HOME ≫ ＦＦＲＩセキュリティ BLOG ≫ 2012年 ≫ 2012年8月 ≫ Black Hat 技術報告後編

Black Hat 技術報告後編

技術戦略室の大居です。

技術報告の最終回となる今回は、その他注目したトレンドや動きについて簡単に紹介しましょう。

Android 関連においては、Google が Android 用のマーケット "Google Play" において導入しているマルウェア排除のための仕組み "Bouncer"を解析し、それを回避するための技法について解説するセッション [1] がありました。Android 研究を行なってきた私にとってもBouncer は興味深いセキュリティ検証の仕組みでしたし、ある程度の仕組みの当たりはつけてきました。

ただ今回の発表を見る限りでは、Bouncer の仕組みは簡単に言えば予想通り、部分的には、予想未満のことしか行なっていないようです。
Bouncer の動的解析部分は、実際に外部へのネットワークアクセスを行います。
発表者である Percoco 氏はそれをキャッチすることで、Bouncer からのアクセスが Google のネットワーク内から来ていることを突き止めました。また実際には Bouncer がエミュレータであるにも関わらず、あたかも実機 (T-Mobile myTouch 3G) であるかのように偽装しているようです。

さらに、"Google の IP で動作している場合は悪意あるコードを実行せず、それ以外の場合は悪意あるコードを実行する"ようにしたアプリケーションを作成、送信したところ、実用的な (テスト専用の) モバイルボットネットソフトウェアをBouncer を掻い潜った上で Google Play 上に配置することに成功したそうです。

そして最後のアップデートでわざと Bouncer の網にかかるよう IP ブロックを解除した場合も解説されました。
Bouncer が行うスキャンのパターンを分析した結果、Bouncer はスキャンにわずか 30 秒程度しかかけていないようです。最終的にアプリケーションは削除されたものの、この悪意あるバージョンは削除が行われるまでのおよそ 24 時間ものあいだ Google Play に残り続けました。

このような結果は、"Bouncer" の有効性に疑問を投げかけます。
少なくとも攻撃者が Bouncer を識別することができ、なおかつ Bouncer を回避できることが分かった以上、Android におけるマルウェアとの戦いはまだまだ続くことになりそうです。

最後に紹介するセッションは、マルウェアにおけるアンチデバッグ、アンチ逆アセンブル、アンチ仮想化などの使用を統計的に分析したことを紹介するセッション [2] です。
このセッションで解説された内容はある意味驚くべきものでした。

静的解析と動的解析を併用することによって 400 万種類以上にも及ぶマルウェアのシグネチャや挙動を調べ、アンチデバッグ、アンチ逆アセンブルや難読化、アンチ仮想化機能の有無を調べあげたというのですから。

複数のコンピュータ (合計で 72 コア、100GB メモリ) による大規模な自動解析で、ついに大規模な自動解析 (ないし分析) もこのレベルまできたか、と感じました。
データ自体はかなり大規模なもので、結果も、ある意味では興味深いものでした。幾つかを示してみましょう。

例えばパッカー (プログラムを圧縮、暗号化してアンチウイルスソフトウェアによる検出を逃れる) の使用については、全体としては比較的低い (34.79%) ものの、これがブラジル (発表者の国) の銀行を対象とした金銭目的のマルウェアの場合 50.49% と大幅に増加する傾向が見られます。

パッカーに比べるとリバースエンジニアリングを防止するテクニックの使用は多く、88.96% にのぼりました。
数字を並べるだけではあまりピンとはきませんが、このようなデータを蓄積することで、マルウェア解析を行う研究者が効率的に解析 (手動/自動) を行う手助けになれば、とのことでした。
分析を進めていけば、さらなる発見があるかもしれません。

このように、Black Hat USA においてはセキュリティ研究の最先端な技術的内容について触れることができます。

今回私は参加しなかったのですが、セキュリティと政治的な話題を取り扱う "BIG PICTURE" のようなトラックもあるため、情報セキュリティの最新、かつ最先端の知識を取り入れる場としての Black Hat USA は最高の環境と言えるでしょう。

以上、Black Hat で注目したトレンドの技術報告でした。