マルウェア
ポリモーフィック型マルウェア
別称: 自己暗号化マルウェア, ポリモーフィックウイルス
定義
感染のたびに再暗号化やパッキングによってディスク上の外見を変化させつつ、内部ロジックは保ったままのマルウェア。
ポリモーフィック型マルウェアは、暗号化/パッカー層と小さな変異する復号ルーチンを使い、復号後のペイロードが同一でもファイル毎に外観を変える。これによりハッシュやバイト列に基づくシグネチャ検知を大きく無効化する。命令の並び替え、ジャンクコード挿入、レジスタの動的選択など多様な手法が用いられる。メタモーフィック型と異なり、ペイロード本体は書き換えられず、外側のラッパーのみが変化する。対策としては、ふるまい検知、アンパック後のメモリスキャン、復号後文字列を狙う YARA ルール、EDR/XDR、そしてファイルバイトのみでなく動的特徴に基づく機械学習分類器が有効である。
例
- シグネチャ回避のため頻繁にリパックされた Storm Worm。
- 拡散の度に変異した長寿命のポリモーフィック型ファイル感染ウイルス Virut。
関連用語
メタモーフィック型マルウェア
拡散のたびに自身のコードを丸ごと書き換え、意味は等価でも構造は異なるバイナリを生成するマルウェア。
ステルス型マルウェア
隠蔽・偽装・解析妨害などの技術を用いて、利用者・セキュリティツール・フォレンジック担当者からの検知を回避するために設計されたマルウェア。
コンピュータウイルス
他のプログラムやファイルに自身のコピーを挿入し、宿主が実行された際に動作する悪意のあるコード。
Malware Analysis
Malware Analysis — definition coming soon.
EDR(エンドポイント検知・対応)
プロセス・ファイル・レジストリ・ネットワーク活動を継続的に記録し、エンドポイント上の脅威を検知・調査・対応するエンドポイントセキュリティ技術。
マルウェア
コンピュータ、ネットワーク、データを妨害・破壊したり、不正にアクセスしたりする目的で意図的に作成されたソフトウェアの総称。