脅威の研究

CyberCapture を支えている技術に関する詳細な解説

Ondřej Vlček, 2016年11月17日

アバストの CTO 兼 上級副社長を務める Ondrej Vlcek が全アバスト製品で使用されている CyberCapture の高度なマルウェア検出方法についてご説明します。

CyberCapture はアバスト セキュリティ製品に必要不可欠なコンポーネントで、作動を高速化して、ゼロ秒攻撃に対するユーザーの保護レベルを高めます。この記事では、CyberCapture を支えているエンジニアリングについて深く掘り下げ、機能に技術的整合性をもたらしているコンポーネントについて説明したいと思います。

一言で言うと、CyberCapture はクラウド型のスマート ファイルスキャナです。CyberCapture は、即時分析を行うために、アバスト脅威研究所との双方向通信チャンネルを自動的に確立し、分析が完了するまで、ユーザーの PC にある不審なファイルの安全性を確認します。ファイルが隔離されると、マルウェア制作者がマルウェアの本性を隠すために使用する偽コードやミスディレクション、難読化などをアバストのチームがすべて除去します。この除去により、CyberCapture は悪意あるファイルを細かく分析し、マルウェア内のバイナリ レベルの命令を検査して、その裏に隠された真の目的を明らかにします。

ゼロ秒攻撃に対する保護機能の内部ではどのような処理が行われているのでしょうか?

悪意のある可能性のあるファイルを調べる際には、難読化コードの層を取り除いてから、オブジェクト内にあるバイナリ レベルの命令を検査します。次に、動作解析や様々な類似性チェックなど、多数の分析技術を用いてファイルを分析します。

類似性チェックは、仮想環境でファイルを実行し、レジストリ アクセス、ファイル操作、メモリ操作など様々なコンポーネントをモニタリングしながら行われます。検出される動作パターンの一例を挙げると、「レジストリに書き込んで持続性を実現し、自身を C:\Windows に保存する」というようなもので、弊社はこれを使用してドロップされたファイルをスキャンし、それからメモリ ブロックを作成します。以前は、この種の検出は主にアバスト クライアント内の DeepScreen モジュールの一部として実行されていました。しかし、このアプローチでは常に最適な結果が得られるとは限りませんでした。その主な理由は、DeepScreen があらゆるシステム構成で動作するために必要となる仮想化レイヤーを作成できなかったことと、DeepScreen で処理されたサンプルが真の悪意ある動作を示すために与えられる時間が、概して不十分だったことです。

CyberCapture は悪意あるファイルをどうやって識別しますか?

数年前、弊社のチームはある技術を開発し、私たちはそれを「MDE」と命名しました。基本的に、MDE は索引付けされたデータと共に使用される大きなメモリ内データベースで、これにより弊社のチームは類似性チェックとクラスタリング クエリを高速で実行できます。MDE のカスタム ディスタンス機能は 2 つのファイル間の類似性の算出に役立つもので、悪意あるファイルの識別に関して特に効果的に機能するよう工夫して開発されました。CyberCapture の最新バージョンも、MDE の背後にある優れた機能に大きく依存していることに変わりはありません。さらに、弊社では先日、MDE の第 2 バージョンをリリースしました。このバージョンはより多くの機能を備えており、ベクトルの精度が向上しました。また非常に重要な点として、CyberCapture の類似性照合は弊社のクラウド内で実行されるため、データベースの最新バージョンにアクセスできます。

CyberCapture が新しい悪意あるファイルに対する最高水準の保護を提供する上で役立つ 2 つ目の技術は、Evo-Gen です。Evo-Gen の基幹的技術は、アバスト脅威研究所により開発された遺伝的アルゴリズムで、多数のマルウェア サンプルの短い一般的記述がどこにあるか効率的に見つけ、明らかにします。Evo-Gen は、弊社のチームが数百万 (そして時には数千万) のファイルを一度に分析する際に、特に必要不可欠なツールです。このアルゴリズムを使用することで、様々なウイルス セットにランダムにちりばめられている悪意あるファイルを特定できます。また、Evo-Gen は CyberCapture プロジェクトの成果の一部として追加された一連の顕著な機能改善からも恩恵を受けています。

ファイルの動作解析は、アバスト 2014 に搭載された弊社独自の NG テクノロジーに基づいた仮想コンテナ内で実行されます。NG はアバストにとって重要なプロジェクトでした。その理由は、必ずしもそれ自体により検出率が改善されたからではなく、弊社がマルウェアの動作研究に一層注力し、現在 CyberCapture の構築基盤となっている豊かなデータベースを徐々に創り上げることがこのプロジェクトによって可能になったからです。CyberCapture を用いて得られたサンプルを、管理された「クリーンルーム」環境で十分に時間をかけて実行できるという利点は極めて大きく、犯罪者たちがこれに対抗するのは困難を極めます。

最後に、忘れてはならないことは、一般化された定義が、マルウェアを検出する方法の中で一定の役割を果たし続けるということです。定義はオフラインでの保護を提供し、ホワイトリストによりクラウド システムの負荷を大幅に軽減します。また、定義は動作解析、メモリ スキャン、クラスタリングおよびメタデータの抽出 (これに関しては下記に詳細あり) をサポートします。さらに、定義はブロードバンド インターネット接続へのアクセスが制限された特定の場所において非常に貴重なものになります。このような場所では、インターネット接続の信頼性が低いため、プログラムはほとんどの場合、リムーバブル メディア経由で配布されているためです。

CyberCapture の新しい MDE バージョンの特長

MDE、Evo-Gen、および動作解析技術の改善に加えて、弊社のチームは「Simzilla」と呼ばれる新しいシステムを導入しました。このシステムでは、カスタム類似性ベクトルを用いて、これまでとは異なるアプローチでバイナリ類似性を処理します。簡単に説明すると、Simzillaを利用することにより、近隣のファイルまでの距離を計算し、それがクリーンなファイルと悪意のあるファイルのどちらに分類されるかを判断することができます。類似性チェックの利用に加えて、悪意のある動作とコンテンツに関する動作解析の出力を比較して検査する処理も継続して行います。

さらに、CyberCapture の最新バージョンには新しい便利なリアルタイム クラスタリングと分類アルゴリズムも搭載されるため、より正確なクラスターを作成して特定のパラメータを網羅する能力が高まります。このアルゴリズムは類似性チェックでもありますが、特に優れた特長は、機械学習に依存する点です。複数のシステムからの機能を組み合わせることにより、このアルゴリズムを用いて悪意のあるサンプルから有益な動作情報を収集し、新種のサンプルのグループとそのサブタイプに対処することが可能になります。これは、サンプルの寿命が非常に短い場合、特に重要です。

CyberCapture の継続的な開発は、サイバーセキュリティ分野における重要な技術革新であり、弊社はその最新かつ最も優れたアップデートを皆様に提供できることを誇りに思います。次の記事では、CyberCapture および関連技術を一層強力なものにする上で AVG の技術がどのように役立つかについて詳しくお伝えします。