McAfee Blog

「凄いけどコワイ！」サンドボックスを回避するマルウェア

2016年11月17日 18時47分更新

文● McAfee

　この数週間に、McAfee Labsではマクロマルウェアの新しい亜種を発見しました。この亜種が含まれるdocファイルをクリックすると、「This document is protected against unauthorized use. Enable Editing and Enable Content to read content（この文書は不正な使用から保護されています。コンテンツを読むには、編集とコンテンツを有効化してください）」というメッセージが表示され、マクロを有効化するよう求められます。ユーザーが「Enable Content（コンテンツの有効化）」をクリックすると、マクロが有効化され、悪質なコンテンツがダウンロードされます（デフォルトでは、Microsoft Windows は保護されたビューが有効化されており、ユーザーが有効化しない限り悪質なマクロは実行されません）。

　3月の初頭から、私たちは高度な難読化アルゴリズムを使用して、静的で昔からあるマルウェア対策検知技法から自身を保護するマクロマルウェアを観察しています。マクロマルウェアは進化を続けており、新しい技法を使って検知を免れています。

　一見するだけでは、このマクロマルウェアの意図を予想するのは困難です。このコードを解読すると、判別できる多くの文字列が見つかりました。難読化されたマクロは次のようになります。

　以前のブログ（英文）では、ドキュメントファイル内のマクロがどのようにMaxMindサービスを使用してIPベースの地理位置データを収集するかについて説明しました。以前の亜種は、仮想マシン認識、サンドボックス認識などの回避技法を活用していました。私たちは先週、いくつかの新しい調査を行ないました。

paintedイベントの使用

　新しい亜種に見られた1つ目の大きな変化は、マクロの自動実行のためにAutoOpen()またはDocumentOpen()関数を使用しなくなった点です。この亜種は、その代わりにpaintedイベントを使用します。この回避技法によって、ペイロードがAutoOpen()を使用して実行されることを想定している一部のスキャナを迂回することができます。

ファイル名のチェック

　もう1つの変化はファイル名をチェックすることです。これはシンプルかつスマートな手法です。大半のケースでサンドボックスに送信されるファイルには、ファイル名としてSHA256またはMD5ハッシュを使用した16進数しか含まれていません。ファイルの名前に16進数文字しか含まれていない場合、このファイルがこれ以上犠牲者のマシンに感染することはありません。次のコードスニペットでは、このマルウェアはファイル名「TestMacro」が16進数文字かどうかを確認します。

実行プロセス数

　このマルウェアは、実行プロセス数もチェックします。プロセス数が50未満の場合、このマルウェアはふるまいを停止します。セキュリティ調査員は、実行中のプロセスが50未満の仮想環境の新しいコピーを使用することが多いため、この手法によって簡単に分析を回避できます。コードスニペットは以下の通りです。

プロセスのブラックリスト

　これらのマクロベースのダウンローダは主にスパムやフィッシングメールを介して伝搬されるため、攻撃者は電子メールスキャナやゲートウェイ製品などの境界デバイスに侵入することに尽力しています。このマルウェアは、サンドボックス環境で実行されている可能性のあるプロセスの存在をチェックします。新しい亜種では、このチェックリストが拡張されています。

ネットワークのブラックリスト

　私たちのブログでは、脅威実行者がMaxMindサービスを使用してIPベースの地理位置データを収集する方法についても紹介しました。この亜種は、オセアニア地域をチェックします。また、MaxMindを使用してチェックする文字列のリストも拡張されました。この文字列リストは高度に難読化されており、理解するのが困難です。難読化された文字列は、次のスニペットのようになります。