ソフォス、ファイルレス マルウェアの DNA を解読

23。 月2021
| コメントはありません
ソフォス、ファイルレス マルウェアの DNA を解読

投稿を共有する

ソフォスは、ファイルレス マルウェアの DNA を解読し、新しい保護技術を導入します。 Dynamic Shellcode Protection は、ランサムウェアやリモート アクセス エージェントなどの一時ストレージで実行されているマルウェアを検出し、保護プログラムをバイパスする一般的なハッキング手法をブロックします。

ソフォスは、マルウェアが影響を受けるコンピュータの一時メモリにファイルなしで自分自身をロードするサイバー攻撃に対する新しい保護を提供します。 Dynamic Shellcode Protection は Sophos Intercept X に組み込まれており、攻撃コードがメモリの動的ヒープ領域にネストするのを防ぐことができます。

メモリ: マルウェアの人気の隠れ場所

ハッキングされたコンピューターのメモリ領域は、通常、セキュリティ スキャンがメモリをカバーしないため、マルウェアの隠れ場所として人気があります。 その結果、マルウェアが検出されてブロックされる可能性が低くなります。 この方法でアクティブ化を試みるマルウェアの種類には、ランサムウェアやリモート アクセス エージェントが含まれます。 後者は差し迫った攻撃の基礎を形成することが多く、発見とブロックが早ければ早いほど効果的です。 Dynamic Shellcode Protection により、ソフォスの研究者は、そのようなファイルレス マルウェアをその動作に基づいて防御する方法を発見しました。 問題の核心は、特定のタイプのコードやその目的に関係なく、これらの特定の攻撃コードがメモリ内で共通の動作を示すという発見です。 ソフォスの研究者は、ブログ投稿「Covert Code Faces a Heap of Trouble in Memory」で、その発見について詳しく説明しています。.

Sophos Dynamic Shellcode Protection の仕組み

通常、実行権限を持つアプリケーションのコードはメモリにロードされます。 さらに、アプリは通常、データのアンパックや保存などのために、追加の一時的なメモリ内ワークスペースを必要とします。 この可変ワークスペースは「ヒープ」メモリと呼ばれます。 ほとんどのサイバー攻撃では、リモート アクセス エージェントのローダーが直接ヒープに挿入されます。 これにより、Remote Access Agent のニーズを満たすために、ヒープからより多くの実行可能メモリを取得する必要があります。 これは、「ヒープ-ヒープ」メモリ割り当て動作と呼ばれます。 ソフォスのセキュリティ スペシャリストは、このような動作を潜在的に疑わしいアクティビティの明確な指標として特定し、Dynamic Shellcode Protection を開発しました。これは、あるヒープ メモリから別のヒープ メモリへの実行権限をブロックする保護です。

メモリ内のマルウェアは検出されないことが多い

「悪意のあるコードは常に検出を​​回避しようとします。たとえば、クローキングされてメモリに直接パッケージ化されます。 このようなコードは、抽出されたとしても、セキュリティ ツールによって認識されないことがよくあります。 ソフォスのフォレンジックおよびセキュリティ研究者は、ヒープ間のメモリ割り当てが多段階のリモート アクセス エージェントやその他の攻撃コードの非常に典型的なアクションであることを認識しています」と、ソフォスのエンジニアリング ディレクターである Mark Loman は述べています。 「主な目標は、攻撃者が個々のコンピューターまたはネットワーク全体を侵害するのを防ぐことです。 そのため、資格情報へのアクセス、権利のエスカレーション、ネットワーク内の水平移動、情報の収集、共有、吸い上げなどを防ぐために、マルウェアを非常に早期に検出する必要があります。 Dynamic Shellcode Protection により、これらの要件をより効果的に正確に満たすことができるようになりました。」

 

詳細については、Sophos.com をご覧ください。

 

ソフォスについて

ソフォスは、100 か国の 150 億人を超えるユーザーから信頼されています。 複雑な IT の脅威とデータ損失に対する最高の保護を提供します。 当社の包括的なセキュリティ ソリューションは、導入、使用、管理が簡単です。 業界で最も低い総所有コストを提供します。 ソフォスは、受賞歴のある暗号化ソリューション、エンドポイント、ネットワーク、モバイル デバイス、電子メール、および Web 向けのセキュリティ ソリューションを提供しています。 また、独自の分析センターのグローバル ネットワークである SophosLabs からのサポートもあります。 ソフォスの本社は、米国のボストンと英国のオックスフォードにあります。

 

トピックに関連する記事

5G環境を保護するサイバーセキュリティプラットフォーム

サイバーセキュリティの専門家であるトレンドマイクロが、組織の拡大し続ける攻撃対象領域を保護するためのプラットフォームベースのアプローチを発表しました。 ➡続きを読む

データ操作、過小評価されている危険性

毎年 31 月 XNUMX 日の世界バックアップの日は、最新の簡単にアクセスできるバックアップの重要性を思い出させるものです。 ➡続きを読む

セキュリティリスクとしてのプリンター

企業のプリンター群はますます盲点になりつつあり、その効率性とセキュリティーに関して大きな問題を引き起こしています。 ➡続きを読む

AI 法とそのデータ保護への影響

AI 法により、AI に関する最初の法律が承認され、AI アプリケーションのメーカーに 6 か月から 6 か月の猶予期間が与えられました。 ➡続きを読む

Google Workspace 経由の MDR と XDR

カフェ、空港ターミナル、ホームオフィスなど、従業員はさまざまな場所で働いています。ただし、この開発には課題も伴います ➡続きを読む

Windows オペレーティング システム: 約 200 万台のコンピュータが危険にさらされています

Windows 7 および 8 オペレーティング システムのアップデートはもうありません。これは、セキュリティ上のギャップが開いていることを意味するため、価値があり、 ➡続きを読む

エンタープライズ ストレージ上の AI がランサムウェアとリアルタイムで戦う

NetApp は、ランサムウェアと戦うために人工知能 (AI) と機械学習 (ML) をプライマリ ストレージに直接統合した最初の企業の 1 つです ➡続きを読む

ゼロトラスト データ セキュリティのための DSPM 製品スイート

データ セキュリティ体制管理 (略して DSPM) は、企業が多数のデータに対するサイバー回復力を確保するために不可欠です。 ➡続きを読む

広報メッセージ, ソフォス
, , , ,