メタモーフィック型マルウェアの脅威：ポリモーフィックより手ごわい

絶えず進化するこの種のマルウェアを確実に検出できる包括的な手法は存在しないが、特定することは可能だ。

[Noah Schiffman，TechTarget]

　悪質なコードの増殖の起源は、ブートセクタに感染するウイルスがフロッピーディスク経由で拡散したかつてのスニーカーネット時代にまでさかのぼることができる。感染性コードの拡散が深刻なレベルに達したとき、セキュリティコミュニティーはパッチ、防御、スキャン、ブロックなどの機能を提供するプログラムでこれに対抗した――ウイルス対策スイートが誕生したのだ。それ以来、ウイルス作成者とウイルス対策ベンダーは、互いに相手を出し抜こうと日夜奮闘してきた。これは、悪質なコードが驚異的な速度で進化するという状況を引き起こし、新たな注入ベクター（媒介物）、回避テクニック、攻撃ペイロード（コード）を生み出した。

　新たに出現したマルウェア拡散手段の中でも、とりわけ斬新で狡猾な手法がメタモーフィック型マルウェアだ。その概念（および親戚関係にあるポリモーフィック型マルウェアの概念）を理解するには、根底にあるマルウェア暗号化手法の基本的な理解が不可欠だ。非常に単純なモデルの場合、暗号化されたウイルスには、ウイルス復号ルーチン（VDR）および暗号化されたウイルス本体（EVB）が含まれる。感染したアプリケーションを実行すると、VDRがEVBを復号する。これにより、そのウイルスは意図された機能を実行することが可能になる。拡散フェーズに入ると、ウイルスは再び暗号化され、ほかのホストアプリケーションに付加される。複製のたびに新しい鍵がランダムに生成され、これによりコードの見掛けを変化させる。しかしVDRは変化しない。それがこのタイプのウイルス固有の弱点であり、そのためにシグネチャ認識手法によって検出されるのだ。

　ポリモーフィックとは「外観上の変化」を意味し、暗号化されたコードに追加コンポーネントとしてミューテーションエンジン（ME）を付加する。MEは基本的に、ほかのプログラムの機能を変えずに、そのコードだけを変えることができる。MEは例えば、EVBを復号する能力を維持したまま、複製のたびにVDRのコードを変えることができる。VDRの連続的変化は、ジャンクコードの挿入、命令順序の変更、数学的対偶などの難読化手法を用いることによって実現できる。しかし、復号されたウイルス本体を保持するというのがそのアキレス腱なのだ。複雑なシグネチャの形態を提供することになるからだ。その結果、包括的復号スキャニング、ネガティブヒューリスティック分析、エミュレーション・仮想化技術などの高度な手法が、ポリモーフィック型ウイルス検出に効果を発揮することになった。

関連ホワイトペーパー

ウイルス | マルウェア | 暗号化