2か月間隔で定期的に実施されるAVエンジン性能試験「最新の標的型攻撃防御試験」にて、またしてもPC Maticのアプリケーション・ホワイトリスティング方式エンジンが、TOPスコアである30を獲得しました。
AV-TESTは、今回この2か月間で発見された最新の10種類の異なるマルウェア検体を用いて、10種類の実際に利用された攻撃シナリオで各社のエンドポイント保護製品(セキュリティソフト)の防御能力を試験しました。この試験では、法人向けおよび個人向けの22の製品が試験され、「バイナリファイルの自己署名」、「盗まれた署名の身元」、「マイクロソフト・ソフトウェア・インストーラー(msi)の悪用」を悪用したマルウェアの検出能力を測定しました。
バイナリファイルの自己署名
開発者は通常、バイナリファイルが悪用されていないことを示し、ある程度の信憑性を確保するために、バイナリファイルにコード署名(Code Signing)を使用します。開発者は、自分自身のテスト環境で自己署名を行い、作者であることを第三者によって証明することが通常です。サイバー攻撃者は、マルウェアを一見本物らしく見せるために、自己署名のテクニックを悪用し、潜在的にセキュリティソフト等の防御システムを欺くことを目的にします。
盗まれたデジタル署名
開発者によって作成された多くのアプリケーションやファイルには、第三者によって検証可能である有効なデジタル署名があります。攻撃者はこのことをよく知っており、マルウェアにこのような状況を悪用しようとします。例えば、サイバーギャングは署名されたプログラムのメタデータと署名情報を悪用し、マルウェアのテンプレートとして使用し欺きます。無効なコード署名を持つファイルは、デジタル署名チェックによって検出されるものの、ファイルのプロパティでは正規のものに見え、セキュリティ・ツールはそのようなファイルを誤って正しい実行ファイルとして扱う可能性があります。
マイクロソフトソフトウェアインストーラの誤用
Msiexec.exeはWindowsインストーラー用のコマンドライン・サービス・プログラムで、通常はインストール・パッケージ(.msi)を起動しますが、DLLファイルを実行することもできます。このツールはWindowsのシステム内で高い優先度を得ており、署名もされています。このような背景から、攻撃者は msiexec.exe を悪用してマルウェアを実行しようとします。アプリケーションを監視するように設計されたソリューションは、msiexec.exe の潜在的な悪用を考慮しなければ、検出を回避できてしまいます。
Advanced Threat Protectionのテストにおける攻撃の流れは、通常このようなパターンに従っている。マルウェアの添付ファイルを含むスピアフィッシングの電子メールがWindowsシステムに侵入すると、保護システムは即座に、または実行開始と同時に攻撃者を検出します。結果チャートでは、「Initial Access(初期アクセス)」または「Execution(実行)」の下に緑色のフィールドが表示され、攻撃がすでに阻止されていることが確認されます。
10のテストシナリオ
すべての攻撃シナリオは MITRE ATT&CK データベースの標準に従って文書化されています。個々のサブテクニックは MITRE データベースの “Techniques”、例えば “Phishing: Spearphishing Attachment “の下にある “T1566.001 “にリストされています。このように各試験のステップは専門家の間で定義されており、客観的かつ論理的に理解することができます。さらに、すべての攻撃手法は、マルウェアがどの程度成功するかと共に説明されています。
消費者向けATP製品テスト
2023 年 9 月と 10 月に実施された最新の Advanced Threat Protection (ATP) 試験では、10 のセキュリティ製品がランサムウェアやデータ窃取者に対した際の防御能力を実証しました。 パッケージは、AhnLab、Avast、AVG、F-Secure、Kaspersky、Malwarebytes、McAfee、Microsoft、Norton、および PC Matic のベンダーから提供されました。参加企業のうち公表に合意した10製品はすべてトップスコアを得ています。
参照元:(AV-TEST)ATP Test: Defending Against Data Stealers and Ransomware (2023/12/19)
