「CSS／MWS 2015」に向けた3000件のマルウエア解析から得られた発見とは？：セキュリティ業界、1440度（15）

FFRIはここ数年、「CSS／MWS 2015」（コンピュータセキュリティシンポジウム／マルウェア対策研究人材育成ワークショップ）にさまざまな形で関わってきました。その一つが、実際のマルウエア解析結果を基にした研究用データセットの提供です。今年用のデータセットを精査する中で面白い発見があったので、ご紹介しましょう。

[株式会社FFRI，＠IT]

連載目次

ご存じですか？ CSS／MWS

　2015年10月21日から23日にかけて長崎新聞文化ホールで「CSS／MWS 2015」（コンピュータセキュリティシンポジウム／マルウェア対策研究人材育成ワークショップ）が開催されます。

　CSSは、情報処理学会のコンピュータセキュリティ研究会（CSEC）が主催するシンポジウムであり、毎年、コンピュータセキュリティに関するさまざまな分野の研究発表が行われます。そのCSSで、ワークショップという形で合同開催されるのがMWSであり、こちらはセキュリティ技術の中でも特にマルウエア解析に関する内容が取り扱われます。

　FFRIは2013年から、実行委員・プログラム委員としての参画、研究用データセットの提供、研究発表の実施など、さまざまな形でMWSに関わってきました。詳細については下記のブログ記事をご覧ください。

【2013年】

2013-10-23 MWSレポート １日目

http://www.ffri.jp/blog/2013/10/2013-10-23.htm

MWSレポート 2 日目 MWS Cup のプレゼンと表彰式- 2013-10-24

http://www.ffri.jp/blog/2013/10/2013-10-24.htm

2013-10-25 MWSレポート 3日目 FFRIも研究発表いたしました

http://www.ffri.jp/blog/2013/10/2013-10-25.htm

【2014年】

2014-10-30 CSS／MWS2014レポート

http://www.ffri.jp/blog/2014/10/2014-10-30-1.htm

　今年も既に研究用データセットである「FFRI Dataset 2015」の提供を開始しており、夏の論文投稿締切に向けて社内でも数名のエンジニアが研究に取り組んでいます。

　また、研究用データセットの提供に当たってデータの精査をしていたところ、多少面白い発見がありました。その内容は先日、リサーチペーパーとして弊社のWebサイトで公開しています。

【関連リンク】

Malware armed with PowerShell

http://www.ffri.jp/research/research_papers.htm

2015年5月に開催されたMWS2015意見交換会の様子（提供：MWS組織委員会）

今年用のデータセットで見つかった面白い発見

　本稿では、上記のリサーチペーパーについて簡単に紹介したいと思います。

　研究用データセットの中身は、毎年1月から4月に弊社で独自に収集したマルウエアの中から無作為に3000件を抽出し、「Cuckoo Sandbox」と呼ばれる動的解析の仕組みにより解析を行ったログファイル群となっています。3000件それぞれのマルウエアについて、実際にマルウエアを専用のPC上で実行・感染させ、その際に発生した振る舞いやシステムへの影響などの情報をまとめたものと考えていただければと思います。

　今回このデータを作成後に眺めていたところ、例年にないデータがいくつか確認されました。具体的には、マルウエアによるWindows PowerShellを利用した悪意の振る舞いです。

　Windows PowerShellは、2006年にリリースされたWindows向けの新世代シェルおよびスクリプティング環境になります。従来、Windows上でのさまざまなシステム管理やバッチ処理などは、コマンドプロンプト上のDOSコマンドやバッチファイル、WSH（Windows Script Host）が利用されていましたが、利便性やセキュリティなどの観点から課題がありました。PowerShellはこれらの課題を解決し、従来の仕組みを置き換えるものとして提供されたものです。Windows 7以降ではOSに標準同梱されており、主にシステム管理者やソフトウエア開発者によって利用されています。

【関連記事】

PowerShellの基本（前編）

http://www.atmarkit.co.jp/ait/articles/0708/30/news137.html

PowerShellスクリプティングの第一歩（後編）

http://www.atmarkit.co.jp/ait/articles/0709/20/news125.html

　別の言い方をすれば、OS標準のスクリプティング言語および実行環境の一種ですので、マルウエアがPowerShellを悪用するという発想自体はこれまで同様で、何ら新しいものではありません。ただし、この2年ほど、実際のサイバー攻撃でマルウエアやハッカーがPowerShellを悪用する事例が複数報告されており、今年のデータセット内でこうした痕跡が確認されたことは、時間軸の面で関連性があるのでは、と興味深く感じました。

　リサーチペーパー中でも紹介していますが、サイバー攻撃におけるPowerShellの具体的な悪用事例としては下記の二つが存在します。

　一点目は、米FireEyeの子会社でありインシデントレスポンスなどのセキュリティサービスを提供している米Mandiantの研究者が昨年のBlackHat USAで発表したものです。内容としては、PowerShellを利用し、侵害されたシステムを調査する手段についてまとめたものになっています。

　二点目は、米CrowdStrike社の研究者がRSA Conference 2015で発表したものであり、内容としては実際のサイバー攻撃において確認されたPowerShellなどを利用した攻撃手法についての事例報告です。

【関連リンク】

Investigating PowerShell Attacks

https://www.blackhat.com/docs/us-14/materials/us-14-Kazanciyan-Investigating-Powershell-Attacks.pdf

HACKING EXPOSED: BEYOND THE MALWARE

https://www.rsaconference.com/writable/presentations/file_upload/exp-t10_hacking-exposed-beyond-the-malware.pdf

　今回公開したわれわれのリサーチペーパーでは、FFRI Datasetの中で確認されたPowerShellを悪用するマルウエアについて、具体的に確認された振る舞いを抽出し、紹介しています。結果的に言えば、振る舞いの目的は従来と何ら変わりはなく、その方法としてPowerShellを利用しているという意味で異なるだけのものでした。

　ただし、これは検知・防御の観点から見るとPowerShellスクリプト自体をチェックするか、PowerShellスクリプトを実際に実行するPowerShell.exeの振る舞いをチェックする必要があるということを意味し、従来のマルウエアの振る舞いをチェックするだけでは検知・防御できないことになります（PowerShell.exeはOS標準の正常アプリケーション）。

　こうしたマルウエアの変化を日々調査・分析し、その時点での脅威に対抗する防御機構を実現することはもちろん、将来的な攻撃のバリエーションを見据えて、より普遍的・汎用的な防御機構を実現することが非常に重要だと感じています。

「セキュリティ業界、1440度」バックナンバー

• 初のiPhone個人Jailbreaker、ホッツ氏が語る「OSSによる自動車の自動運転化」――CODE BLUE 2017レポート
• 20年以上前のネットワーク規格が自動車や人命をセキュリティリスクにさらす
• 日本初の自動車セキュリティハッカソンも――「escar Asia 2016」レポート
• 「車載セキュリティ」研究の最前線――「2016年 暗号と情報セキュリティシンポジウム（SCIS2016）」レポート
• 著名バグハンターが明かした「脆弱性の見つけ方」――「CODE BLUE 2015」リポート
• クルマのハッキング対策カンファレンス「escar Asia 2015」リポート
• 「CSS／MWS 2015」に向けた3000件のマルウエア解析から得られた発見とは？
• エンジニアよ、一次情報の発信者たれ――Black Hat Asia 2015リポート
• 自動車、ホームルーター、チケット発券機――脅威からどう守る？
• 高度なマルウェアを解析するには“触診”が一番？ 「PacSec 2014」リポート
• マルウェア捕獲後、フリーズドライに？「Black Hat Europe 2014」に参加してきた
• セキュリティ・キャンプ卒業後に何をしたいか、してほしいか
• 講師も悩む――セキュリティ・キャンプ「選考」のやり方
• Hide and seek――Citadelの解析から見る近年のマルウェア動向
• 自動車の守り方を考える「escar Asia 2014」レポート
• CODE BLUE――日本発のサイバーセキュリティカンファレンスの価値
• 自動車もサイバー攻撃の対象に？「Automotive World 2014」レポート
• 機械学習時代がやってくる――いいソフトウェアとマルウェアの違いは？
• 沖縄の地でセキュリティを学ぶ「セキュリティ・ミニキャンプ in 沖縄」レポート
• PacSec 2013 レポート 2日目〜Chromeの守り方、マルウェアの見つけ方
• PacSec 2013 レポート 1日目〜任意のコードをBIOSに

株式会社FFRI

FFRIは日本においてトップレベルのセキュリティリサーチチームを作り、IT社会に貢献すべく2007年に設立。日々進化しているサイバー攻撃技術を独自の視点で分析し、日本国内で対策技術の研究開発に取り組んでいる。その研究内容は国際的なセキュリティカンファレンスで継続的に発表し、海外でも高い評価を受けており、これらの研究から得た知見やノウハウを製品やサービスとして提供している。