Semplice - マルウェア自動解析システムは、万全ではない - 仮想環境を検出するマルウェア

　IPAのウイルス情報iPedia(ウイルス情報データベース)（20070530, Semplice）の続き。
　セキュリティもみじで飲み会の後に星澤さんに、市電到着前に切々と語ってた話のぶり返しになります。

自動解析システムとは

　あるマルウェアの実行形式ファイルをアップロードしてスキャンにかけると、レジストリの変更点や作成されるファイルの一覧を洗い出し。悪意があるソフトウェアであるか否かを判別するような機能である。
　Virusu Totalによる各社のスキャン結果を眺めるのも一興だけど、未知の拾ったばかりの検体がインストール後にどのような挙動を示すのかを眺めるには、面白いものではある。

　だが、現況ではそれほど十分なものではないような。

自動解析システムの問題点

　JANOG16にてSymantecの中山雄克氏が、「Infection Network内での仮想インターネットの構築（http://www.pineapple.gr.jp/JANOG16/vinet.pdf）」なるプレゼンを行いました。
　アンチウイルスソフトメーカーでは、社内の倫理規定みたいなものにて、感染マシンをモロな形でネットワークに接続して挙動観察を行えません。
　近年のボットやダウンローダー系では、新たなファイルのダウンロードなどが頻繁に行われますが、十分には追いきれていないのでは。

バーチャル環境を検出し、活動を抑制するマルウェア

　バーチャルな解析システムにおいても、プロキシ状態のシステムを用いて解析してはおりますが、一つ問題があります。
　ある種のマルウェアは、バーチャル環境であるのを検出し、活動を停止したり・またひっそりと隠蔽工作を行います。

　ニュース記事より関連記事を幾つか紹介しましょうか。
　「悪質プログラムは仮想マシンを回避する」，商用ツールを利用するケースも（日経IT Pro）

　ラックの先端技術開発部部長、新井悠氏は2006年にハニーポットを利用して、ウイルス対策ソフトウェアで検知可能なボット検体を6378個収集した。しかし、いざ仮想環境で動作させてみると「3割近くが異常終了し、2割が10秒以内に活動停止してしまった」という。
　プロが語るボットネット対策の特効薬は「情報共有」（20070429, ITmedia）

　ウイルス対策ソフトに検出されないための“工夫”も凝らす。その一つが，ボット本体をいきなり感染させるのではなく，まずはダウンローダ（別のプログラムをダウンロードして実行するプログラム）をユーザーのマシン上で実行させて，その後にボット本体をインストールさせる。ダウンローダ自体の機能は悪質なものではないので，対策ソフトで検出できない場合があるという。
　多くの場合ハニーポットでは，仮想マシン上で動作させたゲストOSにボットを感染させる。そこで“ハニーポット回避機能”を持つボットは，自分が感染した環境を調べ，ゲストOSだった場合には自分自身を消去するという。
　「ボットネットは“目立たない”ように工夫を凝らす」---IIJの齋藤氏（2006年11月16日, 日経IT Pro）

　具体的な例としては、自分のブログの 不審なアンチスパイウェアソフトと、ZlobとCodec（コーデック）の関係（2006年4月8日, Semplice）でしょうか。
　これはVirtual PC環境下では活動せず、実機でなければ検証作業が行えませんでした。また実機であってもネットワークに接続していない環境であると、「正常」な動作は行われず。
　世界規模で数十万・もしくはそれ以上の被害者が生じていたものの、大手ウイルスソフトメーカーの対応が極めて不十分だった事例であります。

　コーデック系トラップは日本国内では相応の被害者が生じていたにも関わらず、大手メーカーの対応も遅れ、またユーザーコミュニティにおいても情報交換が積極的に行われず。
　あえてここで書くべきではありませんが。検体をスキャンしてもスルーした製品のメーカーの広報担当者が、ニュースポータルにて偉そうに説教を垂れてたのに反感を感じ、直メルを送信したりしましたが。
　木で鼻をくくった返信なのでがっかりしました。