ソフォス、ヒープ領域の不正な挙動を検出し、メモリ内でコードを秘密裏に実行する攻撃を 阻止する新しいプロテクション機能を発表
- 2021年03月18日 14:00:00
- マネー
- Dream News
<<報道資料>>
ソフォス株式会社
ソフォス、ヒープ領域の不正な挙動を検出し、メモリ内でコードを秘密裏に実行する攻撃を 阻止する新しいプロテクション機能を発表
~ファイルレス・マルウェア、ランサムウェア、およびリモートアクセス・エージェントを検出するよう設計されているダイナミック・シェルコード・プロテクション~
※本資料は2021年3月4日(現地時間)に英国オックスフォードにて発表されたプレスリリースの抄訳です。
次世代サイバーセキュリティのグローバルリーダー企業である英国ソフォス(日本法人:ソフォス株式会社 東京都港区 代表取締役 中西 智行)は本日、ファイルレス・マルウェア、ランサムウェア、リモートアクセス・エージェントを、セキュリティを侵害したコンピュータの一時的なメモリ領域にロードし、検出を回避しようとする攻撃に対する新たなプロテクション機能を発表しました。ソフォスの研究者は、「ヒープ領域におけるコード実行を検出するソフォスの新しいプロテクション機能」と題する新しいブログ投稿(https://news.sophos.com/covert-code-faces-a-heap-of-trouble-in-memory )を公開し、攻撃コードをコンピュータメモリの動的な「ヒープ」領域に直接挿入し、コードの実行権限を使用して別の「ヒープ」メモリを取得するという、一般的なソフトウェアでは見られない挙動を検出する方法について詳細に説明しています。ソフォスの研究者は、このようなヒープ領域間のメモリ割り当ての挙動を検出する新しいプロテクション機能を開発しました。
ダイナミック・シェルコード・プロテクションと呼ばれるこの防御機能によって、検出を回避する手法としてメモリを使用することが非常に困難になります。
ソフォスのニュースサイトで最近連載したContiランサムウェアの現状に関する記事(https://news.sophos.com/ja-jp/tag/conti/ )でも説明されていますが、攻撃を完了するために必要となるリモートアクセス・エージェントをロードおよび実行するときに、攻撃を検出されないようにする隠れ蓑としてメモリが利用されることが多くなっています。Contiでは、リモートアクセス・エージェントとしてCobalt Strikeが使用されています。
ソフォスのエンジニアリング部門担当ディレクターのMark Lomanは、次のように述べています。「セキュリティが侵害されたネットワークに攻撃者が侵入するのを防ぐことは、あらゆる組織にとっての目標となります。リモートアクセス・エージェントがインストールされてしまうと、あらゆる種類の攻撃を容易に実行できるようになることから、この目標は非常に重要です。例えば、リモートアクセス・エージェントによって、任意のコード実行、認証情報へのアクセス、権限昇格、情報の収集と窃取、ネットワークの水平移動、ランサムウェアの展開などが実行される場合があります。 攻撃用のコードは、高度に難読化されてパッキングされ、メモリに直接ロードされて、検出を回避しようとします。コンピュータのメモリは、セキュリティツールによって定期的にスキャンされないため、コードを実行するために難読化を解除したり、パッキングを解凍したりする場合でもその存在が検出されないことが多くあります。ソフォスは、メモリにロードされる多段階型のリモートアクセス・エージェントやその他の攻撃コードの一般的な特徴である「ヒープ領域間のメモリの割り当て」を特定し、この攻撃に対するプロテクション機能を開発しました」
ダイナミック・シェルコード・プロテクションは、アプリケーションなどのコードが「実行」権限のあるメモリ領域に保存されることを利用して対策を講じています。この「実行」権限がある領域にコードを保存することで、アプリの実行が可能になります。しかし、一般的にアプリはデータを解凍したり保存したりするために、いくつかの新たな一時的メモリ内ワークスペースを必要とします。この可変的なワークスペースは、通常、“ヒープ”メモリと呼ばれます。アプリは、実行権限のあるヒープメモリの割り当てを要求できますが、多くのサイバー攻撃では、リモートアクセス・エージェントのローダーがヒープメモリに直接注入されます。注入された後には、受け取ったリモートアクセス・エージェントを実行するために、ヒープからさらに実行権限のあるメモリ領域を取得する必要があります。この挙動が、ヒープ領域間のメモリ割り当てと呼ばれるものです。
ソフォスの研究者たちは、このような挙動がサイバー攻撃の明確な兆候であると認識し、ヒープメモリから別のヒープメモリへの実行権限の割り当てをブロックする実用的なプロテクション機能を設計しました。このプロテクション機能を利用すると、通常のアプリケーションの実行を妨げることなく、リモートアクセス・エージェント、ファイルレス・マルウェア、ランサムウェアなどの多くのサイバー攻撃を防止できます。
先述のMark Lomanは、次のように述べています。「悪意のあるコードでも正規のコードであっても、プロセスがヒープメモリ間の割り当てルールに抵触した場合、ダイナミック・シェルコード・プロテクションによってそのプロセスは阻止され通知されます。セキュリティ専門家は、通知を受けて、何が起こっているのかを詳しく調査できます。この新しいプロテクション機能はあらゆる攻撃を防止できるわけではありませんが、ステルス性の高いコードを利用する攻撃の基本的な動作をブロックできます。これにより、攻撃を成功することがさらに難しくなり、安全性がさらに向上することになります。ダイナミック・シェルコード・プロテクションは、クラウドや機械学習に依存していません。この機能によって、難読化されたマルウェアや、セキュリティが侵害された後にメモリに直接ロードされるCobalt Strikeビーコンなどのリモートアクセス・エージェントとの戦いが大きく変わることになるでしょう」
ダイナミック・シェルコード・プロテクションは、Sophos Intercept X(https://www.sophos.com/ja-jp/products/endpoint-antivirus.aspx )に統合されています。
●ランサムウェア対策のための一般的なアドバイス
・インターネットに接続するリモート・デスクトップ・プロトコル(RDP)をシャットダウンして、サイバー犯罪者が社内のネットワークにアクセスできないようにします。
・RDPにアクセスする必要がある場合は、VPN接続と組み合わせて利用してください。
・EDR(Endpoint Detection and Response)機能や365日24時間体制でネットワークを監視するマネージド・レスポンスチームなど、サイバー攻撃を予防、保護、検出する多層防御のセキュリティ・ソリューションを使用します。
・ランサムウェア攻撃を阻止するための攻撃が進行していることを示す5つの指標に注意してください。
https://news.sophos.com/en-us/2020/08/04/the-realities-of-ransomware-five-signs-youre-about-to-be-attacked
・効果的なインシデント・レスポンス計画を策定し、必要に応じて更新します。脅威の監視や、緊急のインシデント対応のためのスキルやリソースについて不安がある場合は、外部の専門家が提供しているサービスを利用することを検討してください。
https://www.sophos.com/ja-jp/products/managed-threat-response/rapid-response.aspx
●その他の参考資料
・新しい調査結果を報告した「金融機関を標的とするGootkitマルウェアの配信方法が、多様なペイロードを拡散する「Gootloader」プラットフォームへ変化」では、Gootloaderがファイルレス・マルウェアをメモリに直接注入する方法を解説し、ソフォスの新しいダイナミック・シェルコード・プロテクションがどのようにこのマルウェアを検出するかを説明しています。
https://news.sophos.com/ja-jp/2021/03/08/gootloader-expands-its-payload-delivery-options-jp/
・Contiランサムウェアの実態については、以下の3部構成の記事を連載しています。
- タイムラインで見る Conti ランサムウェア攻撃 - セキュリティ侵害の痕跡(IoC)、TTP(戦術、手法、手順)などのConti攻撃についての分析
https://news.sophos.com/ja-jp/2021/03/03/conti-ransomware-attack-day-by-day-jp/
- 検出回避に長けた Conti ランサムウェア - SophosLabsの研究者による技術面に関する説明
https://news.sophos.com/ja-jp/2021/03/10/conti-ransomware-evasive-by-nature-jp/
- Conti ランサムウェア攻撃への心構えと対策 - IT管理者向けの必須ガイド
https://news.sophos.com/ja-jp/2021/03/03/what-to-expect-when-youve-been-hit-with-conti-ransomware-jp/
- 24時間365日体制で攻撃を封じ込め、無力化し、詳細を調査するソフォスのRapid Responseサービスの詳細をご確認ください。
https://www.sophos.com/ja-jp/products/managed-threat-response/rapid-response.aspx
・ソフォスのRapid ResponseとManaged Threat Responseチームが培ってきたセキュリティインシデント対応における重要な4つのヒント
https://secure2.sophos.com/ja-jp/security-news-trends/whitepapers/four-key-tips-from-incident-response-experts.aspx
・ランサムウェアがITチームに与える影響についてソフォスがグローバルに実施した調査結果「サイバーセキュリティ:企業を守る人材とスキルの現状」
https://www.sophos.com/ja-jp/medialibrary/pdfs/whitepaper/sophos-cybersecurity-the-human-challenge-wp.pdf
●ソフォスについて
ソフォスは、次世代サイバーセキュリティの世界的リーダーとして、150か国以上のあらゆる規模の400,000社以上の企業を今日の最も高度なサイバー脅威から保護しています。SophosLabsのグローバルな脅威インテリジェンスおよびデータサイエンスチームにより、ソフォスのクラウドネイティブでAIによって機能拡張されたソリューションは、ランサムウェア、マルウェア、エクスプロイト、データ流出、自動化されたアクティブな攻撃、フィッシングなど進化するサイバー犯罪技術からエンドポイント(ラップトップ、サーバー、モバイルデバイス)とネットワークを保護します。クラウドネイティブな管理プラットフォームであるSophos Centralは、Intercept XエンドポイントソリューションやXG次世代ファイアウォールなど、ソフォスの次世代製品ポートフォリオ全体を、APIのセットを介してアクセス可能な単一の同期セキュリティ(Synchronized Security)システムに統合します。ソフォスは、クラウド、機械学習、API、自動化、MTR(Managed Threat Response)などの高度な機能を活用して、あらゆる規模の企業にエンタープライズレベルの保護を提供し、次世代サイバーセキュリティへの移行を推進しています。ソフォスは、53,000社以上のパートナーおよびマネージドサービスプロバイダー(MSP)からなるグローバルチャネルを通じて製品を販売しています。ソフォスはまた、革新的な商用テクノロジーをSophos Home経由で消費者に提供しています。ソフォスの本社は英国オックスフォードにあります。詳細については、www.sophos.com (日本語サイト:https://www.sophos.com/ja-jp.aspx )をご覧ください。
●報道関係のお問合せ先
ソフォス株式会社広報事務局
Tel: 03-6454-6930
Email: sophos@ambilogue.com
以上
配信元企業:ソフォス株式会社
プレスリリース詳細へ
ドリームニューストップへ
ダルビッシュ妻・山本聖子さん、車運転中に“まさか”の出来事「ミラー越しに後ろを覗くと…」
【巨人】京本真「3者連続三振」中田歩夢「MVP」ティマ「フルスイング」 フレッシュ球宴出場
Ado、顔出しなしの「握手会」開催発表 「斬新」「どうか万全の安全で!」の声
近畿大・世耕弘成理事長の辞任求め署名5万筆 教職員有志が訴え
ヤンキースのコールが復帰登板で5回途中2失点5三振、最速157キロ「戻ってこられて良かった」
東京都知事選、立候補者は56人に 過去最多 午後2時現在
浜中文一、フリーになって「充実」東京開催のみの主演舞台には「交通費はいっけいさんが…」
【宝塚】理事長9カ月上演なしにお詫び 宙組再開であいさつ 団員急死には触れず
岡崎体育、サイン色紙早書き対決「ハイマッキーはもはや手」ZEBRA新キャラクターお披露目
【広島】野津田岳人、タイ1部BGパトゥムに完全移籍「広島の誇りを胸に。まだやれる」
何があった!?「エアコン」が想定外の壊れ具合!投稿者に話を聞いた
ダルビッシュ妻・山本聖子さん、車運転中に“まさか”の出来事「ミラー越しに後ろを覗くと…」
高橋洋子「生成AI」理由の出演辞退に反響「アニメと真面目に向き合っている」「勇気ある決断」
イケメンだから許される!堀北真希と山本耕史の「馴れ初め」が映画化希望するレベル
広瀬アリス「そりゃ売れるわ」友人・伊藤沙莉の人柄明かす「ただ仕草とか反応が全部おっさん」
「虎に翼」母・はるが…伊藤沙莉の演技力に反響「必死の説得」「映さない」「きれいに泣かない」
バキ童こと春とヒコーキのぐんぴぃが有吉の壁に登場!「笑いが止まらん」「地上波ゴールデンは草」
井上咲楽、イタリアでの“ぼったくり”被害を報告「めっちゃ後悔しています」
氷川きよし「ご無沙汰しています!久しぶりの再開です」インスタ過去投稿削除し、黒スーツ姿投稿
杉村太蔵氏、「洗脳されていた」aikoに「ありうる話、お金に関してはすべて疑った方がいい」
何があった!?「エアコン」が想定外の壊れ具合!投稿者に話を聞いた
松本人志飲み会参加セクシー女優「警察に相談しに行きました」報告「さすがにこれは酷すぎる」
現役女子大生グラドル、セクシー女優転身「私の全てを見ていただけると思います」
『こんなに可愛かった赤ちゃん犬が…』完全に想定外な『まさかの成長』が面白過ぎると82万再生「爆笑したw」「柴らしさ全開で好き」と絶賛
玉置浩二の妻、青田典子(53)の現在がとんでもない事になっていると話題に
ガーシーが綾野剛のLINE公開でネット騒然「ショック」「すごいエンタメ」
柏原崇(45)現在を調べてみた結果、相変わらずかっこよすぎた!
「愛が生まれた日」藤谷美和子(56)の現在がヤバい!?徘徊生活を送っていた過去も明らかに。
【ネタバレ?】史実で見るキングダムの今後の展開まとめ〜中華統一までの全体像
ダルビッシュ妻・山本聖子さん、車運転中に“まさか”の出来事「ミラー越しに後ろを覗くと…」
![game_banner](/images/banner-game.png)
ダルビッシュ妻・山本聖子さん、車運転中に“まさか”の出来事「ミラー越しに後ろを覗くと…」
【巨人】京本真「3者連続三振」中田歩夢「MVP」ティマ「フルスイング」 フレッシュ球宴出場
Ado、顔出しなしの「握手会」開催発表 「斬新」「どうか万全の安全で!」の声
近畿大・世耕弘成理事長の辞任求め署名5万筆 教職員有志が訴え
ヤンキースのコールが復帰登板で5回途中2失点5三振、最速157キロ「戻ってこられて良かった」
東京都知事選、立候補者は56人に 過去最多 午後2時現在
浜中文一、フリーになって「充実」東京開催のみの主演舞台には「交通費はいっけいさんが…」
【宝塚】理事長9カ月上演なしにお詫び 宙組再開であいさつ 団員急死には触れず
岡崎体育、サイン色紙早書き対決「ハイマッキーはもはや手」ZEBRA新キャラクターお披露目
【広島】野津田岳人、タイ1部BGパトゥムに完全移籍「広島の誇りを胸に。まだやれる」