ソフォス、ヒープ領域の不正な挙動を検出し、メモリ内でコードを秘密裏に実行する攻撃を 阻止する新しいプロテクション機能を発表
- 2021年03月18日 14:00:00
- マネー
- Dream News
- コメント
<<報道資料>>
ソフォス株式会社
ソフォス、ヒープ領域の不正な挙動を検出し、メモリ内でコードを秘密裏に実行する攻撃を 阻止する新しいプロテクション機能を発表
~ファイルレス・マルウェア、ランサムウェア、およびリモートアクセス・エージェントを検出するよう設計されているダイナミック・シェルコード・プロテクション~
※本資料は2021年3月4日(現地時間)に英国オックスフォードにて発表されたプレスリリースの抄訳です。
次世代サイバーセキュリティのグローバルリーダー企業である英国ソフォス(日本法人:ソフォス株式会社 東京都港区 代表取締役 中西 智行)は本日、ファイルレス・マルウェア、ランサムウェア、リモートアクセス・エージェントを、セキュリティを侵害したコンピュータの一時的なメモリ領域にロードし、検出を回避しようとする攻撃に対する新たなプロテクション機能を発表しました。ソフォスの研究者は、「ヒープ領域におけるコード実行を検出するソフォスの新しいプロテクション機能」と題する新しいブログ投稿(https://news.sophos.com/covert-code-faces-a-heap-of-trouble-in-memory )を公開し、攻撃コードをコンピュータメモリの動的な「ヒープ」領域に直接挿入し、コードの実行権限を使用して別の「ヒープ」メモリを取得するという、一般的なソフトウェアでは見られない挙動を検出する方法について詳細に説明しています。ソフォスの研究者は、このようなヒープ領域間のメモリ割り当ての挙動を検出する新しいプロテクション機能を開発しました。
ダイナミック・シェルコード・プロテクションと呼ばれるこの防御機能によって、検出を回避する手法としてメモリを使用することが非常に困難になります。
ソフォスのニュースサイトで最近連載したContiランサムウェアの現状に関する記事(https://news.sophos.com/ja-jp/tag/conti/ )でも説明されていますが、攻撃を完了するために必要となるリモートアクセス・エージェントをロードおよび実行するときに、攻撃を検出されないようにする隠れ蓑としてメモリが利用されることが多くなっています。Contiでは、リモートアクセス・エージェントとしてCobalt Strikeが使用されています。
ソフォスのエンジニアリング部門担当ディレクターのMark Lomanは、次のように述べています。「セキュリティが侵害されたネットワークに攻撃者が侵入するのを防ぐことは、あらゆる組織にとっての目標となります。リモートアクセス・エージェントがインストールされてしまうと、あらゆる種類の攻撃を容易に実行できるようになることから、この目標は非常に重要です。例えば、リモートアクセス・エージェントによって、任意のコード実行、認証情報へのアクセス、権限昇格、情報の収集と窃取、ネットワークの水平移動、ランサムウェアの展開などが実行される場合があります。 攻撃用のコードは、高度に難読化されてパッキングされ、メモリに直接ロードされて、検出を回避しようとします。コンピュータのメモリは、セキュリティツールによって定期的にスキャンされないため、コードを実行するために難読化を解除したり、パッキングを解凍したりする場合でもその存在が検出されないことが多くあります。ソフォスは、メモリにロードされる多段階型のリモートアクセス・エージェントやその他の攻撃コードの一般的な特徴である「ヒープ領域間のメモリの割り当て」を特定し、この攻撃に対するプロテクション機能を開発しました」
ダイナミック・シェルコード・プロテクションは、アプリケーションなどのコードが「実行」権限のあるメモリ領域に保存されることを利用して対策を講じています。この「実行」権限がある領域にコードを保存することで、アプリの実行が可能になります。しかし、一般的にアプリはデータを解凍したり保存したりするために、いくつかの新たな一時的メモリ内ワークスペースを必要とします。この可変的なワークスペースは、通常、“ヒープ”メモリと呼ばれます。アプリは、実行権限のあるヒープメモリの割り当てを要求できますが、多くのサイバー攻撃では、リモートアクセス・エージェントのローダーがヒープメモリに直接注入されます。注入された後には、受け取ったリモートアクセス・エージェントを実行するために、ヒープからさらに実行権限のあるメモリ領域を取得する必要があります。この挙動が、ヒープ領域間のメモリ割り当てと呼ばれるものです。
ソフォスの研究者たちは、このような挙動がサイバー攻撃の明確な兆候であると認識し、ヒープメモリから別のヒープメモリへの実行権限の割り当てをブロックする実用的なプロテクション機能を設計しました。このプロテクション機能を利用すると、通常のアプリケーションの実行を妨げることなく、リモートアクセス・エージェント、ファイルレス・マルウェア、ランサムウェアなどの多くのサイバー攻撃を防止できます。
先述のMark Lomanは、次のように述べています。「悪意のあるコードでも正規のコードであっても、プロセスがヒープメモリ間の割り当てルールに抵触した場合、ダイナミック・シェルコード・プロテクションによってそのプロセスは阻止され通知されます。セキュリティ専門家は、通知を受けて、何が起こっているのかを詳しく調査できます。この新しいプロテクション機能はあらゆる攻撃を防止できるわけではありませんが、ステルス性の高いコードを利用する攻撃の基本的な動作をブロックできます。これにより、攻撃を成功することがさらに難しくなり、安全性がさらに向上することになります。ダイナミック・シェルコード・プロテクションは、クラウドや機械学習に依存していません。この機能によって、難読化されたマルウェアや、セキュリティが侵害された後にメモリに直接ロードされるCobalt Strikeビーコンなどのリモートアクセス・エージェントとの戦いが大きく変わることになるでしょう」
ダイナミック・シェルコード・プロテクションは、Sophos Intercept X(https://www.sophos.com/ja-jp/products/endpoint-antivirus.aspx )に統合されています。
●ランサムウェア対策のための一般的なアドバイス
・インターネットに接続するリモート・デスクトップ・プロトコル(RDP)をシャットダウンして、サイバー犯罪者が社内のネットワークにアクセスできないようにします。
・RDPにアクセスする必要がある場合は、VPN接続と組み合わせて利用してください。
・EDR(Endpoint Detection and Response)機能や365日24時間体制でネットワークを監視するマネージド・レスポンスチームなど、サイバー攻撃を予防、保護、検出する多層防御のセキュリティ・ソリューションを使用します。
・ランサムウェア攻撃を阻止するための攻撃が進行していることを示す5つの指標に注意してください。
https://news.sophos.com/en-us/2020/08/04/the-realities-of-ransomware-five-signs-youre-about-to-be-attacked
・効果的なインシデント・レスポンス計画を策定し、必要に応じて更新します。脅威の監視や、緊急のインシデント対応のためのスキルやリソースについて不安がある場合は、外部の専門家が提供しているサービスを利用することを検討してください。
https://www.sophos.com/ja-jp/products/managed-threat-response/rapid-response.aspx
●その他の参考資料
・新しい調査結果を報告した「金融機関を標的とするGootkitマルウェアの配信方法が、多様なペイロードを拡散する「Gootloader」プラットフォームへ変化」では、Gootloaderがファイルレス・マルウェアをメモリに直接注入する方法を解説し、ソフォスの新しいダイナミック・シェルコード・プロテクションがどのようにこのマルウェアを検出するかを説明しています。
https://news.sophos.com/ja-jp/2021/03/08/gootloader-expands-its-payload-delivery-options-jp/
・Contiランサムウェアの実態については、以下の3部構成の記事を連載しています。
- タイムラインで見る Conti ランサムウェア攻撃 - セキュリティ侵害の痕跡(IoC)、TTP(戦術、手法、手順)などのConti攻撃についての分析
https://news.sophos.com/ja-jp/2021/03/03/conti-ransomware-attack-day-by-day-jp/
- 検出回避に長けた Conti ランサムウェア - SophosLabsの研究者による技術面に関する説明
https://news.sophos.com/ja-jp/2021/03/10/conti-ransomware-evasive-by-nature-jp/
- Conti ランサムウェア攻撃への心構えと対策 - IT管理者向けの必須ガイド
https://news.sophos.com/ja-jp/2021/03/03/what-to-expect-when-youve-been-hit-with-conti-ransomware-jp/
- 24時間365日体制で攻撃を封じ込め、無力化し、詳細を調査するソフォスのRapid Responseサービスの詳細をご確認ください。
https://www.sophos.com/ja-jp/products/managed-threat-response/rapid-response.aspx
・ソフォスのRapid ResponseとManaged Threat Responseチームが培ってきたセキュリティインシデント対応における重要な4つのヒント
https://secure2.sophos.com/ja-jp/security-news-trends/whitepapers/four-key-tips-from-incident-response-experts.aspx
・ランサムウェアがITチームに与える影響についてソフォスがグローバルに実施した調査結果「サイバーセキュリティ:企業を守る人材とスキルの現状」
https://www.sophos.com/ja-jp/medialibrary/pdfs/whitepaper/sophos-cybersecurity-the-human-challenge-wp.pdf
●ソフォスについて
ソフォスは、次世代サイバーセキュリティの世界的リーダーとして、150か国以上のあらゆる規模の400,000社以上の企業を今日の最も高度なサイバー脅威から保護しています。SophosLabsのグローバルな脅威インテリジェンスおよびデータサイエンスチームにより、ソフォスのクラウドネイティブでAIによって機能拡張されたソリューションは、ランサムウェア、マルウェア、エクスプロイト、データ流出、自動化されたアクティブな攻撃、フィッシングなど進化するサイバー犯罪技術からエンドポイント(ラップトップ、サーバー、モバイルデバイス)とネットワークを保護します。クラウドネイティブな管理プラットフォームであるSophos Centralは、Intercept XエンドポイントソリューションやXG次世代ファイアウォールなど、ソフォスの次世代製品ポートフォリオ全体を、APIのセットを介してアクセス可能な単一の同期セキュリティ(Synchronized Security)システムに統合します。ソフォスは、クラウド、機械学習、API、自動化、MTR(Managed Threat Response)などの高度な機能を活用して、あらゆる規模の企業にエンタープライズレベルの保護を提供し、次世代サイバーセキュリティへの移行を推進しています。ソフォスは、53,000社以上のパートナーおよびマネージドサービスプロバイダー(MSP)からなるグローバルチャネルを通じて製品を販売しています。ソフォスはまた、革新的な商用テクノロジーをSophos Home経由で消費者に提供しています。ソフォスの本社は英国オックスフォードにあります。詳細については、www.sophos.com (日本語サイト:https://www.sophos.com/ja-jp.aspx )をご覧ください。
●報道関係のお問合せ先
ソフォス株式会社広報事務局
Tel: 03-6454-6930
Email: sophos@ambilogue.com
以上
配信元企業:ソフォス株式会社
プレスリリース詳細へ
ドリームニューストップへ
【プレミア12】23日ベネズエラ-米国戦でベネズエラ●なら決定/日本の決勝進出条件
【プレミア12】ベネズエラのレイエスが守備でも見せた 日本ハム五十幡亮汰を爆肩で刺す
【プレミア12】逆転負けのベネズエラ監督「唯一の誤算は先発したピントが…」初回3失点悔やむ
松本人志をいじる 1時間51分ノンストップ漫才「2024年度版漫才 爆笑問題のツーショット」
【プレミア12】牧秀悟、侍3人目の満塁弾でVデスターシャ!スーパーR連勝で決勝進出大前進
【11月23日生まれの著名人】田中みな実、佐久間宣行、三瓶、宮澤エマら
【プレミア12】決勝満塁弾の牧秀悟がヒーロー「打てたのはみんなのおかげ」/お立ち台一問一答
【プレミア12】牧秀悟が豪快満塁弾で今大会初「デスターシャ」東京ドームも呼応して大合唱
ムーディーズがNumerated Growth Technologiesを買収、融資技術ソリューションの拡大へ
【Minimal】ホリデーシーズン限定で「板チョコレート」が新登場♡
ガーシーが綾野剛のLINE公開でネット騒然「ショック」「すごいエンタメ」
二階堂ふみが結婚!?お相手が衝撃的過ぎてネット民「マジか・・・」
クロちゃんを騙した「レイちゃま(小林レイミ)」の現在が別人すぎると話題に
俳優・火野正平さん死去 75歳 腰を骨折し体調崩す
斎藤元彦・前知事の再選確実 兵庫県知事選、失職から返り咲き
3刷目の重版決定!榎原依那のファースト写真集「Inaism」から、完全未公開カットをご紹介♡
岡田将生が高畑充希との結婚発表
小池里奈「超むっっっっっちむち」美バスト輝く黒ブラジャー近影に称賛「色気が増してる」
三浦瑠璃氏、斎藤元彦氏再選に「一番の敗者は当然、マスコミです」と私見
「スケスケ水着美尻」35歳女芸人のセミヌード写真展が大阪でも12月開催決定「本当に最後」
クロちゃんを騙した「レイちゃま(小林レイミ)」の現在が別人すぎると話題に
ガーシーが綾野剛のLINE公開でネット騒然「ショック」「すごいエンタメ」
二階堂ふみが結婚!?お相手が衝撃的過ぎてネット民「マジか・・・」
四千頭身、テレビから消えた理由を明かすも批判殺到「人のせいにするな」
大谷翔平の「盗塁」巡り訴訟、ドジャースなどが訴えられる 50、51個目の盗塁が対象
ユーチューバーもこう氏、元彼女・成海瑠奈について赤裸々告白
父が再婚の丸山隆平(36)現在の家族関係がとんでもないことになっていたと話題に
3時のヒロイン福田麻貴(32)は元アイドルだった!昔の姿がかわいいとヲタク歓喜
たぬかな、「あのチビやろ?」迷惑系黒人YouTuberへの苦言が物議
多部未華子(30)結婚の裏事情あまりにも恐ろしすぎると話題に!
【プレミア12】23日ベネズエラ-米国戦でベネズエラ●なら決定/日本の決勝進出条件
【プレミア12】ベネズエラのレイエスが守備でも見せた 日本ハム五十幡亮汰を爆肩で刺す
【プレミア12】逆転負けのベネズエラ監督「唯一の誤算は先発したピントが…」初回3失点悔やむ
松本人志をいじる 1時間51分ノンストップ漫才「2024年度版漫才 爆笑問題のツーショット」
【プレミア12】牧秀悟、侍3人目の満塁弾でVデスターシャ!スーパーR連勝で決勝進出大前進
【11月23日生まれの著名人】田中みな実、佐久間宣行、三瓶、宮澤エマら
NY外為:BTC、節目10万ドル手前での攻防、下値も限定的
【プレミア12】決勝満塁弾の牧秀悟がヒーロー「打てたのはみんなのおかげ」/お立ち台一問一答
【市場反応】米11月サービス業PMI速報値は予想外に上昇、ドル買い
【プレミア12】牧秀悟が豪快満塁弾で今大会初「デスターシャ」東京ドームも呼応して大合唱