ポリモーフィックより手ごわいメタモーフィック型マルウェアの脅威

[Noah Schiffman，TechTarget]

　悪質なコードの増殖の起源は、ブートセクタに感染するウイルスがフロッピーディスク経由で拡散したかつてのスニーカーネット時代にまでさかのぼることができる。感染性コードの拡散が深刻なレベルに達したとき、セキュリティコミュニティーはパッチ、防御、スキャン、ブロックなどの機能を提供するプログラムでこれに対抗した――ウイルス対策スイートが誕生したのだ。それ以来、ウイルス作成者とウイルス対策ベンダーは、互いに相手を出し抜こうと日夜奮闘してきた。これは、悪質なコードが驚異的な速度で進化するという状況を引き起こし、新たな注入ベクター（媒介物）、回避テクニック、攻撃ペイロード（コード）を生み出した。

　新たに出現したマルウェア拡散手段の中でも、とりわけ斬新で狡猾な手法がメタモーフィック型マルウェアだ。その概念（および親戚関係にあるポリモーフィック型マルウェアの概念）を理解するには、根底にあるマルウェア暗号化手法の基本的な理解が不可欠だ。非常に単純なモデルの場合、暗号化されたウイルスには、ウイルス復号化ルーチン（VDR）および暗号化されたウイルス本体（EVB）が含まれる。感染したアプリケーションを実行すると、VDRがEVBを復号化する。これにより、そのウイルスは意図された機能を実行することが可能になる。拡散フェーズに入ると、ウイルスは再び暗号化され、ほかのホストアプリケーションに付加される。複製のたびに新しい鍵がランダムに生成され、これによりコードの見掛けを変化させる。しかしVDRは変化しない。それがこのタイプのウイルス固有の弱点であり、そのためにシグネチャ認識手法によって検出されるのだ。

　ポリモーフィックとは「外観上の変化」を意味し、暗号化されたコードに追加コンポーネントとしてミューテーションエンジン（ME）を付加する。MEは基本的に、ほかのプログラムの機能を変えずに、そのコードだけを変えることができる。MEは例えば、EVBを復号化する能力を維持したまま、複製のたびにVDRのコードを変えることができる。VDRの連続的変化は、ジャンクコードの挿入、命令順序の変更、数学的対偶などの難読化手法を用いることによって実現できる。しかし、復号化されたウイルス本体を保持するというのがそのアキレス腱なのだ。複雑なシグネチャの形態を提供することになるからだ。その結果、包括的復号化スキャニング、ネガティブヒューリスティック分析、エミュレーション・仮想化技術などの高度な手法が、ポリモーフィック型ウイルス検出に効果を発揮することになった。

　こういった欠点を持つポリモーフィズムから進化したメタモーフィック型マルウェアは、ウイルスの変異手法を新たな段階に引き上げるものであった。メタモーフィック方式では、EVBを変異させた上で暗号化による覆いをかぶせるのではなく、MEを利用してウイルス自身を変えてしまうのだ。逆アセンブルを行うことにより、ウイルスコードはその最終的機能の特徴を示すメタ言語として表現される。そして、分析、コードのモーフィング、再アセンブルを行うことにより、新たなコードが生成される。このコードは最初の構文と類似性はないが、機能的には同じだ。

　メタモーフィック型マルウェアは、複製サイクルのたびにそのコードを完全に再変化（そしてそのシグネチャパターンを変化）させる能力により、各種のウイルス対策手法をいとも容易にすり抜ける。そのプロトタイプの1つを「Win32.Metaphor」ウイルス（別名：Win32.Etap、Win32/Simile）に見て取ることができる。「Metaphoric Permutating High-Obfuscating Reassembler」の頭文字を取って名付けられたこのウイルスが最初に出現したのは2002年で、その後、非常に多くの変種が現れた。ウイルス本体は破壊的なものではなかった（日付に応じてさまざまなメッセージが表示されるだけだった）が、幾つかの高度で斬新なメタモーフィック手法は、広範な拡散とウイルス対策の回避を可能にした。エントリーポイント難読化（EPO）、疑似コード置換、サイズの縮小／拡大（「アコーディオンモデル」手法）、アンチエミュレーションタイムスタンプ分析、高度な感染ルーチン、Linuxとのクロスプラットフォーム互換性などの手法の強力な組み合わせは、新種のマルウェアを生み出した。その脅威レベルは、非メタモーフィック型コードをしのぐものだった。これは企業のセキュリティモデルにも変化をもたらし、中心部、境界部、エンドポイントのセキュリティに関して、従来とは異なる戦略的視点が求められるようになった。

　絶えず進化するこの種のマルウェアを確実に検出できる包括的な手法は存在しないが、特定することは可能だ。メタモーフィック方式には、自己分析の必要があるという固有の弱点があるのだ。メタモーフィック型マルウェアは1つの実体として自身のコードを分析することができるため、理論的にはほかのプログラムでもそれを分析することが可能なのだ。エミュレーション手法を用いて、変異後のコードの機能をヒューリスティックに検査する効果的な方法が既に開発されている。また、自動複製システム、類似性インデックス、ジオメトリック分析、トレーシングエミュレータといった手法に関する研究も進んでいる。しかし、検出・防御技術が発達する一方で、ウイルス作成者たちはさらに洗練された効率的な変異エンジンと新しい難読化手法を作り出している。決定的な検出方法が開発されない限り、今後も新たな形態のメタモーフィックコードが増殖を続け、セキュリティコミュニティーにチャレンジを課すことだろう。

　どんな種類のメタモーフィック型マルウェアであれ、最善の防御策は各種の脅威管理プラットフォームを組み合わせた多層的アプローチを採用することだ。ウイルス対策ソフトウェアの利用（頻繁に更新すること）、リモートアクセスの制限、コンプライアンス監視などの対策をサーバおよびエンドユーザーの両方のレベルで採用しなければならない。ネットワーク／パーソナルファイアウォールでは、使用しないサービスポートは閉じておくこと。電子メールサーバでは、コンテンツフィルタおよびファイルスキャニング機能を使用すること。そして、どのような企業環境であれ、明確に定義された効果的なセキュリティポリシーを策定、適用、維持しなければならない。機密性の高いデータを扱うような環境であれば、リアルタイムエミュレーション分析や業務内容に応じたネットワークの分割といった追加的セキュリティ対策を検討する必要があるだろう。

本稿筆者のノア・シフマン氏は、改心した元ブラックハットハッカー（悪質なハッカー）で、25年近くにわたってFortune 500企業のシステムに侵入した経験がある。同氏は現在、フリーのITセキュリティコンサルタントとして活躍する。リスク評価、侵入テスト、暗号化、デジタルフォレンジクス、予測分析モデル、セキュリティ指標、企業セキュリティポリシーなどを専門とする。心理学と機械工学の学位を持つほか、南カリフォルニア医科大学で医学博士号も取得した。サウスカロライナ州チャールストン在住。

関連ホワイトペーパー

ウイルス | マルウェア | 暗号化