サイバーニュース.jp

世界のサイバーなニュースを配信

攻撃者が不正なZIPアーカイブを使用してアンチウイルスとEDRツールを回避

カテゴリ:

概要

サイバーセキュリティ研究者のCERT協調センター(CERT/CC)は、攻撃者が不正なZIPアーカイブを使用してアンチウイルス(AV)とエンドポイント検出および対応(EDR)ツールを回避する新たな回避技術について警告を発表しました。

回避技術の仕組み

標準のZIPアーカイブには、バージョン情報、フラグ、およびファイルを圧縮する際に使用された特定の圧縮方法などの重要なメタデータが含まれています。アンチウイルスエンジンとEDRソリューションは、これらのアーカイブのメタデータを頼りに、ファイルをスキャンする前にどのように事前処理し、検査するかを理解しようとします。

攻撃者は、意図的にヘッダー内の圧縮方法フィールドを変更することで、アンチウイルスソフトウェアがアーカイブを適切に展開できないようにします。これにより、セキュリティツールはアーカイブ内の実際のペイロードを分析することができなくなります。

攻撃の手口

攻撃者は、カスタムのマルウェアローダーを使用して、この障害を回避します。これらの専門のローダーは、改ざんされた圧縮方法フィールドを完全に無視し、埋め込まれた悪意のあるデータを直接抽出し、展開します。これにより、攻撃者はプログラム的にコードを実行することができますが、従来のAVエンジンから見えなくなります。

影響と対策

CERTによると、この脆弱性はセキュリティ研究者のChristopher Azizによって報告され、過去のアーカイブ操作技術、例えばCVE-2004-0935と類似しています。

現在、ネットワーキング大手のCiscoが影響を受けています。他の主要なセキュリティベンダー、AhnLab、Avast、Bitdefender、およびAviraも、この特定の技術に対する脆弱性の有無について「不明」というステータスが付与されています。

防御策

組織とセキュリティベンダーは、この回避手法に対する防御策として、アーカイブ処理プロセスを更新する必要があります。

  • セキュリティベンダーは、アーカイブのメタデータに頼るのではなく、ファイルの内容をスキャンおよび処理する方法を決定するためのより積極的な検出モードを実装する。
  • セキュリティツールは、メタデータの不整合をフラグにし、これらのファイルをより深いヘビーアイデンティフィケーション(ヘビーヒューリスティック)検査に自動的に送信する。
  • 組織は、現在のソフトウェアバージョンが不正なZIPヘッダーに対して脆弱であるかどうかを確認し、修正パッチを要求する。

これらの対策を講じることで、組織はこの新たな回避手法から保護することができます。

元記事: https://gbhackers.com/malformed-zip-evade-antivirus-and-edr-tools/

投稿をさらに読み込む