み取り専用モードで開くと同時に、オンボードマクロを実行する機能があり、サイバー犯罪者はこの戦術を選びました。(3)
サンプルファイルを VelvetSweatshop パスワードで暗号化することにより、一部のマルウェア対策エンジンは悪意のあるコードの検知を阻止され、 40のAVエンジンのうち15のエンジンだけが脅威を検知しました。
パスワード保護のマクロ
ワークシートをパスワードで保護するのと同様に、 Microsoft Excel では、 Excel のマクロを表示できないようにロックすることができます。ただし、この機能はマクロを暗号化しません。
この機能を使用してサンプルのマルウェアマクロを非表示にすると、一部のマルウェア対策エンジンの検知効果が低下しました。マルウェアサンプルを検知した AV エンジンのうち、3つの AV エンジンは、マクロがパスワードで保護されていると、脅威を認識できませんでした。
2 つの戦術を組み合わせるとどうなるでしょうか?
VelvetSweatshop パスワードと、マクロのパスワード保護の両方を用いて、悪意あるサンプルファイルの検知を回避すると、スキャン結果が大幅に減少することがわかりました。 40 のマルウェア対策エンジンのうち、13 のエンジンだけが、脅威を検知することができました。
回避型マルウェアの防御ソリューションは?
脅威アクターは、常に、悪意のあるファイルをマルウェア対策システムから隠すための、新しい手法を探しています。回避型マルウェアを阻止するベストプラクティスの 1 つは、システムに転送されたファイルの潜在的に悪意のあるすべてのオブジェクトを、無効にすることです。無害なマクロでさえ、後で脆弱性になる可能性があります。
OPSWAT Deep CDR (コンテンツの非武装化と再構築)は、ファイル(マクロ、 OLE オブジェクト、ハイパーリンクなどを含む)に埋め込まれている、すべてのアクティブコンテンツを削除し、正当なコンポーネントのみを使用して、ファイルを再構築します。さらに、 Deep CDR を使用すると、パスワードを知らなくても、パスワードで保護されたマクロを調査できます。この業界をリードする OPSWAT テクノロジーは、ゼロデイ標的型攻撃や、高度な回避型マルウェアなど、既知と未知の脅威の防御に非常に効果的です。
Deep CDR によって無害化されたサンプルファイルは、ユーザービリティを維持した安全なファイルです。
仮に、業務にマクロが必要な場合は、複数のマルウェア対策エンジンでファイルを同時スキャンすることで、脅威が検知される可能性を高めることが重要です。 OPSWAT は、 30 種類以上のマルウェア対策エンジンを備えた、マルチスキャンの概念を開拓しました。 OPSWAT マルチスキャンテクノロジーは、シグネチャ、ヒューリスティック、 AI / 機械学習、エミュレーションなど、さまざまな分析メカニズムと技術を組み合わせることで、低い総所有コスト(TCO)で検知率の最大化を支援します。
ゼロデイ攻撃、高度な回避型マルウェアを防止するための最適なセキュリティソリューションに関しては、OPSWAT Deep CDR とマルチスキャンの詳細をご確認いただくか、OPSWATへご相談ください。
参照:
(1) Stefnisson, Siggi. 2018. "Evasive Malware Now A Commodity". Securityweek.Com. https://www.securityweek.com/evasive-malware-now-commodity.
(2) Osborne, Charlie. 2020. "Limerat Malware Is Being Spread Through Velvetsweatshop Excel Encryption Technique". Zdnet. https://www.zdnet.com/article/limerat-malware-is-being-spread-through-velvetsweatshop-excel-encryption-technique/.
(3) Baccas, Paul. 2013. "When Is A Password Not A Password? When Excel Sees “Velvetsweatshop”". Naked Security. https://nakedsecurity.sophos.com/2013/04/11/password-excel-velvet-sweatshop/.
- ファイルアップロードの保護 – 10 のベストプラクティスで サイバー攻撃を防御
- MetaDefenderによる世界で最も危険なマルウェアEmotetの防御
- OPSWAT Expands Global Availability of Critical Infrastructure Protection
- OPSWAT Announces Expansion of Cybersecurity Training Program
- Avoiding storage data leaks and PII regulation noncompliance
- How OPSWAT Can Help Detect and Prevent the VMware WorkSpace ONE Access exploit (CVE-2020-4006)
- Protecting Critical Infrastructure from Advanced Cyberattacks
- MetaDefender Cloud Hash Reputation Database Now Exceeds 40 Billion
- OPSWAT Continues to Expand OESIS Framework with New Partners
- 6 Potential Security Gaps in File Transfer Process for Critical Infrastructure