今回のブログでマルウェア検知回避シリーズの3回目を迎えました。前回のシリーズでは、サンドボックス検知回避と自給自足型回避手法についてお話しました。

今回はフォーレンジックツールとセキュリティ製品の検知についてご説明します。これらの製品は、マルウェアの侵入がないか検知追跡します。しかし高度なランサムウェアは容易に検知回避をしながら攻撃を仕掛けてきます。

マルウェアが、ネットワークへ侵入すると、セキュリティ製品やフォーレンジックツールに追跡されているのか常にチェックします。2021年のMinerva調査レポートによると、多くのランサムウェアは、ネットワーク不正侵入後、セキュリティ製品とフォーレンジックツールのタイプなどをクエリーしていることがわかりました。同年にアラート検知された件数は、10,000回以上にのぼり、最新ランサムウェアはスマートな検知回避をすることが判明しました。

次に検知された時にランサムウェアは、どのような行動をとるのかご紹介します。

ランサムウェアは、セキュリティ製品などに検知されると、排除されるリスクを回避するために活動を停止します。なぜならマルウェア開発者は、敵に検知されると、マルウェアの素性が明らかになってしまうのを恐れるためです。仮にマルウェアが検知されて動きを押さえられると、ITセキュリティのコミュニティー上で、怪しい挙動のマルウェアとしてハッシュ化公表されます。ハッシュ化されると、同様のマルウェアが、他のインシデントで利用されても直ぐに判別されてしまう為、この対策処置は攻撃の抑止力となります。

あるランサムウェアは、セキュリティ製品やフォーレンジックツールを無効化する能力を備えています。あるPOC（実証実験）の結果、セキュリティリサーチャーとして有名なRoberto Franceschetti氏は、ランサムウェアがアクセス権限を乗っ取り、感染したPCをセーフモードに再起動させ、アンチウィルスソフトのディレクトリーをリネーミングさせるスクリプトを起動させることで、特定のアンチウィルスソフトを無効化することに成功したと発表しました。ランサムウェアは、アンチウィルスソフトのデータベースへ侵入し、ハッシュ化されているライブラリーデータベースへ攻撃を開始します。その主要なデータベースを破壊されても、アンチウィルスソフト自体は、稼働し続けるかもしれませんが、シグネチャーベースに登録されているマルウェア検知は無効化されてしまうでしょう。

しかしながらシグニチャーベースなどのアンチウィルスソフトやEDR・XDRとは異なり、未知のマルウェアを先制防御するMinerva製品は、ランサムウェア侵入を検知するだけでなく、検知回避を積極的に阻止します。このことについては次にご説明します。

ランサムウェアにとって運の悪いことは、Minerva相手では無力であることです。Minervaのランサムウェア先制防御層がOSを常に監視していますので、プロセスの稼働中にクエリーなどが発生すると、必要に応じて瞬時に防御します。具体的な例を言いますと、プロセスの稼働中に、ESETやある特定のセキュリティ製品などが、実装されているかどうかクエリーが発信されたりすることがあります。実際にOS上にインストールされていない製品でも、Minerva は“実装され稼働しています”　と返答を返し、マルウェアを騙し続けます。通常のシステム環境では、プロセス稼働中にセキュリティツールなどの存在についてクエリーを出すことはないので、クエリーが発信されると、怪しい挙動で悪意の行動であると示唆しており、Minervaはこの挙動を直ぐに先制防御するという訳です。

最近のランサムウェアが、検知を逃れるためにいくつかの回避手法の一つをお話致しました。Minervaは数千にも及ぶ先制防御回避シュミレーションを展開することが可能ですので、Minervaがエンドポイント上で稼働している限り、ランサムウェアからの攻撃を防御することが可能です。

Minerva製品（Minerva Armor）についてのお問い合わせはPico Technologies (info@pico-t.co.jp)までお願い致します。