FFR Blog

マルウェアの自動解析の方法

fourteenforty — 2010-09-03T01:42:09+09:00

はじめまして。リサーチエンジニアの舟久保と申します。

今回は、マルウェアの自動解析の手法について調査する機会があったので、備忘録も兼ねて、簡単にご紹介させていただきたいと思います。

弊社ではウイルス対策ソフトウェア(yarai)の開発や、マルウェア解析サービスを提供している都合上、日々発生するマルウェアを解析し、どのようなタイプのマルウェアが存在しているのか常に把握しておく必要があります。しかし、毎日平均で約5,000個、多い時は10,000個を超えるマルウェアを収集しているため、解析ツールやデバッガ等を使って1つ1つ手作業で解析していては、日が暮れてしまいます。

そこで登場するのが今回のテーマでもあるマルウェアの自動解析という技術です。これを利用すれば自動的にマルウェアを解析できるため、手作業での解析から解放され、大量のマルウェアを短時間で捌けるようになるというわけです。

読者の皆さんはご存知かもしれませんが、既に無料でウェブ上からマルウェアの自動解析をしてくれるサービスがあります。例えば、Norman Sandbox、CWSandbox、anubisなどが有名です。マルウェアを持っていたら、そこへ読み込ませてみると興味深い解析結果が得られるかもしれません。

マルウェアの自動解析という分野は、壮大な研究分野なので、ここで全てを解説することはできませんし、なにより私自身全て把握できているわけではございません。マルウェアの自動解析には、大きく分けて、静的解析（動作させずに解析）と動的解析（実際に動作させて解析）があるのですが、今回は動的解析の「自動解析システムが任意の時点でマルウェアから制御を奪う方法」について焦点を当ててまとめてみたいと思います。

■1つ目の方法：ブレークポイントを使う方法

最もオーソドックスな方法でデバッガ等で良く使われる方法です。詳しい仕組みは、色々なところで解説されていますので割愛させていただきます。この方法は、とても簡単に実装でき、任意の時点で制御を奪うことができますが、マルウェアによって検出されやすいという欠点があります。

■2つ目の方法：ステルスブレークポイントを使う方法

1つ目の方法で解説したブレークポイントとは異なるアプローチのブレークポイントです。メモリページの属性を一時的にnot present状態にしておき、そこにアクセスした瞬間にページフォールトを発生させ、ページフォールトハンドラで制御を奪うという方法です。ページ単位でブレークポイントを仕掛けるため、ページフォールトが頻発するという欠点がありますが、マルウェアに検出されずに任意の時点で制御を奪うことが可能です。

下記の論文が詳しいです。
Stealth Breakpoints

■3つ目の方法：マルウェアコードをブロックに分割してブロック毎に実行する方法

マルウェアのコードを直接実行するのではなく、ブランチ命令やcall命令などの制御が変わる部分などでコードの固まり（ブロック）に分割し、ブロック単位で少しずつマルウェアコードを実行する方法です。実装が複雑になりますが、ブロック単位でマルウェアの制御を奪うことができます。また、ブロック内の命令コードを自動解析システムが都合のよい命令コードに書き換えることもできます。

下記の論文が詳しいです。
Cobra: Fine-grained Malware Analysis using Stealth Localized-executions

■4つ目の方法： PCエミュレータ(QEMU)を使う方法

QEMU上のゲストOSでマルウェアを動作させることによって、QEMUの実行命令ブロック（Translation Block）単位でマルウェアの制御を奪う方法です。ゲストOSやマルウェア自身には一切手を加える必要がないために、マルウェアによる検出を避けつつ制御を奪うことができます。ただし、ゲストOSで利用されている構造体や関数等の情報（例えば存在するメモリアドレス等）をあらかじめ知っておかないと制御を奪った後、解析できないという欠点があります。

下記のプロジェクトがこの方式を利用しています。
TEMU: The BitBlaze Dynamic Analysis Component

■5つ目の方法： CPUの仮想化支援機能を使う方法

ハイパーバイザ上のゲストOSにおいて、トラップフラグを設定しておき、マルウェアが1命令実行するごとデバッグ例外を発生させることにより、マルウェアから制御を奪う方法です。デバッグ例外は、ゲストOSに届く前にハイパーバイザで処理されますので、ゲストOSに影響を与えることはありません。マルウェアがトラップフラグを参照することによるデバッグ検出を避けるため、トラップフラグを参照しようとしたら、あたかもトラップフラグが設定されていないかのように、値をねつ造します。

下記の論文が詳しいです。
Ether: Malware Analysis via Hardware Virtualization Extensions

最後に

今回は、「自動解析システムが任意の時点でマルウェアから制御を奪う方法」という、マニアックな視点からマルウェアの自動解析をまとめてみましたが、いかがでしたでしょうか。

次回は別の視点からマルウェアの自動解析を紹介してみたいと思います。

お楽しみに！

目を逸らさず直視することは、次の一歩に重要なこと

fourteenforty — 2010-07-30T00:40:17+09:00

FFRの奥天陽司でございます。

先日某新聞記事に宛てたコメントが様々な反響に繋がっているようで、インターネット上で繰り広げられている意見交換は、逐次チェックをし参考にさせていただいております。

今回の新聞記事により、Twitter含め多くの方の発言で、Windows 2000のサポートが終わっていたことを事後に知ったという方や、自分の会社のパソコンや、サーバーがWindows 2000で動いていることを気にしている方が目立っているように思います。

私も某社で仕事をしているとき、一つの重要な事柄を多くの方に知っていただくことの難しさを経験しました。大手のメディアに社告を打ってもリーチできたのは数％であったり、セキュリティアップデートの重要性を説明しても実際にアップデートの配信が進まなかったり、結果的に自動アップデートの導入で大きな反対を押し切り実施を行い、ようやく今の脆弱性対策の常識作りに成功した、そんな時代もありました。

製品のサポート切れの認知を高めることとは、同じような常識作りに対する挑戦に他ならず、今回の報道についても社会的な共通課題であることを、いかに皆さんと認識しあい次の一歩につなげるか、という部分が重要なのではないかと思います。

メーカーがサポートを打ち切ることは、製品のメンテナンスコストや時代にそぐわなくなった製品であることを明確にするために重要なことで、今回はWindows 2000が10年もの間メンテナンスを続けたことは、評価されるべきものではないかと思っています。メーカーがサポートを終了したことにより、ユーザーは全ての管理の責任を受け取ったということに等しいですし、責任を全うするために何をすべきかを理解することは、見たくは無いものに目を向けなければならない行為なのかもしれません。

で、今回、弊社の盟友でもあるサイバーディフェンス研究所さまと共同で、以下のセミナーを開催することになりました。

http://www.fourteenforty.jp/seminar/
タイトルは刺激的ですが、内容も刺激的です。

先日のメディア向け説明会でも指摘しましたが、Windows 2000とそれ以外のOSの脆弱性の共通性とか、Windows 2000の対脅威技術の弱さなど、赤裸々に語られるセミナーです。
懸念のある製品を使うということは、懸念をしっかりと理解することから次の一歩が始まると思いますし、ぜひ一歩を踏み出していただきたいと思っています。

福森さまが、F-Secure Blog に投稿されていますが、
http://blog.f-secure.jp/archives/50428042.html
YouTubeに投稿されたビデオも、激しく危機感をあおります。。。

こちらのセミナー8月10日に日経ホールで開催され、無料で参加いただけます。
お盆前でいろいろと忙しい時期ではございますが、参加をいただければと思います。

私を延命してください

fourteenforty — 2010-07-11T02:22:43+09:00

お久しぶりです、FFRの奥天陽司でございます。

ここのところ、Windows 2000のサポート終了に関わるモロモロの活動で、自分のいろいろなものが擦り切れそうです。

7月5日に、少し早めに Windows 2000 のサポート終了に関する啓発を兼ねて、メディアの皆様向けに説明会を開きました。今回は、ソフォス様も同様に、Windows 2000 を使用されているお客様からの要望に合わせ、サポート期間を2012年まで伸ばしたという共通項もあり、一緒にキャンペーンを始めることになりました。

このキャンペーンは、9月30日までFFRの脆弱性攻撃防御機能を20%オフ、同様にソフォス様のEndpointSecurityも20%オフということで、出費を抑えて、移行までの期間をできる限り安全に使ってもらうような取り組みとしております。

このキャンペーンは、Windows 2000 の延命というお題目にはなっていますが、IT業界のはしくれとして、サポート切れ製品を積極的に使うことを奨励したものではありません。最新のポルシェが最良のポルシェ、ではなく最新のIT製品がやっぱりセキュリティ的にも運用管理的にも優れているのは間違いが無いので、ぜひ移行をお願いしたいということで、それらを考えるきっかけにしていただきたいと思っています。

ただ、いろいろな理由で移行できない企業様もありますので、僅かばかりですが金額を下げ、移行期間のセキュリティを可能な限り高めていただきたいという思いで始めたキャンペーンなのです。

5日の発表以降、非常に多くの記事が作成され、新聞でも様々取り上げられる中、日本時間の14日に向けてさらに啓発活動は続くでしょう。

私たちとしても、製品を導入いただくことはありがたいことですが、こういう移行計画はITILのチェンジマネジメントでも指摘されているように、移行計画はしっかりと考えていただきたいと思っています。いろいろお騒がせをしておりますが、皆様が幸福なIT活用を続けていただけることを願っております。

なお、8月からはWindows関連の深刻な脆弱性が公表されましたら、弊社で影響度を調べましてWindows 2000に影響があるものについて、可能な限り情報公開をしようと考えております。
本来は有償サービスで提供していますので、内容はそこそこになると思いますが。。。

Adobe Flash Player and Reader 0-day 脆弱性 vs FFR yarai

fourteenforty — 2010-06-14T08:29:44+09:00

村上です。

既に修正プログラムが公開されているため現時点では0-day脆弱性という呼び方は適切ではありませんが、ご存じの通り6月上旬からAdobe Flash PlayerおよびAdobe Readerの脆弱性を悪用した攻撃が確認されています。本脆弱性は、所謂Gumblar型の攻撃（Webを閲覧しただけでウイルスに感染）に悪用可能な類のものです。冒頭でもお話ししましたが既にAdobeから脆弱性を修正済みのプログラムが公開されていますのでまだアップデートを行っていない方は、早急に対応することをお勧めします。

Security update available for Adobe Flash Player

余談ですが、FFR yarai（ZDPエンジン）、また先日製品発表させて頂いたFFR yarai脆弱性攻撃防御機能ともにこの脆弱性を突く攻撃を防御することができています。

ようやく発売開始です！

fourteenforty — 2010-06-09T12:32:54+09:00

FFRのセールスマーケティング担当の奥天陽司でございます。

苦節数カ月ようやく『FFR yarai 脆弱性攻撃防御機能』の発売と相成りました！

製品の立案から開発、マーケティング、チャネル整備などいろいろとありましたが、これまでの3階層の多層防御では攻撃を防ぐことが難しくなっている現状に対して、4層目のエンドポイントセキュリティ対策を提案する製品となります。

多層防御（重深防御：Defense in Depth：a.k.a DiD）ですが、もともとネットワーク防御としてファイアウォール、マルウェア防御としてウイルス対策ソフト、脆弱性対策としてセキュリティ更新プログラム、という位置づけでしたが、それぞれが攻撃の進化（というか攻撃者のモチベーションの上昇：職業化といわれてます）に対応が難しくなってきているとFFRでは分析してます。

今回の製品は、脆弱性を悪用しバッファオーバーフローなどの攻撃が成功する間際に、コードの実行を停止するというものです。CPUが持つNX技術(DEP)の基本思想を元に、近年の攻撃に対抗するための強力なコード実行停止ロジックをソフトウェア的に実装したもので、データエリアからコードの実行が行われるタイプの攻撃はほぼ100%検知し、ウイルスに行動を乗っ取られるプロセスを停止、被害の拡散をストップします。

本来、このエンドストッパーが動かない、安定、安全な運用が理想なのですが、前述したように攻撃者は職業化してきていますので、お金が流れさえすれば悪事は絶えない、という悩ましい状況です。

さて、本製品の発売に際して、弊社製品の販売店様から暖かいエールをいただいており、それらはニュースリリースで紹介いただいております。

今回新たにサイバーソリューション様が販売代理店に参加いただく予定となっております。

また、今回は、OEMエディションの話を進めており、NEC Biglobe 様に本製品のコアテクノロジーを組み込んだ会員様向けセキュリティーサービスの提供をご検討頂いております。

そして、Security Operation Center向け製品。こちらは業界の雄である Infosec様、LAC様にご検討頂いております。

まだまだありますよ～。

NEC様より、FFR yaraiをエンドポイント検知エンジンとして使用する『セキュリティ可視化ソリューション』が発表されました。

FFRの技術がいろいろなところで使用いただけるようになるのは、本当にうれしいことです。

お客様に使用いただくことで、弊社として次の技術開発を進めることができます。そして、日本発で世界を唸らせる技術の実現ができたら、やっぱり安全大国の面目躍如ができるんじゃないか、なんて思ってますよ。

ということで、今日9日はINTEROPのNEC様ブースで『セキュリティ可視化ソリューション』の説明してます。もし会場にいらっしゃったかた、小太りなちょっと派手目な中年がいたら私ですので、話しかけてくださいね～

セキュリティを身近にする唯一の方法、なのか？

fourteenforty — 2010-06-03T12:35:14+09:00

こんにちは、FFRマーケティング担当の奥天陽司でございます。

いよいよ6月9日にFFR yarai 脆弱性攻撃防御機能の発売日に向けて、準備をしているところでございます。準備といっても、販売網のメンテナンスとか、ソリューションセリングのためのシナリオ作りとか、そういうのがメインです。

発売日の6月9日は、INTEROPに参加しますよ～。例によってFFRはブースを出していないですが、パートナー様のブースに間借りです。詳細は後日～

それにしても、Windows 2000のサポート切れに対して、多くの企業様が様々な課題と懸念をもってシステム運用されていることが垣間見える昨今です。弊社への問い合わせも増えていて、サポート終了後にどのような状況になるのかが見えないので、皆様困っているようです。

お客様のほとんどは、今後1年～2年は運用しなければならないようで、その間のつなぎに投資するか否かで悩まれています。セキュリティ製品は問題が発生しないと効果を体感できないものが多く、ビルの免振機構のような位置づけです。過度に頼ったり期待すると、あとで拍子抜けをする可能性があるので、導入の選定にはしっかりとした目的設定が必要なように思います。

今回はセキュリティと啓発の話です。

セキュリティの仕事をしてて偶に思うのは、あの人はセキュリティを理解していない、とか、言っても分かってもらえないとか、そういう意見。

理解してない、わからない、の善悪は判断できませんし、それぞれの価値観、経験もあるので一概に言えませんが、事前の対策をするためにはセキュリティ確保の重要性を理解をすることは必要条件ということは間違いがないですよね。ここで疑問が。なぜセキュリティの重要性を理解できているひとと、できていない人がいるのでしょうか？

以前の会社で、みんながセキュリティを意識すると全てが変わる、なんて言ってましたが、意識をするなんて曖昧な表現だとモヤモヤします

たとえば物理的なセキュリティは、みなさん真剣に考えるわけです。家の鍵や会社の入り口のガードマン、その他リアルセキュリティに関しては対策しています。ものが盗まれたり壊されたりが目に見える物質世界では、対策の重要性は説明が要らない訳ですね。

物持ちが良い人と、悪い人の違いはどこから生まれるのでしょう？物質に対する認識の違いではないでしょうか。

人間って、子供が育つ過程で本とかぬいぐるみとか、そういうものに触れ、壊し、無くすといった経験を経て感覚として物のありがたさが分かってくるのでしょう。

では、数字、アイディアのようが情報概念として存在しているものは？重要性が分かっている人は、ノートに取ったりコピーをしたり、何らかの方法で保護をしようとします。しかし、生まれてこのかた物ではないモノが失われてしまうことを、誰が教えてくれたかというと、そういう機会はだれも与えてくれていません。

こんな状況で、情報を守ることは重要です！セキュリティは重要です！なんていっても理解されないのは当然です。

セキュリティの啓発をするには、まずは情報（概念）とは何なのか、そこから理解をしなければ。守る守らないは、情報を大切なものとして捉えて初めて議論できるお話ではないかと思ってます。情報そのものは、あることでは意味がない（美術品や工芸品のように、あるだけで意味がある情報なんて無い）わけで、活用してナンボ。利活用してこその情報ですから、セキュリティの話の前に保護する情報がどのようなメリットを与えてくれるものなのか、そこから理解しなければならないんですよね。

弊社製品の説明をするとき、その会社が知識や情報資産をどのように捉え扱っているのか、まずはそこを探るようにしている理由は、意識が無い方にセキュリティ確保が前提の話を押しつけても、きっとドン引きされると思っているから。

そういう人間の面白さに触れられるのも、ITの楽しさかなあ、なんて思ってます～

情報セキュリティEXPO御礼

fourteenforty — 2010-05-24T13:01:41+09:00

みなさま大変ご無沙汰しております。
やわらカテゴリー担当の藤田明菜です。

前回の記事からどのくらい経って・・・という話は皆様の優しい心で無かったことにしてください(+_+)ｵﾖﾖｰ

とはいえ、お会いする業界の先輩方、パートナーさんだけではなく、お客様にもご覧頂いている事は喜ばしくもあり、辛くもあり。

「やたらBLOG更新しない、やわらカテゴリーの人」と呼ばれないように気合い入れます！

さて、先日（5/12～14）の情報セキュリティEXPOにてブースにお立ち寄り頂きました皆様、本当にありがとうございましたこの場を借りて御礼申し上げます。

出展いただきましたAITの皆様にも重ねて感謝いたしますm(_ _)m

想定を超えたご来場でブースにお入り頂けなかったり、お待ちいただいたにも関わらずご説明差し上げられなかった方、大変申し訳ありませんでした・・・

もし製品やサービスにご興味をお持ち頂いていらっしゃいましたら、弊社および各販売店様の窓口迄ご連絡いただけましたらご説明にあがりますので、是非ご検討ください。

http://www.fourteenforty.jp/contact/index.htm

EXPOは盛況のうちに終了しましたが、「FFR yarai　脆弱性攻撃防御機能」の発売日まで現在ラストスパートで、スーパーサ●ヤ人状態です（歳がばれる～）

FFRは完全国産の技術研究をしているベンチャー企業ですので、皆様のご意見が製品・サービス向上にとても貴重な情報となります。

RC（Release Candidate）版をご試用頂きました際には、是非ご意見・ご要望をご教示下さいますようお願いいたします

奥天もBLOGでご紹介していますが、「FFR yarai　脆弱性攻撃防御機能」は３つのEditionをご提供する予定です。

http://blog.fourteenforty.jp/blog/2010/05/3editionexpo-9c.html

企業で導入頂くCorp.Edition、SOC（セキュリティオペレーションセンター）にてEndpointのセンサーとして活用頂くためのSOCEdition、そしてOEMEditionです。

それぞれお客様・パートナー様とお話させて頂いておりますが、機能の洗い出しや運用検討含め、最善の形でご提供できるよう一同努めますので、何卒よろしくお願いいたします！

久々の更新が日記のようになってしまいましたが・・・

次回はやわらカテゴリーの本領？発揮？出来るように頑張りますっ