アンチウイルスについて知っているなら、おそらくシグネチャについて聞いたことがあると思います。少なくともこのコラムを定期的に読んでいる読者は間違いなく知っているはずです。ではシグネチャとは何か、おさらいしてみましょう。

つまり、理論上、コードフラグメント(ウイルスデータベースを可能な限り容量を小さくする)を手動か自動で選択し、他の悪意のあるプログラムのコードと、最も一般的な正当なコードが一致しないことを確認し、アプリケーションを作成、ウイルスデータベースに追加します。その後、アンチウイルスはアプリケーションコードを調べるだけで感染を検出することができます。

では、アンチウイルスがシグネチャによって悪質なファイルを簡単に公開することができるなら、攻撃者はシグネチャが生成されないような方法でマルウェアを設計できるのでしょうか?

マルウェアをアンチウイルスがシグネチャを使って検出できないようにするには、いくつかの方法があります。

簡単に言えば、マルウェアを含むプログラムは一連の命令とデータで、アプリケーションのコードは一連の命令です。NOPコマンドは何もしないので、他の命令のストリームのどこにでも挿入することも、コードをランダムに散在させることもできます。遅延がプログラムの活動の間に発生することが問題にならない限り、プログラムの動作には何の影響もありません。

このトリックは本当にシンプルなものですが、アンチウイルスの反応もそうです。分析対象のコードとシグネチャを比較する際、アンチウイルスはNOP命令を無視します。

暗号化は第2の選択肢です。ご存じのように、異なるキーを使用してデータを暗号化すると、2つの異なるコードが完成します。ファイルが感染している場合、悪意のあるコードは新しい鍵を使用して暗号化され、解読コードに追加されます。暗号化されたデータをターゲットファイルに置き、暗号解読者の暗号化コードの先頭を指定し、解読コードを目的のファイルに追加します。

したがって、アンチウイルスは暗号化されたコードを公開することはできず、暗号解除プログラムのみを探すことができます。一方、ファイルが感染すると、デクリプタコードも変更され、キーと分岐命令が追加されます。

残念ながら、ユーザーが別のアンチウイルステストに関する情報を参照すると、その結果にのみ関心を持つだけで、テスト方法は完全に無視されます。

一方、方法論は重要な要素です。たとえば、アンチウイルスが悪意のあるファイルを起動せずにどのように検出するかを確認したいだけなら、単に定期的なテストに使用されるコードの典型的な部分を探すだけで、ポリモーフィックアナライザーを使用しなくてもウイルス対策を講じることができます。

しかし、上記で説明した技術はすべて、アンチウイルスの作業をより困難にするだけです。並べ替えは、悪質なプログラムを特定するために使用できる特定のコードを取り除くために使用されます。

コードは一連の命令です。命令は、互いに続けることができ、また、他のデータの中に散在することができる。JMP(ジャンプ)命令は、フラグメント間を誘導するために使用されます。

この場合、悪意のあるコードは複数のブロックで構成され、新しいファイルが感染し、ジャンプ命令を使用して接続されるたびに再編成されます。簡単そうに聞こるかもしれませんが、そう簡単ではありません。すべてのプログラムコードには関数の呼び出し、分岐などが組み込まれています。したがって、コードの一部が改ざんされた場合は、すべての呼び出しが適切な場所を指すようにコードを調べる必要があります。アンチウイルスがそのシグネチャによってコードを検出するのを防ぐために、コードブロックは非常に小さくなければならず、コードの完全性も維持する必要があります。

アンチウイルスはどのように順列に対処することができるでしょうか? 今すぐ署名を検索するだけでなく、彼らは指示を見て、ジャンプ命令の分岐間を通過します。したがって、アンチウイルスは、エンジン内のファイルを実行することによって命令シーケンスを実行することにより、コードをまとめてシグネチャデータベースと比較することができます。

これ自体はあまり難しいものではありませんが、実際には、ファイルを起動するためにシステムリソースを割り当てる必要があり、システム全体のパフォーマンスに影響する可能性があります。そのため、ウイルス対策スキャンを行うすべてのファイルに対して多型分析を実行することはできません。しかしここで、ヒューリスティックアナライザーが補助します。

以前発見されたマルウェアとどれほど似ているかによって悪質なプログラムを検出することができます。しかし、これはヒューリスティックアナライザーのタスクの1つに過ぎません。

したがって、順列は、アンチウイルスがマルウェアプログラムをシグネチャで検出するのを妨げるものではありませんが、アンチウイルス開発チームに課せられた要件の点では限界があります。

攻撃者は他に何を持っているでしょうか?

ごみの挿入についてはすでにNOP命令の中で述べました。攻撃者は、実際の悪意のあるコードを隠すために、感染ファイルに重複した命令が挿入されていることを確認することもできます。これは簡単に聞こえるかもしれませんが、複数の役に立たないコマンドが追加されたにもかかわらず、コードを操作し続ける必要があるためです。

これに対処するために、多態性解析器はさらに複雑になります。つまり、コードをまとめておくだけでなく、無駄な断片を取り除くこともできます(Windowsコードを調べるルーチンを実行すれば、どれくらい残されますか? この場合、分析エラーは致命的な結果を招く可能性があります。

変成マルウェアは、コードのブロックが単に並べ替えられた順列とは異なり、変成マルウェアコードは実際に変化します。理論的には、この種の悪質なコードの署名を生成することは意味をなさないので、この種のマルウェアは検出できません。

しかし、多くの読者が知っているように、ほぼすべてのプログラムは特定のプログラミング言語で書かれ、その後実行可能なコードにコンパイルされます。コンパイラは、パフォーマンスやサイズの最適化などのオプションを有効にすることで、同じプログラムに対して異なるコードを生成するように設定できます。メタモルフィックエンジンも同様に動作し、起動するたびに、基本コードを使用して新しいコードを生成します。

定数、レジスタなどを変更することで、悪意のあるコードをさらに難読化することができます。数学との類推を描くことによって、この点を説明しましょう。たとえば、 2+4、 3+3および8-2の結果として6を得ることができます。どの操作が典型的なものとみなさるでしょうか?

課題に対応するためには、コード分析だけでは十分ではありません。したがって、アナライザはエミュレータになります。これは、アンチウィルスエンジン内でプログラムが実行されることを意味します。アンチウィルスエンジンは、もはやシグネチャの一致を探すのではなく、プログラムが起動されたことを監視します。

マルウェアメーカーとアンチウイルス開発者との間の軍備拡大競争は、ポリモーフィック型マルウェアをまれにしました。この種のプログラムを作ることは、それほど困難で費用がかかることです。