• ふるまいベースの検知は、カスペルスキーの次世代技術を用いた多層保護アプローチの一部であり、ファイルレスマルウェア, ランサムウェア 、ゼロデイマルウェアのような高度な脅威に対する最も有効な防御方法の1つです。

    カスペルスキーの新しいThreat Behavior Engineは、以下の保護機能で構成されています。
    • ふるまい検知
    • 脆弱性攻撃ブロック(Automatic Exploit Prevention:AEP)
    • ロールバックコンポーネント
    • アンチロッカー

    現実的には、脅威の実行者は悪意のあるコードを難読化して、セキュリティ製品内の静的検知や、セキュリティ製品によるエミュレーションを回避しています。たとえば、作成したばかりの ランサムウェア コ-ドは、多くの場合、アンチエミュレーション機能を搭載したカスタムメイドのパッカーによって圧縮されています。ファイルの実行前には、オンデマンドスキャンやオンアクセススキャンで、巧妙に作られたサンプルをスキャンしようとしても、検知は成功せず、脅威実行者のタスクは実行されてしまいます。

    ただし、実行段階になると、Threat Behavior Engineが実際のプロセスアクティビティをリアルタイムで分析し、その悪意のある性質を明らかにします。その後は、アラームにフラグを設定し、プロセスを終了して、変更のロールバックを実行するだけで対応可能です。

    圧縮されたランサムウェアに関連した前述の例では、サンプルは以下のことを実行しようとしました。

    • 攻撃対象のシステム上の重要なファイルの探索
    • 重要なファイルの暗号化
    • 元のファイルの削除
    • シャドウコピーの削除

    こういったアクティビティの情報があれば、パッカーやアンチエミュレーションの技法が使用されていても検知は十分に可能です。ふるまいヒューリスティックモデルと 機械学習, ベースモデルを搭載したThreat Behavior Engineを実行することで、静的回避技法やサンプルのふるまいの変異の影響を受けなくなります。

    ふるまいをもとにした判定は、悪意のあるアクティビティをできる限り迅速に検知するうえで重要であり、適切なロールバックメカニズムと組み合わせれば、エンドユーザーのデータ損失を防止できます。ロールバックは、ファイル、レジストリキー、タスクなど、さまざまなオブジェクトを保護します。

    前述のサンプルの話に戻ります。ランサムウェアが実際に悪意のあるアクティビティを実行する前に、レジストリなどを経由して自身を自動実行に追加するとします。検知の後で、 ロールバック メカニズムはふるまいの一連の流れを分析し、ユーザーのデータを復元するだけではなく、作成されたレジストリキーも削除します。

    ふるまいベースの検知技術がファイルレスマルウェア. のような脅威を防御する唯一の手段となる場合、これは大きな強みと言えます。たとえば、インターネットサーフィン中にユーザーがドライブバイベース攻撃の標的にされたとします。エクスプロイト後に、悪意のあるコードがWebブラウザーのコンテキストで実行されます。悪意のあるコードの主な目的は、レジストリやWMIサブスクリプションを使用して、最終的に静的スキャンの対象とならないことです。しかし、Behaviour DetectionコンポーネントはWebブラウザーのスレッドのふるまいを分析し、検知のフラグを設定して、悪意のあるアクティビティをブロックします。

    Behavioural Engineコンポーネントは、ふるまいヒューリスティック記録の他に 機械学習 も活用して、未知の悪意のあるパターンを検知します。機械学習モデルには、さまざまなソースから収集されたシステムイベントが提供されます。機械学習モデルは、処理の後に、分析したパターンが悪意のあるものかどうかを判定します。たとえ悪意があると判定されなくても、機械学習モデルが生成した結果はふるまいヒューリスティックで使用されるため、検知のフラグ設定も可能になります。

    Behavior Detectionコンポーネントは メモリ保護 メカニズムを実装します。lsass.exe のようなシステムの重要なプロセスを保護し、 mimikatz を利用してユーザーの認証情報の漏洩を防止します。

関連製品

US 9588848 B2

変更されたデータを復元するシステムおよび方法

詳しくはこちら

US 7472420 B1

未知のマルウェアコンポーネントの検知方法とシステム

詳しくはこちら

US 8042186 B1

複雑なマルウェアの検知システムおよび方法

詳しくはこちら

WhitePaper

カスペルスキーシステムウォッチャーで未知の脅威を防御

詳しくはこちら

ゼロデイエクスプロイトを利用したBlackOasis APTと新しい標的型攻撃

詳しくはこちら

巧妙化した手口:PCやサーバー上でランサムウェアを駆除

詳しくはこちら

RSAC 2017

ロシア語を話す人々で構成されたランサムウェアエコシステムの詳細な検証

詳しくはこちら

SAS 2017

標的型攻撃におけるランサムウェア

Watch video

評価(関連テストレポート)

  • AV-Comparativesが2017年2月~6月に全製品に対して実施したWhole Product Dynamic Real-World Proteciton Test

  • SELabsが2017年7月~9月に実施した企業向けエンドポイント保護に関するテスト

  • 2016年AV-Testベストプロテクション賞受賞(KES)

  • 2016年AV-Testベストプロテクション賞受賞(KSOS)

  • MRG Effitas 360認定プログラム

関連テクノロジー