2か月間隔で定期的に実施されるAVエンジン性能試験「最新の標的型攻撃防御試験」にて、またしてもPC Maticのアプリケーション・ホワイトリスティング方式エンジンが、TOPスコアである35を獲得しました。
独AV-TESTは、InlineExecute-Assembly、SetWindowsHookEx DLL Injection、Mavinject LOLBin、Binary Paddingといったずる賢い攻撃方法を展開するデータ窃盗犯やランサムウェアに対する保護ソリューションの耐性を評価しました。
マルウェアの開発者やサイバー攻撃者は、暗い地下室で無計画に攻撃を仕掛けているわけではありません。むしろ、攻撃グループの背後にいる加害者は、マルウェアのさらなる開発に継続的に投資し、攻撃の指揮を執る組織化された企業や国家機関に支援された組織です。一方、セキュリティ・サプライヤーの間では、サイバー犯罪者の陰湿な攻撃手法の検知と防御に、同じように熱心に取り組んでいます。けれども、この競争で優位に立っているのはどちらでしょうか。セキュリティベンダーは十分かつ迅速に対応することができるのでしょうか?この試験では、一連のAdvanced Threat Protectionテストから、少なくとも重要な部分的な答えを提供しています。
今回の試験では、コンシューマー・ユーザーと企業ユーザーを対象に、27製品のそれぞれを10の特別なシナリオで評価しました。5月から6月にかけて今回行われたWindows 10の試験では、データ窃盗犯によるシナリオが5つ、ランサムウェアによるシナリオが5つ行われました。
攻撃手法1:インライン実行アセンブリ
非常に簡単に言うと、.NETランタイム環境では、「Inline Execute-Assembly」によって、何の変哲もないWindowsプロセスが悪用されます。プロセスが特定され、マルウェア・コードに感染し、悪意あるものが起動されます。さらに、AMSIバイパスを使用して、アンチマルウェア・スキャン・インターフェイス(AMSI)が回避されてしまいます。これはマイクロソフトが提供するスキャンAPIで、ウイルス対策ソリューションによって使用されています。さらに、Windowsのイベントトレース機能が無効化され、プロセスルーチンがそれ以上追跡できないようにします。これらがすべて成功すると、マルウェアは端内で自由に行動できるようになってしまいます。しかし、優れたセキュリティ・ソリューションがあれば、データの吸い上げや暗号化など、さらなる被害を防ぐことができます。
攻撃手法2:SetWindowsHookEx DLLインジェクション
DLLインジェクションは、攻撃者が発見を逃れるために使用されます。これは、他の正当な Windows プロセスのコンテキスト内でマルウェアのコードを実行するものです。これを行うには、さまざまな方法があります。やや控えめな手法としては、悪意のあるDLLに含まれるフックプロシージャを使用し、システム全体に注入されたプロセス(フック)をインストールする方法があります。指定されたイベントを実行するアタッチされた各プロセスは、悪意のあるDLLもロードし、攻撃者が影響を受けたプロセス内で自身のコードを実行することを可能にします。今回の試験では、explorer.exeで情報を窃取したり、ランサムウェアを起動したりするために使用しました。
攻撃手法3:Mavinject LOLBin
Microsoft Application Virtualization Injector” (mavinject.exe)はマイクロソフト社のユーティリティで、Windowsの新しいバージョン(アップデート)に標準で提供されています。主に外部プロセスにDLLを注入するために使用されます。このバイナリファイルは正規のデジタル署名されたWindowsアプリケーションであり、このアプリケーションを介したプロセスインジェクションは他の手法よりも活動が目立ちません。今回の試験では、explorer.exeや新しく起動したnotepad.exeで情報窃取やランサムウェアを実行するために使用しました。
攻撃手法4:バイナリー・パディング
攻撃者はマルウェアを改ざんするために、バイナリ・パディングと呼ばれるテクニックを使用します。これは、マルウェア・スキャナーを欺くために、ジャンク・データでファイルを膨らませます。時には、ファイルサイズが多くのスキャナにとって大きすぎるほど大きくパディングされることもあります。コンテンツが継続的に変更されるため、マルウェアのハッシュ値も継続的に変更されます。その結果、ハッシュベースのブロックリストや静的なアンチウイルスシグネチャでも検出されません。今回の試験における攻撃シナリオでは、DLLファイルはハードドライブに書き込まれ、次のステップで使用される前に、目立つ数の0バイト(30~60MB)でパディングしました。
10の試験シナリオ
すべての攻撃シナリオは MITRE ATT&CK データベースの標準に従って文書化されています。個々のサブテクニック、例えば “T1566.001 “はMITREデータベースの “Techniques “の “Phishing: Spearphishing Attachment “にリストされています。このように各試験ステップは専門家の間で定義されており、論理的に理解することができます。 さらに、すべての攻撃手法は、マルウェアがどの程度成功するかと共に説明されています。
他AVエンジンと異なるAPplication whitelisting方式
PC MaticのAVエンジンは、他社のヒューリスティック型AVエンジンと異なり、米NISTが推進するゼロトラスト・セキュリティモデルに準拠した新セキュリティ保護エンジンである「Application whitelisting方式」を採用しています。
米CISA庁は、特設サイト STOP RANSOMWAREにて、Application whitelisting方式の採用を推奨しています。
AV-TESTにおける試験シナリオや結果の詳細は、本サイトをご参照ください。
参照:27 Protection Solutions Pitted against Data Stealers and Ransomware (2023/10/04)