~ファイルレス・マルウェア、ランサムウェア、およびリモートアクセス・エージェントを検出するよう設計されているダイナミック・シェルコード・プロテクション~

OXFORD, U.K.  — 3月 4, 2021 —

次世代サイバーセキュリティのグローバルリーダー企業である英国ソフォス(日本法人:ソフォス株式会社 東京都港区 代表取締役 中西 智行)は本日、ファイルレス・マルウェア、ランサムウェア、リモートアクセス・エージェントを、セキュリティを侵害したコンピュータの一時的なメモリ領域にロードし、検出を回避しようとする攻撃に対する新たなプロテクション機能を発表しました。ソフォスの研究者は、「ヒープ領域におけるコード実行を検出するソフォスの新しいプロテクション機能」と題する新しいブログ投稿を公開し、攻撃コードをコンピュータメモリの動的な「ヒープ」領域に直接挿入し、コードの実行権限を使用して別の「ヒープ」メモリを取得するという、一般的なソフトウェアでは見られない挙動を検出する方法について詳細に説明しています。ソフォスの研究者は、このようなヒープ領域間のメモリ割り当ての挙動を検出する新しいプロテクション機能を開発しました。

ダイナミック・シェルコード・プロテクションと呼ばれるこの防御機能によって、検出を回避する手法としてメモリを使用することが非常に困難になります。

ソフォスのニュースサイトで最近連載したContiランサムウェアの現状に関する記事でも説明されていますが、攻撃を完了するために必要となるリモートアクセス・エージェントをロードおよび実行するときに、攻撃を検出されないようにする隠れ蓑としてメモリが利用されることが多くなっています。Contiでは、リモートアクセス・エージェントとしてCobalt Strikeが使用されています。

ソフォスのエンジニアリング部門担当ディレクターのMark Lomanは、次のように述べています。「セキュリティが侵害されたネットワークに攻撃者が侵入するのを防ぐことは、あらゆる組織にとっての目標となります。リモートアクセス・エージェントがインストールされてしまうと、あらゆる種類の攻撃を容易に実行できるようになることから、この目標は非常に重要です。例えば、リモートアクセス・エージェントによって、任意のコード実行、認証情報へのアクセス、権限昇格、情報の収集と窃取、ネットワークの水平移動、ランサムウェアの展開などが実行される場合があります。 攻撃用のコードは、高度に難読化されてパッキングされ、メモリに直接ロードされて、検出を回避しようとします。コンピュータのメモリは、セキュリティツールによって定期的にスキャンされないため、コードを実行するために難読化を解除したり、パッキングを解凍したりする場合でもその存在が検出されないことが多くあります。ソフォスは、メモリにロードされる多段階型のリモートアクセス・エージェントやその他の攻撃コードの一般的な特徴である「ヒープ領域間のメモリの割り当て」を特定し、この攻撃に対するプロテクション機能を開発しました」

ダイナミック・シェルコード・プロテクションは、アプリケーションなどのコードが「実行」権限のあるメモリ領域に保存されることを利用して対策を講じています。この「実行」権限がある領域にコードを保存することで、アプリの実行が可能になります。しかし、一般的にアプリはデータを解凍したり保存したりするために、いくつかの新たな一時的メモリ内ワークスペースを必要とします。この可変的なワークスペースは、通常、“ヒープ”メモリと呼ばれます。アプリは、実行権限のあるヒープメモリの割り当てを要求できますが、多くのサイバー攻撃では、リモートアクセス・エージェントのローダーがヒープメモリに直接注入されます。注入された後には、受け取ったリモートアクセス・エージェントを実行するために、ヒープからさらに実行権限のあるメモリ領域を取得する必要があります。この挙動が、ヒープ領域間のメモリ割り当てと呼ばれるものです。

ソフォスの研究者たちは、このような挙動がサイバー攻撃の明確な兆候であると認識し、ヒープメモリから別のヒープメモリへの実行権限の割り当てをブロックする実用的なプロテクション機能を設計しました。このプロテクション機能を利用すると、通常のアプリケーションの実行を妨げることなく、リモートアクセス・エージェント、ファイルレス・マルウェア、ランサムウェアなどの多くのサイバー攻撃を防止できます。

先述のMark Lomanは、次のように述べています。「悪意のあるコードでも正規のコードであっても、プロセスがヒープメモリ間の割り当てルールに抵触した場合、ダイナミック・シェルコード・プロテクションによってそのプロセスは阻止され通知されます。セキュリティ専門家は、通知を受けて、何が起こっているのかを詳しく調査できます。この新しいプロテクション機能はあらゆる攻撃を防止できるわけではありませんが、ステルス性の高いコードを利用する攻撃の基本的な動作をブロックできます。これにより、攻撃を成功することがさらに難しくなり、安全性がさらに向上することになります。ダイナミック・シェルコード・プロテクションは、クラウドや機械学習に依存していません。この機能によって、難読化されたマルウェアや、セキュリティが侵害された後にメモリに直接ロードされるCobalt Strikeビーコンなどのリモートアクセス・エージェントとの戦いが大きく変わることになるでしょう」

ダイナミック・シェルコード・プロテクションは、Sophos Intercept Xに統合されています。

ランサムウェア対策のための一般的なアドバイス

  • インターネットに接続するリモート・デスクトップ・プロトコル(RDP)をシャットダウンして、サイバー犯罪者が社内のネットワークにアクセスできないようにします。
  • RDPにアクセスする必要がある場合は、VPN接続と組み合わせて利用してください。
  • EDR(Endpoint Detection and Response)機能や365日24時間体制でネットワークを監視するマネージド・レスポンスチームなど、サイバー攻撃を予防、保護、検出する多層防御のセキュリティ・ソリューションを使用します。
  • ランサムウェア攻撃を阻止するための攻撃が進行していることを示す5つの指標に注意してください。
  • 効果的なインシデント・レスポンス計画を策定し、必要に応じて更新します。脅威の監視や、緊急のインシデント対応のためのスキルやリソースについて不安がある場合は、外部の専門家が提供しているサービスを利用することを検討してください。

その他の参考資料

ソフォスについて

ソフォスは、次世代サイバーセキュリティの世界的リーダーとして、150か国以上のあらゆる規模の400,000社以上の企業を今日の最も高度なサイバー脅威から保護しています。SophosLabsのグローバルな脅威インテリジェンスおよびデータサイエンスチームにより、ソフォスのクラウドネイティブでAIによって機能拡張されたソリューションは、ランサムウェア、マルウェア、エクスプロイト、データ流出、自動化されたアクティブな攻撃、フィッシングなど進化するサイバー犯罪技術からエンドポイント(ラップトップ、サーバー、モバイルデバイス)とネットワークを保護します。クラウドネイティブな管理プラットフォームであるSophos Centralは、Intercept XエンドポイントソリューションやXG次世代ファイアウォールなど、ソフォスの次世代製品ポートフォリオ全体を、APIのセットを介してアクセス可能な単一の同期セキュリティ(Synchronized Security)システムに統合します。ソフォスは、クラウド、機械学習、API、自動化、MTR(Managed Threat Response)などの高度な機能を活用して、あらゆる規模の企業にエンタープライズレベルの保護を提供し、次世代サイバーセキュリティへの移行を推進しています。ソフォスは、53,000社以上のパートナーおよびマネージドサービスプロバイダー(MSP)からなるグローバルチャネルを通じて製品を販売しています。ソフォスはまた、革新的な商用テクノロジーをSophos Home経由で消費者に提供しています。ソフォスの本社は英国オックスフォードにあります。詳細については、www.sophos.com (日本語サイト:https://www.sophos.com/ja-jp)をご覧ください。

ソフォスについて

ソフォスは、MDR (Managed Detection and Response) サービス、インシデント対応サービス、およびエンドポイント、ネットワーク、メール、クラウド セキュリティ テクノロジーの幅広いポートフォリオなど、サイバー攻撃を阻止する高度なセキュリティソリューションを提供する世界的なリーダーであり、革新的な企業です。ソフォスは、最大手のサイバーセキュリティ専門プロバイダーの 1つであり、全世界で 60万以上の組織と 1億人以上のユーザーを、アクティブな攻撃者、ランサムウェア、フィッシング、マルウェアなどから保護しています。ソフォスのサービスと製品は、Sophos Central 管理コンソールを介して接続され、企業のクロスドメイン脅威インテリジェンスユニットである Sophos X-Ops を利用しています。Sophos X-Ops のインテリジェンスは、Sophos ACE (Adaptive Cybersecurity Ecosystem) 全体を最適化します。このエコシステムには、お客様、パートナー、開発者、その他のサイバーセキュリティおよび情報技術ベンダーが利用できる豊富なオープン API セットを活用する一元化されたデータレイクが含まれます。ソフォスは、フルマネージド型のソリューションを必要とする組織に、Cyber​​security-as-a-Service を提供します。お客様は、ソフォスのセキュリティ運用プラットフォームを使用してサイバーセキュリティを直接管理することも、脅威ハンティングや修復などソフォスのサービスを使用して社内チームを補完するハイブリッドアプローチを採用することもできます。ソフォスは、リセラーパートナー、MSP (マネージド サービス プロバイダ) を通じて販売しています。ソフォス本社は英国オックスフォードにあります。詳細については www.sophos.com をご覧ください。