HOME ≫ ＦＦＲＩセキュリティ BLOG ≫ 2021年 ≫ 2021年6月 ≫ マルウェア「FormBook」 vs. 次世代エンドポイントセキュリティ＋EDR　FFRI yarai

マルウェア「FormBook」 vs. 次世代エンドポイントセキュリティ＋EDR　FFRI yarai

【マルウェア概要】

2021年6月現在、主に情報の窃盗を行うマルウェア「FormBook」による攻撃が増加しており、日本国内に対する攻撃も観測されています。

今回、観測されたマルウェアの流れとFFRI yaraiの検出ポイントは以下の通りです。

FormBookは攻撃コードが実行可能なMicrosoft Officeの脆弱性「CVE-2017-11882」を悪用します。脆弱性「CVE-2017-11882」についてはIPAからも悪用事例の確認と修正プログラムを適用や対策済みのバージョンへのアップデートの実施の呼びかけが行われています。

Microsoft Office の脆弱性(CVE-2017-11882)について

メールに添付されたExcelファイルを開くと脆弱性「CVE-2017-11882」が悪用され、Microsoft Officeが利用する数式エディタ「EQNEDT32.EXE」にて悪意あるコードが実行されます。

実行された悪意あるコードは以下のアドレスと通信し、新たな実行ファイル形式のマルウェアをダウンロード・実行します。

192[.]210[.]173[.]40

【被害に遭わないための対策】

今回のような攻撃から身を守るために、Microsoft Office等を最新に保つこと、一般的なウイルス対策ソフトのパターンファイルを最新に更新しておくこと、そして次世代エンドポイントセキュリティのようなパターンファイルに頼らないセキュリティ対策を取ることが大切です。

【FFRI yaraiによる防御】

FFRI yarai はマルウェア「FormBook」を複数ポイントで多角的に検出・防御します。以下の画像は脆弱性攻撃時の検出画面です。

マルウェアの侵入方法は多様であり、常に変化していきます。上記のような脆弱性攻撃以外の侵入方法により実行ファイル形式のマルウェアがダウンロード・実行された場合であっても、FFRI yaraiは検出・防御します。以下の画像は実行ファイル形式のマルウェアの検出画面です。

FFRI yaraiは既存のアンチウイルスソフトのようにパターンファイルやシグネチャを利用する後追い技術ではありません。検査対象のプログラムを多角的なアプローチで分析し、ヒューリスティックと機械学習による「先読み防御」技術を搭載した５つの防御エンジンで、既知・未知のマルウェアや脆弱性攻撃を高精度で防御します。詳細は、「CODE:Fの核となる5つのエンジンによる多層防御とは」をご覧ください。

■検証環境

Windows 10 ✕ FFRI yarai 3.2.4 (2019年 1月リリース)
「FormBook」のハッシュ値(SHA-256)
・90a74b59e44b4a76b3fceae61d803b866e58af51be0fafd422809d084093d6b2（Excelファイル）
・f4ceea0a1881800f657906368b21c25ebee2c6ac3c7ae210548b1dea0ccd420c（実行ファイル）

「FormBook」マルウェアによる被害に遭わないためにも早急な対策が必要と言えます。ＦＦＲＩセキュリティでは今回ご紹介したような新たな脅威に対抗するため、防御エンジンの開発を続けております。

2021-06-30