マルウェア
マルウェアを「完全に検出不能」にする難読化エンジン「BatCloak」
トレンドマイクロではマルウェアを「FUD(Fully Undetectable:完全に検出不能)」にするための難読化エンジン「BatCloak」について調査を実施しました。
2024/2/27 1:00PM(PHT)更新: リサーチペーパーへのリンクを日本語版に差し替え
2023/6/15 7:30PM(PHT)更新: 本稿を更新し、BatCloakのIoCを追加
トレンドマイクロの調査により、高機能なBatCloakエンジンを利用することで大幅に難読化されたバッチファイルが、さまざまなインスタンスで複数のマルウェアファミリーを展開するために使用されていることが明らかになりました。2022年9月から2023年6月にかけて、解析および検体の収集を実施した結果、これらのバッチファイルは、いわゆる「FUD(完全に検出不能)」な状態に難読化されており、セキュリティソリューションを継続的に回避することが可能であることが判明しました。結果として、攻撃者は、大幅に難読化されたバッチファイルをシームレスに活用することで、さまざまなマルウェアファミリーやエクスプロイトをロードすることが可能となります。「高度な脅威アクタの活動により明らかとなったFUDバッチ難読化ツールの進歩」と題した最初の調査では、BatCloakの継続的な進化について報告しています。また、マルウェアのセキュリティ回避能力を新たなレベルへと押し上げた変革を解説しています。
本記事は、BatCloakを利用し大幅に難読化されたバッチファイルのセキュリティ回避能力の進化を調査する三部構成のテクニカルリサーチシリーズの第一部です。第二部である「最新版検出回避エンジンを組み込んだマルウェア「SeroXen」」では、RAT(リモート・アクセス・トロージャン)「SeroXen」について調査を行いました。SeroXenはそのステルス性でサイバー犯罪者の人気を得ており、最近ではゲーマー、愛好家コミュニティ、そして、組織を標的とする攻撃の中で使用が確認されています。また、RAT独自のツール以外では、SeroXenのローディングメカニズムに含まれる最新のBatCloakエンジンについても調査を行いました。シリーズの最後となる第三部は、「SeroXenのメカニズム:拡散方法、リスク、影響に関して」です。ここでは、 SeroXenとBatCloakの拡散メカニズムについて詳しく解説を行っています。また、バッチのFUD難読化によるコミュニティや人口統計に対する影響を特集したセキュリティインサイトも第三部に含まれています。
検出回避: BatCloakエンジンの有効性プレビュー
トレンドマイクロは、公開リポジトリから入手した数百のバッチ検体を解析しました。そして、これらの検体のおよそ80%がセキュリティソリューションによる検出を回避しているという驚くべき結果が得られました。この発見は、BatCloakがセキュリティプロバイダによる従来の検出メカニズムを回避する能力を有することを明確にしています。さらに、784個の検体のセット全体を考慮した場合、平均検出数は1未満であり、BatCloakにより難読化されたマルウェアの特定と脅威の軽減が困難であることを表しています。これは、BatCloakの検出回避技術によりマルウェアが隠されていることを示しています。
今回の難読化エンジンBatCloakに対する調査のようにマルウェア技術が進化する過程を把握することで、このような高機能かつ常時変化する脅威に対抗するためのより効果的な戦略を開発することが可能となります。これらの調査結果は、最先端の多層防御戦略や包括的なセキュリティソリューションの導入など、マルウェアの検出および攻撃の阻止に関する、より強化されたアプローチの必要性を浮き彫りにしています。
セキュリティチームや組織は、Zero-Trustアプローチを実施することが推奨されます。正確な検出作業を実施するために、複数のルール、フィルタ、そしてデータスタッキングや機械学習を含む解析技術を組み合わせたソリューションを実装することが大切です。これらのツールは、個別および動的ファイルのシグネチャを解析することができ、ヒューリスティック法や行動解析を用いてパターンを観察します。侵入、挙動、不正活動が明確ではない場合には、直ちに侵害や感染を想定し、影響を受けるアーティファクトやツールチェーンを遮断します。広い視野に立った迅速な対応により、組織は侵害に対処することができ、継続的にシステムを保護することが可能です。トレンドマイクロXDR™️ の多層防御技術とソリューションは、階層化された攻撃、またそのクローンや修正が施されたバージョンを効率的に監視、検出、ブロックします。
攻撃が標的に到達する前段階でサイロ化により対処するのではなく、Trend Vision One™の強化された挙動探知およびレスポンス機能は、不正活動全体をプロファイル解析することでリスクを軽減します。この機能は、エンドポイント、サーバ、ワークロード、電子メール、ネットワーク、クラウド、アイデンティティにわたる攻撃者のTTPs(テクニック、戦術、手順)を考察することで可能となります。また、Trend Vision Oneは、グローバル脅威インテリジェンスから得られるデータの相関を的確に導き、攻撃に対し優先度に従った防御措置を講じます。
参考記事
Analyzing the FUD Malware Obfuscation Engine BatCloak
By: Peter Girnus, Aliakbar Zahravi
翻訳:新井 智士(Core Technology Marketing, Trend Micro™ Research)