ソフォス、ヒープ領域の不正な挙動を検出し、メモリ内でコードを秘密裏に実行する攻撃を 阻止する新しいプロテクション機能を発表
- 2021年03月18日 14:00:00
- マネー
- Dream News
<<報道資料>>
ソフォス株式会社
ソフォス、ヒープ領域の不正な挙動を検出し、メモリ内でコードを秘密裏に実行する攻撃を 阻止する新しいプロテクション機能を発表
~ファイルレス・マルウェア、ランサムウェア、およびリモートアクセス・エージェントを検出するよう設計されているダイナミック・シェルコード・プロテクション~
※本資料は2021年3月4日(現地時間)に英国オックスフォードにて発表されたプレスリリースの抄訳です。
次世代サイバーセキュリティのグローバルリーダー企業である英国ソフォス(日本法人:ソフォス株式会社 東京都港区 代表取締役 中西 智行)は本日、ファイルレス・マルウェア、ランサムウェア、リモートアクセス・エージェントを、セキュリティを侵害したコンピュータの一時的なメモリ領域にロードし、検出を回避しようとする攻撃に対する新たなプロテクション機能を発表しました。ソフォスの研究者は、「ヒープ領域におけるコード実行を検出するソフォスの新しいプロテクション機能」と題する新しいブログ投稿(https://news.sophos.com/covert-code-faces-a-heap-of-trouble-in-memory )を公開し、攻撃コードをコンピュータメモリの動的な「ヒープ」領域に直接挿入し、コードの実行権限を使用して別の「ヒープ」メモリを取得するという、一般的なソフトウェアでは見られない挙動を検出する方法について詳細に説明しています。ソフォスの研究者は、このようなヒープ領域間のメモリ割り当ての挙動を検出する新しいプロテクション機能を開発しました。
ダイナミック・シェルコード・プロテクションと呼ばれるこの防御機能によって、検出を回避する手法としてメモリを使用することが非常に困難になります。
ソフォスのニュースサイトで最近連載したContiランサムウェアの現状に関する記事(https://news.sophos.com/ja-jp/tag/conti/ )でも説明されていますが、攻撃を完了するために必要となるリモートアクセス・エージェントをロードおよび実行するときに、攻撃を検出されないようにする隠れ蓑としてメモリが利用されることが多くなっています。Contiでは、リモートアクセス・エージェントとしてCobalt Strikeが使用されています。
ソフォスのエンジニアリング部門担当ディレクターのMark Lomanは、次のように述べています。「セキュリティが侵害されたネットワークに攻撃者が侵入するのを防ぐことは、あらゆる組織にとっての目標となります。リモートアクセス・エージェントがインストールされてしまうと、あらゆる種類の攻撃を容易に実行できるようになることから、この目標は非常に重要です。例えば、リモートアクセス・エージェントによって、任意のコード実行、認証情報へのアクセス、権限昇格、情報の収集と窃取、ネットワークの水平移動、ランサムウェアの展開などが実行される場合があります。 攻撃用のコードは、高度に難読化されてパッキングされ、メモリに直接ロードされて、検出を回避しようとします。コンピュータのメモリは、セキュリティツールによって定期的にスキャンされないため、コードを実行するために難読化を解除したり、パッキングを解凍したりする場合でもその存在が検出されないことが多くあります。ソフォスは、メモリにロードされる多段階型のリモートアクセス・エージェントやその他の攻撃コードの一般的な特徴である「ヒープ領域間のメモリの割り当て」を特定し、この攻撃に対するプロテクション機能を開発しました」
ダイナミック・シェルコード・プロテクションは、アプリケーションなどのコードが「実行」権限のあるメモリ領域に保存されることを利用して対策を講じています。この「実行」権限がある領域にコードを保存することで、アプリの実行が可能になります。しかし、一般的にアプリはデータを解凍したり保存したりするために、いくつかの新たな一時的メモリ内ワークスペースを必要とします。この可変的なワークスペースは、通常、“ヒープ”メモリと呼ばれます。アプリは、実行権限のあるヒープメモリの割り当てを要求できますが、多くのサイバー攻撃では、リモートアクセス・エージェントのローダーがヒープメモリに直接注入されます。注入された後には、受け取ったリモートアクセス・エージェントを実行するために、ヒープからさらに実行権限のあるメモリ領域を取得する必要があります。この挙動が、ヒープ領域間のメモリ割り当てと呼ばれるものです。
ソフォスの研究者たちは、このような挙動がサイバー攻撃の明確な兆候であると認識し、ヒープメモリから別のヒープメモリへの実行権限の割り当てをブロックする実用的なプロテクション機能を設計しました。このプロテクション機能を利用すると、通常のアプリケーションの実行を妨げることなく、リモートアクセス・エージェント、ファイルレス・マルウェア、ランサムウェアなどの多くのサイバー攻撃を防止できます。
先述のMark Lomanは、次のように述べています。「悪意のあるコードでも正規のコードであっても、プロセスがヒープメモリ間の割り当てルールに抵触した場合、ダイナミック・シェルコード・プロテクションによってそのプロセスは阻止され通知されます。セキュリティ専門家は、通知を受けて、何が起こっているのかを詳しく調査できます。この新しいプロテクション機能はあらゆる攻撃を防止できるわけではありませんが、ステルス性の高いコードを利用する攻撃の基本的な動作をブロックできます。これにより、攻撃を成功することがさらに難しくなり、安全性がさらに向上することになります。ダイナミック・シェルコード・プロテクションは、クラウドや機械学習に依存していません。この機能によって、難読化されたマルウェアや、セキュリティが侵害された後にメモリに直接ロードされるCobalt Strikeビーコンなどのリモートアクセス・エージェントとの戦いが大きく変わることになるでしょう」
ダイナミック・シェルコード・プロテクションは、Sophos Intercept X(https://www.sophos.com/ja-jp/products/endpoint-antivirus.aspx )に統合されています。
●ランサムウェア対策のための一般的なアドバイス
・インターネットに接続するリモート・デスクトップ・プロトコル(RDP)をシャットダウンして、サイバー犯罪者が社内のネットワークにアクセスできないようにします。
・RDPにアクセスする必要がある場合は、VPN接続と組み合わせて利用してください。
・EDR(Endpoint Detection and Response)機能や365日24時間体制でネットワークを監視するマネージド・レスポンスチームなど、サイバー攻撃を予防、保護、検出する多層防御のセキュリティ・ソリューションを使用します。
・ランサムウェア攻撃を阻止するための攻撃が進行していることを示す5つの指標に注意してください。
https://news.sophos.com/en-us/2020/08/04/the-realities-of-ransomware-five-signs-youre-about-to-be-attacked
・効果的なインシデント・レスポンス計画を策定し、必要に応じて更新します。脅威の監視や、緊急のインシデント対応のためのスキルやリソースについて不安がある場合は、外部の専門家が提供しているサービスを利用することを検討してください。
https://www.sophos.com/ja-jp/products/managed-threat-response/rapid-response.aspx
●その他の参考資料
・新しい調査結果を報告した「金融機関を標的とするGootkitマルウェアの配信方法が、多様なペイロードを拡散する「Gootloader」プラットフォームへ変化」では、Gootloaderがファイルレス・マルウェアをメモリに直接注入する方法を解説し、ソフォスの新しいダイナミック・シェルコード・プロテクションがどのようにこのマルウェアを検出するかを説明しています。
https://news.sophos.com/ja-jp/2021/03/08/gootloader-expands-its-payload-delivery-options-jp/
・Contiランサムウェアの実態については、以下の3部構成の記事を連載しています。
- タイムラインで見る Conti ランサムウェア攻撃 - セキュリティ侵害の痕跡(IoC)、TTP(戦術、手法、手順)などのConti攻撃についての分析
https://news.sophos.com/ja-jp/2021/03/03/conti-ransomware-attack-day-by-day-jp/
- 検出回避に長けた Conti ランサムウェア - SophosLabsの研究者による技術面に関する説明
https://news.sophos.com/ja-jp/2021/03/10/conti-ransomware-evasive-by-nature-jp/
- Conti ランサムウェア攻撃への心構えと対策 - IT管理者向けの必須ガイド
https://news.sophos.com/ja-jp/2021/03/03/what-to-expect-when-youve-been-hit-with-conti-ransomware-jp/
- 24時間365日体制で攻撃を封じ込め、無力化し、詳細を調査するソフォスのRapid Responseサービスの詳細をご確認ください。
https://www.sophos.com/ja-jp/products/managed-threat-response/rapid-response.aspx
・ソフォスのRapid ResponseとManaged Threat Responseチームが培ってきたセキュリティインシデント対応における重要な4つのヒント
https://secure2.sophos.com/ja-jp/security-news-trends/whitepapers/four-key-tips-from-incident-response-experts.aspx
・ランサムウェアがITチームに与える影響についてソフォスがグローバルに実施した調査結果「サイバーセキュリティ:企業を守る人材とスキルの現状」
https://www.sophos.com/ja-jp/medialibrary/pdfs/whitepaper/sophos-cybersecurity-the-human-challenge-wp.pdf
●ソフォスについて
ソフォスは、次世代サイバーセキュリティの世界的リーダーとして、150か国以上のあらゆる規模の400,000社以上の企業を今日の最も高度なサイバー脅威から保護しています。SophosLabsのグローバルな脅威インテリジェンスおよびデータサイエンスチームにより、ソフォスのクラウドネイティブでAIによって機能拡張されたソリューションは、ランサムウェア、マルウェア、エクスプロイト、データ流出、自動化されたアクティブな攻撃、フィッシングなど進化するサイバー犯罪技術からエンドポイント(ラップトップ、サーバー、モバイルデバイス)とネットワークを保護します。クラウドネイティブな管理プラットフォームであるSophos Centralは、Intercept XエンドポイントソリューションやXG次世代ファイアウォールなど、ソフォスの次世代製品ポートフォリオ全体を、APIのセットを介してアクセス可能な単一の同期セキュリティ(Synchronized Security)システムに統合します。ソフォスは、クラウド、機械学習、API、自動化、MTR(Managed Threat Response)などの高度な機能を活用して、あらゆる規模の企業にエンタープライズレベルの保護を提供し、次世代サイバーセキュリティへの移行を推進しています。ソフォスは、53,000社以上のパートナーおよびマネージドサービスプロバイダー(MSP)からなるグローバルチャネルを通じて製品を販売しています。ソフォスはまた、革新的な商用テクノロジーをSophos Home経由で消費者に提供しています。ソフォスの本社は英国オックスフォードにあります。詳細については、www.sophos.com (日本語サイト:https://www.sophos.com/ja-jp.aspx )をご覧ください。
●報道関係のお問合せ先
ソフォス株式会社広報事務局
Tel: 03-6454-6930
Email: sophos@ambilogue.com
以上
配信元企業:ソフォス株式会社
プレスリリース詳細へ
ドリームニューストップへ
村島未悠、32歳バスケ元日本代表との不倫報道を謝罪「療養中にも関わらず、私の軽率な行動で」
桂ざこばさん死去 関西芸能界代表する“愛されキャラ”芸人が突然の別れ
高畑充希「これでも来るのか? 結婚の領域に」結婚への憧れは「存在のありがたさを感じました」
「目がキラキラ…」44歳吉本芸人の妻と167センチ“大投手”との2ショットにコメ欄トキメキ
3歳を逆さにして洗濯機へ ロックかけ水流入か 母の交際相手再逮捕
ナタリー・ポートマン7年ぶり来日「来ることができて光栄です」日本語でお礼述べる
桂ざこばさんが“育ての親”だったMBSテレビ山中真アナ 生放送で「感情を出すのはよくない…」
大谷翔平が24歳同僚の「目玉ひんむき」動画公開、16号確信弾で点火!4発大爆発呼び込んだ
桂ざこばさん次女の関口まいがコメント発表「あまりに急なことで、心の整理はできていません」
【巨人】東北凱旋登板も苦難 堀田賢慎が初回5失点「初球打ち攻撃」で打者1巡の猛攻浴びる
何があった!?「エアコン」が想定外の壊れ具合!投稿者に話を聞いた
三上悠亜、整形したことを事後報告でネット騒然「素っぴんが美しすぎる」「大半を既にいじっておいて今更」
玉置浩二の妻、青田典子(53)の現在がとんでもない事になっていると話題に
安住紳一郎アナが絶縁宣言「口を利かない」言われたタレントは反省?「やり直したい…局長」
柏原崇(45)現在を調べてみた結果、相変わらずかっこよすぎた!
真田広之の元妻女優、次男の写真に反響「お父さんそっくり」「一瞬驚きました」
「松本人志飲み会」セクシー女優「ギャル」「すっぴん」ダブル公開で「どっち好き?」投げかける
佐々木希、初主演ドラマでウェディングドレス姿を披露で絶賛の嵐「プリンセスすぎる」
吉田羊「旦那さまとパチリ。」薬指に指輪を着けた左手が2つ…並んだ写真投稿
ユーチューバーもこう氏、元彼女・成海瑠奈について赤裸々告白
何があった!?「エアコン」が想定外の壊れ具合!投稿者に話を聞いた
柏原崇(45)現在を調べてみた結果、相変わらずかっこよすぎた!
玉置浩二の妻、青田典子(53)の現在がとんでもない事になっていると話題に
ユーチューバーもこう氏、元彼女・成海瑠奈について赤裸々告白
ガーシーが綾野剛のLINE公開でネット騒然「ショック」「すごいエンタメ」
元めちゃイケメンバーの三中元克(32)現在は何をしているのか調べてみた!
岡本夏生(56)、1600日ぶりにブログを更新した現在が衝撃
小倉優子、不自然な“二重ライン”にネット騒然「やっぱり整形?」
TikTokを賑わす「フエラムネごめんなサイダー味」がセブンイレブンで再販!じゅるるマスカットも買うなら今!
ヒカル、浮気相手とのLINE流出にドン引きの声「キモすぎる」「吐きそう」
村島未悠、32歳バスケ元日本代表との不倫報道を謝罪「療養中にも関わらず、私の軽率な行動で」
桂ざこばさん死去 関西芸能界代表する“愛されキャラ”芸人が突然の別れ
高畑充希「これでも来るのか? 結婚の領域に」結婚への憧れは「存在のありがたさを感じました」
「目がキラキラ…」44歳吉本芸人の妻と167センチ“大投手”との2ショットにコメ欄トキメキ
3歳を逆さにして洗濯機へ ロックかけ水流入か 母の交際相手再逮捕
ナタリー・ポートマン7年ぶり来日「来ることができて光栄です」日本語でお礼述べる
桂ざこばさんが“育ての親”だったMBSテレビ山中真アナ 生放送で「感情を出すのはよくない…」
大谷翔平が24歳同僚の「目玉ひんむき」動画公開、16号確信弾で点火!4発大爆発呼び込んだ
桂ざこばさん次女の関口まいがコメント発表「あまりに急なことで、心の整理はできていません」
【巨人】東北凱旋登板も苦難 堀田賢慎が初回5失点「初球打ち攻撃」で打者1巡の猛攻浴びる