偽ウイルス対策ソフトの検出回避策

これまでMcAfee Blogで何度か取り上げてきましたように、インターネット上には、スケアウェアと呼ばれる偽ウイルス対策ソフトが蔓延しています。この種のトロイの木馬は、ドライブバイ・ダウンロードや検索エンジン最適化(SEO)ポイズニング、スパムキャンペーン、悪質なソーシャルエンジニアリングといった手口を多く使用しています。今回は、感染手口ではなく、偽ウイルス対策ソフトがウイルス対策ベンダーからの検出を避けるために採用している回避策について、詳しく解説をします。

無意味な命令挿入で難読化したコード

上記スクリーンショットは、意味のある命令の間に大量の無駄なコードが挿入した例です。意味のない命令を入れる手口は、多くの偽ウイルス対策ソフトで使用されています。

不必要なAPIの呼び出し

上記スクリーンショットは、このコードで必要のないAPI「SetArcDirection」を呼び出した例です。不必要なAPIは、解析などを目的とするエミュレーションの対抗手段として、マルウェアが使用しています。マルウェアの中には、エミュレーションされているかどうかを確認するために存在しないAPIを呼び出すものもあります。

専用パッカー

偽ウイルス対策ソフトの多くは、専用パッカー(暗号化ルーチン)を使用しています。既存のパッカーを改造して使うマルウェアもあります。

XMMレジスタとMMX命令セットの使用

偽ウイルス対策ソフトの多くは、コード内では必要ないXMMレジスタやMMX命令セット、浮動小数点演算プロセッサ(FPU)命令セットを、他の無意味なコードとともに使用しています。

今回紹介した回避策は、特別に新しいものではなく、よく知られたマルウェアで使用されています。偽ウイルス対策ソフトは、持っている能力を最大限発揮させる目的で、亜種を作るごとに、この種の防衛策を使用します。アドウェアとスパイウェアが減少傾向にある状況の中で、偽ウイルス対策ソフト系トロイがインターネット界の悪者と呼ぶべき存在となってきている、と言えるでしょう。

関連記事

関連情報

※本ページの内容はMcAfee Blogの抄訳です。
原文:Rebranded Rogue Anti-Virus Strikes Again

導入前に押さえたい 運用基盤としてのSIEM 活用ポイント

セキュリティ運用効率化の実現基盤としてのSIEMについて、マカフィーが実際にお客様のSOC の体制確立の支援時に提供している、SIEM 導入前の計画から運用を開始までの流れや、継続するために提供しているサービス例も交えて、ホワイトペーパーとしてまとめました。

■ホワイトペーパー記載内容■
・SIEM と運用の効率化
・効率化:運用のどんな作業が楽になるのか?
・基盤:ログの統合、ノウハウ蓄積、情報共有
・不安:使いこなせるのだろうか?
・注意!:SIEM の有効活用は導入前に決まる?
・ビフォー・アフター:ログ・ノウハウ・情報の共有基盤化

この資料を読むことで、SIEM活用のポイントが理解でき、導入を成功させるための注意点を把握することができます。SIEMに興味がある方は是非ダウンロードしてお読みください。