HOME ≫ ＦＦＲＩセキュリティ BLOG ≫ 2020年 ≫ 2020年11月 ≫ FFRI yarai がCVE-2020-0674 脆弱性を起点とする複合的な攻撃を検出

FFRI yarai がCVE-2020-0674 脆弱性を起点とする複合的な攻撃を検出

【マルウェア概要】

2020年11月現在、Microsoft Internet Explorerの脆弱性を利用したマルウェア「Purple Fox」の検出を国内で観測しています。
今回観測された攻撃の流れは下記のとおりで、FFRI yaraiの搭載する５つの防御エンジンによる多角的なアプローチで、複数のポイントで攻撃を検出していることを確認しています。

FFRI yaraiが多角的に複数のポイントで攻撃を検出している

Purple Foxが利用する脆弱性は Microsoft Internet Explorer の脆弱性 CVE-2020-0674です。FFRI yaraiは、この脆弱性を悪用する挙動をZDPエンジンで検出します。さらに、脆弱性攻撃後の侵入される過程で行われるファイルレス攻撃についてもHIPSエンジンが複数検出することを確認しました。
また、Purple Foxはコマンドライン実行が成功すると下記ドメインと通信し、DLLマルウェアをダウンロードします。

rawcdn[.]githack[.]cyou
ダウンロードされたDLLマルウェアについても、Static分析エンジンによる検出を確認しました。
以上のように、FFRI yaraiはPurple Foxの感染における各段階で攻撃を検出しており、侵入の段階で検出・防御が可能です。

【被害に遭わないための対策】

Purple Foxの感染は、脆弱性攻撃のために細工されたウェブページにアクセスすることで始まります。利用されるMicrosoft Internet Explorer の脆弱性CVE-2020-0674は修正済みであるため、Microsoft Internet Explorerを最新のバージョンへアップデートすることで感染を防ぐことが可能となります。

また最近では、国内でもランサムウェアによるデータ破壊や、テレワーク環境を狙ったサイバー攻撃が多発しています。こうしたマルウェアの攻撃から身を守るために、
1. UAC（ユーザーアカウント制御）を有効にして信頼できるファイル以外を許可しないこと
2. 信頼できるサイト以外から入手したファイルやメールに添付されたファイルは安易に開かないこと
3. 一般的なアンチウイルスソフトのパターンファイルを最新に更新しておくこと
4. 次世代エンドポイントセキュリティのようなパターンファイルに頼らない未知のマルウェアから防御可能なセキュリティ対策を取ることが大切です。

次世代エンドポイントセキュリティFFRI yarai は、パターンファイルに頼らない５つの防御エンジンでプログラムを多角的に分析し、マルウェアの攻撃を検知・防御します。

FFRI yarai は「Purple Fox」による攻撃を、侵入の段階で検知・防御します。

FFRI yaraiは既存のアンチウイルスソフトのようにパターンファイルやシグネチャーを利用する後追い技術ではありません。検査対象のプログラムを多角的なアプローチで分析し、ヒューリスティックと機械学習による「先読み防御」技術を搭載した５つの防御エンジンで、既知・未知のマルウェアや脆弱性攻撃を高精度で防御します。詳細は、「CODE:Fの核となる5つのエンジンによる多層防御とは」をご覧ください。

■検証環境

Windows 7 ✕ FFRI yarai 3.1.0 (2018年 2月リリース) 「Purple Fox」のように、脆弱性CVE-2020-0674を悪用した攻撃はすでに確認されており、被害に遭わないためにも早急な対策が必要と言えます。ＦＦＲＩセキュリティでは今回ご紹介したような新たな脅威に対抗するため、防御エンジンの開発を続けております。

2020-11-20