データの話:なぜユーザはBromiumを信頼してマルウェアを実行するのか

2018/12/11 データの話

Data Talks: Why Customers Trust Bromium to Let Malware Run on their Endpoints by Michael Rosen / 2018年12月5日より

Bromiumのお客様は、86%の割合でマルウェアを隔離されたマイクロVMで実行させ続けることを積極的に選択しています
この、一般的な直観とは真逆にみえるアプローチが、仮想化ベースのセキュリティにしかできない脅威インテリジェンスの最大化に繋がります
従来のソリューションは、侵害の影響を最小限に抑えるために発見次第即座にマルウェアを終了しようとしますが、得てして遅すぎなのと、そこから習得できることを犠牲にすることがよくあります

マルウェアの実行をほっときましょう!全部です。 Ransomware、スパイウェア、アドウェア、トラックウェア…悪質なら悪質なほどベターです!

私はマルウェアを自分のPC上で実行したいと思っています。はい、実際に私が普段仕事で使っているPCのことで、検証用のものではありません。さらに私の同僚が実用しているシステムにもそのマルウェアに蔓延させたいのです。可能な限り一日中、毎日でも。このヘンな欲望は奇妙で物議を醸しだしたり、もしくは自己破壊的に聞こえるかもしれませんが、きっと貴方も同じことを求めるべきでしょう。 理由は次のとおりです。

マルウェアをエンドポイントから引き離すことを目指す検出ベースのシステムとは違い、Bromium Secure Platformは、マルウェアを個々のマイクロ仮想マシン内に隔離して、PC本体のOS、ファイルシステム、レジストリ、および内部ネットワークから安全に隔離するように特別に設計されています。 これは、インターネット上のリモートコマンドや制御サーバーと通信したり、悪意のある攻撃用ファイルをさらにダウンロードしたり、被害にあうPCのシステム上でコマンドを実行したり、その他なんであれ、攻撃者が望むことを実行する機会をマイクロVM内で閉じ込めた形で安全に与えるのです。

ブラウザの悪用、ゼロデイ、ファイルレス・マルウェア…そう、全部観察しています!

もし初期段階でブロックが失敗し脅威がPCで実行されると、一般的なセキュリティ製品では、実行中のマルウェアを検出し、できるだけ早く削除して、侵入による被害を最小限に抑えようとします。Bromiumのお客様は 、マルウェア識別の初期段階ですぐにマイクロVMを終了させることもできますが、86%の割合で隔離された安全な環境でマルウェアを実行し続けることで攻撃者側を圧倒しています。

マイクロVMは、ユーザーが感染ファイルやWebブラウザタブを実行している限り、マルウェアに関する脅威情報の収集を続けます。マイクロVMは、ユーザーが操作を完了してドキュメントまたはタブを閉じるときにはじめて終了します。これは数分、数時間、または就業時間の終わりまでになる可能性もあります。 その間は継続的にデータフローが発生します。おそらくデータの流出速度が遅い、botnetハートビートやリモートコマンドが原因です。

トロイの木馬、キーロガー、ダウンローダー、認証情報の詐取、…なんでも持ってこい!

正気な人が自分が実際に使用するマシン上でマルウェアが動作することを望むのはなぜでしょうか? 簡単に言えば、より多くのマルウェアを動作させて実行時間が長くなるほど、マルウェアについてもっと知ることができるからです。

悪意のあるファイルを即座に隔離して、ネットワークから除去することはできませんか?はい、Bromiumのお客様はこれを選択することもできますが、繰り返しますが、非常に魅力的な理由があるのでほとんど選択していません 。標的型攻撃が企業組織内の従業員100人に同じ電子メールのメッセージを送信したとします。メッセージはすべて短縮されたURLと、悪意のあるWord文書添付ファイルを含んだ悪質なリンクを含みます。これらの構成は、メールに対するAVスキャナやサンドボックスなどの最新型のセキュリティ対策を避けるよう巧妙に開発されており、受信トレイに到着するや否や、すぐに仕事に着手しようとする無意識な作業者がすぐにクリックします。

未知のマルウェア、シグネチャレス攻撃、難読化されたPowerShell、メモリで直接動くファイルレス攻撃…はい、どうぞ!

悪意のものと初回の識別がされた後、その悪質サイトのURLをブラックリストに登録して、悪意のあるWordファイルを企業全体から隔離することができましたが、大半の場合、これを実際にやりたいとは限りません。 その1つのWord文書が開かれる都度、(同じユーザーまたは別の犠牲者により)複数のC&Sサーバーから異種のペイロードを実際にダウンロードする可能性があるためです。最初の発生時にブラックリストに登録すれば、その後の学習機会が拒まれます。

同様に、その単一の不審なリンクは、クリックされるたびに違った悪意のあるドメインのURLにリダイレクトされる可能性すらあります。これらの手法は実装するのが容易であり、 そのため、悪質なサイトやドキュメントの最初のインスタンスをブロック、または隔離することはお勧めしません。これらが実行される回数が増え、さらに実行するユーザが増えるほど、我々はより多くのことを学べます!

Let it snow, let it snow, let it snow (雪なんて好きなだけいくらでも降ればいい)

ずる賢い攻撃者らが従来型の防御を圧倒しているのと同様、このホリデーシーズンに、Bromium 脅威研究所は、膨大なマルウェアの雪崩と実現可能な脅威の大洪水を安全に隔離する事を願っています!

  • 休暇が不愉快な日々になることを回避しつつ、未知の送信者からの電子メール添付ファイルを安全に開きましょう。
  • 安全なサイトには使いなれたブラウザを使用して、危険な不審リンクや未検知のウェブサイトは自動的に隔離しましょう。
  • 頼りない検出技法やブラックリストに頼らず、ファイルをネットから自由にダウンロードしましょう。

シェアする

  • このエントリーをはてなブックマークに追加

フォローする

BROAD Security Square