ソフォス、ヒープ領域の不正な挙動を検出し、メモリ内でコードを秘密裏に実行する攻撃を　阻止する新しいプロテクション機能を発表

2021年03月18日 14:00:00
マネー
Dream News

2021年3月18日
＜＜報道資料＞＞
ソフォス株式会社

ソフォス、ヒープ領域の不正な挙動を検出し、メモリ内でコードを秘密裏に実行する攻撃を　阻止する新しいプロテクション機能を発表

～ファイルレス・マルウェア、ランサムウェア、およびリモートアクセス・エージェントを検出するよう設計されているダイナミック・シェルコード・プロテクション～

※本資料は2021年3月4日（現地時間）に英国オックスフォードにて発表されたプレスリリースの抄訳です。

次世代サイバーセキュリティのグローバルリーダー企業である英国ソフォス（日本法人：ソフォス株式会社　東京都港区代表取締役中西智行）は本日、ファイルレス・マルウェア、ランサムウェア、リモートアクセス・エージェントを、セキュリティを侵害したコンピュータの一時的なメモリ領域にロードし、検出を回避しようとする攻撃に対する新たなプロテクション機能を発表しました。ソフォスの研究者は、「ヒープ領域におけるコード実行を検出するソフォスの新しいプロテクション機能」と題する新しいブログ投稿（https://news.sophos.com/covert-code-faces-a-heap-of-trouble-in-memory ）を公開し、攻撃コードをコンピュータメモリの動的な「ヒープ」領域に直接挿入し、コードの実行権限を使用して別の「ヒープ」メモリを取得するという、一般的なソフトウェアでは見られない挙動を検出する方法について詳細に説明しています。ソフォスの研究者は、このようなヒープ領域間のメモリ割り当ての挙動を検出する新しいプロテクション機能を開発しました。

ダイナミック・シェルコード・プロテクションと呼ばれるこの防御機能によって、検出を回避する手法としてメモリを使用することが非常に困難になります。

ソフォスのニュースサイトで最近連載したContiランサムウェアの現状に関する記事（https://news.sophos.com/ja-jp/tag/conti/ ）でも説明されていますが、攻撃を完了するために必要となるリモートアクセス・エージェントをロードおよび実行するときに、攻撃を検出されないようにする隠れ蓑としてメモリが利用されることが多くなっています。Contiでは、リモートアクセス・エージェントとしてCobalt Strikeが使用されています。

ソフォスのエンジニアリング部門担当ディレクターのMark Lomanは、次のように述べています。「セキュリティが侵害されたネットワークに攻撃者が侵入するのを防ぐことは、あらゆる組織にとっての目標となります。リモートアクセス・エージェントがインストールされてしまうと、あらゆる種類の攻撃を容易に実行できるようになることから、この目標は非常に重要です。例えば、リモートアクセス・エージェントによって、任意のコード実行、認証情報へのアクセス、権限昇格、情報の収集と窃取、ネットワークの水平移動、ランサムウェアの展開などが実行される場合があります。攻撃用のコードは、高度に難読化されてパッキングされ、メモリに直接ロードされて、検出を回避しようとします。コンピュータのメモリは、セキュリティツールによって定期的にスキャンされないため、コードを実行するために難読化を解除したり、パッキングを解凍したりする場合でもその存在が検出されないことが多くあります。ソフォスは、メモリにロードされる多段階型のリモートアクセス・エージェントやその他の攻撃コードの一般的な特徴である「ヒープ領域間のメモリの割り当て」を特定し、この攻撃に対するプロテクション機能を開発しました」

ダイナミック・シェルコード・プロテクションは、アプリケーションなどのコードが「実行」権限のあるメモリ領域に保存されることを利用して対策を講じています。この「実行」権限がある領域にコードを保存することで、アプリの実行が可能になります。しかし、一般的にアプリはデータを解凍したり保存したりするために、いくつかの新たな一時的メモリ内ワークスペースを必要とします。この可変的なワークスペースは、通常、“ヒープ”メモリと呼ばれます。アプリは、実行権限のあるヒープメモリの割り当てを要求できますが、多くのサイバー攻撃では、リモートアクセス・エージェントのローダーがヒープメモリに直接注入されます。注入された後には、受け取ったリモートアクセス・エージェントを実行するために、ヒープからさらに実行権限のあるメモリ領域を取得する必要があります。この挙動が、ヒープ領域間のメモリ割り当てと呼ばれるものです。

ソフォスの研究者たちは、このような挙動がサイバー攻撃の明確な兆候であると認識し、ヒープメモリから別のヒープメモリへの実行権限の割り当てをブロックする実用的なプロテクション機能を設計しました。このプロテクション機能を利用すると、通常のアプリケーションの実行を妨げることなく、リモートアクセス・エージェント、ファイルレス・マルウェア、ランサムウェアなどの多くのサイバー攻撃を防止できます。

先述のMark Lomanは、次のように述べています。「悪意のあるコードでも正規のコードであっても、プロセスがヒープメモリ間の割り当てルールに抵触した場合、ダイナミック・シェルコード・プロテクションによってそのプロセスは阻止され通知されます。セキュリティ専門家は、通知を受けて、何が起こっているのかを詳しく調査できます。この新しいプロテクション機能はあらゆる攻撃を防止できるわけではありませんが、ステルス性の高いコードを利用する攻撃の基本的な動作をブロックできます。これにより、攻撃を成功することがさらに難しくなり、安全性がさらに向上することになります。ダイナミック・シェルコード・プロテクションは、クラウドや機械学習に依存していません。この機能によって、難読化されたマルウェアや、セキュリティが侵害された後にメモリに直接ロードされるCobalt Strikeビーコンなどのリモートアクセス・エージェントとの戦いが大きく変わることになるでしょう」

ダイナミック・シェルコード・プロテクションは、Sophos Intercept X（https://www.sophos.com/ja-jp/products/endpoint-antivirus.aspx ）に統合されています。

●ランサムウェア対策のための一般的なアドバイス
・インターネットに接続するリモート・デスクトップ・プロトコル（RDP）をシャットダウンして、サイバー犯罪者が社内のネットワークにアクセスできないようにします。

・RDPにアクセスする必要がある場合は、VPN接続と組み合わせて利用してください。

・EDR（Endpoint Detection and Response）機能や365日24時間体制でネットワークを監視するマネージド・レスポンスチームなど、サイバー攻撃を予防、保護、検出する多層防御のセキュリティ・ソリューションを使用します。

・ランサムウェア攻撃を阻止するための攻撃が進行していることを示す5つの指標に注意してください。
https://news.sophos.com/en-us/2020/08/04/the-realities-of-ransomware-five-signs-youre-about-to-be-attacked

・効果的なインシデント・レスポンス計画を策定し、必要に応じて更新します。脅威の監視や、緊急のインシデント対応のためのスキルやリソースについて不安がある場合は、外部の専門家が提供しているサービスを利用することを検討してください。
https://www.sophos.com/ja-jp/products/managed-threat-response/rapid-response.aspx

●その他の参考資料
・新しい調査結果を報告した「金融機関を標的とするGootkitマルウェアの配信方法が、多様なペイロードを拡散する「Gootloader」プラットフォームへ変化」では、Gootloaderがファイルレス・マルウェアをメモリに直接注入する方法を解説し、ソフォスの新しいダイナミック・シェルコード・プロテクションがどのようにこのマルウェアを検出するかを説明しています。
https://news.sophos.com/ja-jp/2021/03/08/gootloader-expands-its-payload-delivery-options-jp/

・Contiランサムウェアの実態については、以下の3部構成の記事を連載しています。

- タイムラインで見る Conti ランサムウェア攻撃 - セキュリティ侵害の痕跡（IoC）、TTP（戦術、手法、手順）などのConti攻撃についての分析
https://news.sophos.com/ja-jp/2021/03/03/conti-ransomware-attack-day-by-day-jp/

- 検出回避に長けた Conti ランサムウェア - SophosLabsの研究者による技術面に関する説明
https://news.sophos.com/ja-jp/2021/03/10/conti-ransomware-evasive-by-nature-jp/

- Conti ランサムウェア攻撃への心構えと対策 - IT管理者向けの必須ガイド
https://news.sophos.com/ja-jp/2021/03/03/what-to-expect-when-youve-been-hit-with-conti-ransomware-jp/

- 24時間365日体制で攻撃を封じ込め、無力化し、詳細を調査するソフォスのRapid Responseサービスの詳細をご確認ください。
https://www.sophos.com/ja-jp/products/managed-threat-response/rapid-response.aspx

・ソフォスのRapid ResponseとManaged Threat Responseチームが培ってきたセキュリティインシデント対応における重要な4つのヒント
https://secure2.sophos.com/ja-jp/security-news-trends/whitepapers/four-key-tips-from-incident-response-experts.aspx

・ランサムウェアがITチームに与える影響についてソフォスがグローバルに実施した調査結果「サイバーセキュリティ：企業を守る人材とスキルの現状」
https://www.sophos.com/ja-jp/medialibrary/pdfs/whitepaper/sophos-cybersecurity-the-human-challenge-wp.pdf

●ソフォスについて
ソフォスは、次世代サイバーセキュリティの世界的リーダーとして、150か国以上のあらゆる規模の400,000社以上の企業を今日の最も高度なサイバー脅威から保護しています。SophosLabsのグローバルな脅威インテリジェンスおよびデータサイエンスチームにより、ソフォスのクラウドネイティブでAIによって機能拡張されたソリューションは、ランサムウェア、マルウェア、エクスプロイト、データ流出、自動化されたアクティブな攻撃、フィッシングなど進化するサイバー犯罪技術からエンドポイント（ラップトップ、サーバー、モバイルデバイス）とネットワークを保護します。クラウドネイティブな管理プラットフォームであるSophos Centralは、Intercept XエンドポイントソリューションやXG次世代ファイアウォールなど、ソフォスの次世代製品ポートフォリオ全体を、APIのセットを介してアクセス可能な単一の同期セキュリティ（Synchronized Security）システムに統合します。ソフォスは、クラウド、機械学習、API、自動化、MTR（Managed Threat Response）などの高度な機能を活用して、あらゆる規模の企業にエンタープライズレベルの保護を提供し、次世代サイバーセキュリティへの移行を推進しています。ソフォスは、53,000社以上のパートナーおよびマネージドサービスプロバイダー（MSP）からなるグローバルチャネルを通じて製品を販売しています。ソフォスはまた、革新的な商用テクノロジーをSophos Home経由で消費者に提供しています。ソフォスの本社は英国オックスフォードにあります。詳細については、www.sophos.com （日本語サイト：https://www.sophos.com/ja-jp.aspx ）をご覧ください。

●報道関係のお問合せ先
ソフォス株式会社広報事務局
Tel: 03-6454-6930
Email: sophos@ambilogue.com

以上

配信元企業：ソフォス株式会社
プレスリリース詳細へ

ドリームニューストップへ

アクセスランキング

ソフォス、ヒープ領域の不正な挙動を検出し、メモリ内でコードを秘密裏に実行する攻撃を　阻止する新しいプロテクション機能を発表

Starthome

StartHomeカテゴリー

ソフォス、ヒープ領域の不正な挙動を検出し、メモリ内でコードを秘密裏に実行する攻撃を 阻止する新しいプロテクション機能を発表

Starthome

StartHomeカテゴリー

ソフォス、ヒープ領域の不正な挙動を検出し、メモリ内でコードを秘密裏に実行する攻撃を　阻止する新しいプロテクション機能を発表