Macos Brawte nfaq 0 Comments

サイバー犯罪者は検出を回避するためにBoxedAppを利用する

Table of Contents

サイバー犯罪者は検出を回避するためにBoxedAppを利用する

マルウェアの犯罪者は、検出を回避するために、合法的な商用パッカー アプリを悪用する傾向をますます強めています。

Check Point Research の脅威研究者 Jiří Vinopal 氏は、この傾向は特に過去 12 か月で顕著になり、BoxedApp は最も好まれている製品の 1 つであると述べています。

研究者によると、世界で最も蔓延しているマルウェアの中には、静的解析を回避するためにBoxedAppを悪用しているものもあるという。その大部分はAgent Tesla、AsyncRAT、QuasarRatといったリモートアクセス型トロイの木馬(RAT)だが、LockBitの亜種のようなランサムウェアやRedlineのようなインフォスティーラーが関与するケースもある。

チェック・ポイント・リサーチ提供のVirusTotalに提出された悪質なBoxedAppサンプルの急増を示すグラフ

このグラフは、Check Point Research 提供の VirusTotal に提出された悪意のある BoxedApp サンプルの急増を示しています。クリックして拡大します。

BoxedApp は数年前から存在していましたが、その SDK の悪用は 2023 年 3 月から急増しました。攻撃者にとって BoxedApp はさまざまなメリットをもたらし、Check Point Research はこれらのメリットの多様さがデメリットを上回ると考えています。

BoxedApp が提供する注目すべき機能の中で、特に悪意のある人物の興味を引くものは次のとおりです。

  • 仮想ストレージ

  • 仮想プロセス

  • 仮想レジストリ

アプリケーションセキュリティの専門家であるショーン・ライト氏は次のように述べています。「仮想プロセスにより、マルウェア対策システムやその他のエンドポイント保護システムがBoxedApp SDK経由で実行されるマルウェアを検出することが困難になる可能性があります。これらの製品の多くは、これらのプロセスがシステム上で直接実行されることに依存しており、仮想化プロセスは保護ツールから隠蔽される可能性があります。」

これをより分かりやすく説明すると、仮想マシン内で実行されるプロセスと考えるのが妥当でしょう。ただし、実際にはもう少し複雑なものになるかもしれません。つまり、攻撃者の観点から見ると、これは彼らの主な目的の一つである検出の回避に役立ちます。検出されない時間が長ければ長いほど、アクセスされる可能性のあるデータが増えることになります。

Check Point Researchによると、BoxedAppプログラムは、ウイルス対策ソフトウェアによるスキャンで高い誤検知率を示す傾向がある。報告書によると、単純な「Hello World」プログラムなど、BoxedAppでパックされた悪意のないアプリでさえ、多くのウイルス対策エンジンによって検出されるという。 

Google 所有のマルウェア プラットフォームである VirusTotal に送信された 1,200 件の本当に悪意のあるサンプルを分析したところ、どのベンダーのソリューションがさまざまなペイロードに対して警告を発しているかがわかるようになり、その 25 パーセントが BoxedApp を使用してパックされた際にフラグが立てられたことが判明しました。

  • スノーフレークは、悪意のある者がセキュリティを破壊して主要顧客のデータを盗んだことを否定している
  • サイバー警察、謎のEmotet首謀者に関する情報提供を要請
  • 3年ぶりにノルウェー風のサイバースパイ組織が発覚
  • FlyingYetiのフィッシングチームはウクライナの恐ろしい攻撃を受けて活動停止

しかし、これは見方次第でマイナスにもプラスにも捉えられます。BoxedAppでパッケージ化されたマルウェアは、組織のSOCで警告を発する可能性は十分にありますが、セキュリティチームがBoxedApp SDKを実行するアプリケーションに関するアラートを無効にする可能性があるため、攻撃者の思惑に乗じる可能性もあります。

「組織へのアドバイスとしては、可能な限りBoxedAppアプリの使用を制限することです」とライト氏は述べた。「こうした種類のアプリケーションを使用する必要がある場合は、アプリケーションの署名など​​の制御機能を活用することを検討してください。[Check Point Researchの]レポートが示すように、これは誤検知率の低減にも役立ちます。」

このグラフは、Check Point Research 提供の、VirusTotal に提出された国別の悪質な BoxedApp サンプルを示しています。

このグラフは、Check Point Research 提供の、VirusTotal に提出された国別の悪質な BoxedApp サンプルを示しています。クリックして拡大

VirusTotal の提出内容を詳しく調べたところ、Vinopal は、少数ながら世界中の国々からの報告もあったものの、大多数はトルコ、米国、ドイツからのものであることを発見しました。

「特定された悪意のあるサンプルのほとんどは、金融機関や政府機関に対する攻撃に使用されていました」と研究者はブログに記している。「BoxedApp製品を使用して悪意のあるペイロードをパックすることで、攻撃者は検出率を下げ、分析を強化し、通常であればゼロから開発するには長い時間を要するBoxedApp SDKの高度な機能(例えば仮想ストレージ)を利用することができました。」

The RegisterはBoxedAppにコメントを求めたが、すぐには返答がなかった。

BoxedApp の不正使用をより効果的に検出する方法を探している人のために、Check Point Research はレポートで一連の Yara 署名を提供しており、これはパックされたアプリの詳細とバイナリ ハッシュをすべて抽出しながらパッカーを検出するのに役立ちます。®

Macos

Smart Recommendations

Discover More