Video Screencast Help
Security Response

FUD クリプターとウイルス検出のせめぎ合い

Created: 21 Jan 2011 06:21:34 GMT • Translations available: English
Brent Graveland's picture
0 0 Votes
Login to vote

ウイルス対策ソフトウェア企業と悪質なソフトウェアの作成者は、果てしのない戦いを続けています。ウイルス対策ソフトウェアの開発者は悪質なソフトウェアの検出と遮断を試み、その一方で悪質なソフトウェアの開発者は検出をくぐり抜けて金儲けを成功させようとしています。

最近シマンテックから発表された「Report on Attack Toolkits and Malicious Websites (攻撃ツールキットと悪質な Web サイトに関するレポート)」では、攻撃ツールキットにバンドルされる悪質なソフトウェアが増加している現状と、そのようなツールキットがアンダーグラウンドのコミュニティで販売され多くのオンライン攻撃で利用されている実態について論じています。このレポートで取り上げているのが、ウイルス対策のセンサーや研究者の目を逃れようとして攻撃ツールキットに組み込まれている、さまざまな不明瞭化の手法です。

こうした不明瞭化において大きな役割を果たしているのが「FUD クリプター」と呼ばれるものです。この場合の「FUD」は、いわゆる「Fear、Uncertainty、Doubt(恐れ、不安、疑念)」のことではなく、「Fully UnDetectable(完全に検出不可)」あるいは「Fully UnDetected(完全に未検出)」を表しています。高機能な攻撃ツールキットで FUD クリプターの存在が目立つようになっていますが、その目的は悪質な実行可能ファイルの内容を不明瞭化し、意図したとおりに実行させながらウイルス対策ソフトウェアに認識されないようにすることです。

ウイルス対策のシグネチャは、既知の悪質な実行可能ファイルを検出するために、特定の文字列やパターンを探します。このようなシグネチャは、その作成に多大な努力が費やされてからユーザーに配布されます。この結果、悪質なソフトウェア作成ツールキットがさらに普及するようになり、新しい悪質なコードの開発がさらに簡単になる一方で、シグネチャを作成して悪質なコードを遮断することが難しくなっているようです。ウイルス対策企業がこれに対抗するには、1 つのシグネチャで複数のマルウェアを遮断することが必要になってきます。

FUD クリプターソフトウェアは、悪質な実行可能ファイルの内容(ペイロード)を暗号化し、小さなスタブプログラムと組み合わせます。このスタブの機能は、実行時に元の悪質なプログラムを復号化して実行することです。復号化された実行可能ファイルが重複しないように、FUD プログラムは実行するたびに新しい暗号化キーを使用します。暗号化のプロセスで、ペイロードはまったくランダムなデータに見えるように処理され、ウイルス対策のシグネチャが元の悪質なソフトウェアの遮断に利用するデータは、すべて変更されます。

ペイロードはウイルス対策ソフトウェアによる検出から完全に不明瞭化されますが、スタブ部分は存続します。元の実行可能ファイルを復号化して実行するという機能を適切に処理するために、スタブは実行可能な状態を維持する必要があり、スタブ部分を不明瞭化することは困難だからです。ペイロードはインスタンスごとに変化するので、ウイルス対策のシグネチャが複数のマルウェアを個々に照合するには、スタブ部分について照合を行う必要があります。

スタブプログラムを不明瞭化するために、ユニークスタブジェネレータ(USG)が使われる場合もあります。USG を使うと、スタブで未使用の特定の場所にランダムなデータが挿入されます。挿入されるのは、何の機能も持たないランダムな実行可能形式のデータです。コードの一部が置き換えられたり並べ替えられたりすることもあります。USG は重複のないスタブの作成を試み、しかもそのスタブには、コードの未変更の部分が最小限しか含まれていないので、シグネチャの作成はさらに難しくなります。

特定のマルウェアが検出不能になって拡散されると、ウイルス対策企業がそれを検出して遮断するのは時間の問題になります。こうなると FUD プロセスの再適用や、おそらくは再設計が必要になり、そのようにしてウイルス対策企業とマルウェア作成者のせめぎ合いが激化していきます。

FUD 製品の実用的な存続期間は、それによって作成された実行可能ファイルをウイルス対策企業が確実に検出するまでであり、比較的短いと考えられています。数日から数週間、長くても数カ月というところです。

両者のせめぎ合いの影響で、アンダーグラウンドのコミュニティにおける FUD クリプター製品とサービスは、その範囲が急激に拡大しました。EXE ファイルを操作するスタンドアロン型の製品もあれば、標準またはオプションで FUD 暗号化の機能を持つ悪質なソフトウェア作成ツールキットもあります。トロイの木馬に FUD 技術を応用した、従量課金サービスも登場しています。シマンテックのレポートでは、このようなサービスを宣伝するアンダーグラウンドコミュニティの広告も取り上げており、普及率が高くメンテナンスも良好なツールキットにはほとんど、FUD サービスが組み込まれています。実際、主要なツールキットのサポートをユーザーが購入する動機は、FUD 暗号化を繰り返し再適用してトロイの木馬を検出不能にすることにあります。

シグネチャベースの検出は性質上どうしてもイタチゴッコの状態になるので、マルウェアの検出においては、シグネチャに依存しない振る舞いベースや評価ベースの技術が次のステップとして挙げられます。うまくいけば、振る舞いベースや評価ベースの検出能力が向上して、FUD クリプターのような手口は廃れるかもしれません。

FUD クリプターや攻撃ツールキット、およびこれらが現在のセキュリティ脅威をとりまく環境に与える影響については、シマンテックが提供する「Report on Attack Kits and Malicious Websites(攻撃ツールキットと悪質な Web サイトに関するレポート)」をダウンロードしてください。

 

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。