マルウェア
メタモーフィック型マルウェア
別称: 自己書き換え型マルウェア, コードモーフィング型マルウェア
定義
拡散のたびに自身のコードを丸ごと書き換え、意味は等価でも構造は異なるバイナリを生成するマルウェア。
メタモーフィック型マルウェアはポリモーフィズムよりさらに進化しており、外側の暗号化層だけでなくペイロード全体を新たな感染ごとに再コンパイル・変形する。エンジンは命令置換、レジスタの名前替え、制御フローのフラット化、コードブロックの並び替え、デッドコード挿入などを行い、二つの検体が同一の挙動を示すにもかかわらず共通バイト列を持たない場合もある。これにより静的シグネチャ検知はほぼ無力化され、動的解析、意味的類似性、ふるまい型 EDR、エミュレーションベースのスキャナに頼らざるを得なくなる。実装が高度なため一般的なマルウェアには稀だが、学術研究、上級ウイルス、一部の標的型ツールキットに見られる。
例
- 研究レベルのメタモーフィック型ウイルス W32/Simile(Etap)。
- Z0mbie によるコード並び替えの初期実装 ZMist(Zmorph)。
関連用語
ポリモーフィック型マルウェア
感染のたびに再暗号化やパッキングによってディスク上の外見を変化させつつ、内部ロジックは保ったままのマルウェア。
ステルス型マルウェア
隠蔽・偽装・解析妨害などの技術を用いて、利用者・セキュリティツール・フォレンジック担当者からの検知を回避するために設計されたマルウェア。
コンピュータウイルス
他のプログラムやファイルに自身のコピーを挿入し、宿主が実行された際に動作する悪意のあるコード。
Malware Analysis
Malware Analysis — definition coming soon.
Reverse Engineering
Reverse Engineering — definition coming soon.
マルウェア
コンピュータ、ネットワーク、データを妨害・破壊したり、不正にアクセスしたりする目的で意図的に作成されたソフトウェアの総称。