米国Bromium社の技術陣が発信した記事を中心に、最新の情報をご紹介いたします。
Bromiumのお客様は、86%の割合でマルウェアを隔離されたマイクロVMで実行させ続けることを積極的に選択しています ● この、一般的な直観とは真逆にみえるアプローチが、仮想化ベースのセキュリティにしかできない脅威インテリジェンスの最大化に繋がります ● 従来のソリューションは、侵害の影響を最小限に抑えるために発見次第即座にマルウェアを終了しようとしますが、得てして遅すぎなのと、そこから習得できることを犠牲にすることがよくあります
●Microsoft Office文書や、OSに標準で実装されているPowerShellだけで成り立つ攻撃手法は、マルウェアとして検知することが大変困難です。 ●今回は、こうした種類の実際のマルウェアの一つを実例に、解析手順をご説明しながら、その中にみられる作成者の手法を具体例としてご紹介します。
● Bromiumのユーザー企業ではメールの添付ファイルと比較して、Webサイトからのダウンロードを用いた攻撃の著しい増加が見られます。 ●「複合攻撃」はより一般化しており攻撃者は複数の手口を並行して使用しています 。 ● 脅威の侵入経路に関わらず、彼らの究極の目標である脆弱なアプリケーションをセキュアにする事が重要です。
● 最近のマルウェア技法には、単にファイルをコピーするだけで検出を回避するものがあります。 ● それがどのように動作するかを順を追って解説します。 ● 革新的なハッカーは、検出を回避する、洗練されたマルウェアを継続的に生みだしています。
● ネットバンキング詐欺ツールの一種、Emotetが仕組まれた検体群を分析し、比較してみました。 ● マルウェア作成者は、侵害目的のプログラムを個々の潜在的犠牲者ごとに、一意の実行ファイルに再パッケージにする手 口で、シグネチャ方式での検出を回避します。 ● 再パッケージされドロップされた実行ファイルは、それまで存在しなかったものです。このため、アプリケーションの隔離と制御が重要です。 唯一の安全なアプローチである、検出に頼らない保護が必要です。