2019年3月21日
株式会社Doctor Web Pacific
Windows動作環境下で、ファイル解析に活用されるHypervisor の改善が行われ、一番重要な変更となりました。これにより、不審なファイルが解析される仮想環境において、こうしたファイルからの不可視性を高めました。もう一つの重要な変更は、API 2.0のリリースです。前バージョンのAPIでは非常にベーシックな機能しか実装されていませんでしたが、今回のバージョンでは本サービス利用のための機能が拡充されました。そのほか、解析レポートにはより詳細な情報が記載され、ファイル処理速度が向上し、エラーが修正されました。
Dr.Web vxCubeライセンスを購入したユーザーは新しいバージョンを利用することができます。Doctor Webサイトにある本サービスのトラアイル版を利用することも可能です。
ライセンスを購入したい方は、弊社営業部にお問い合わせください。
下記にて、もっとも重要な改良および変更について、ご紹介致します。
解析対象オブジェクトからの不可視性がさらに向上
不審なファイルが解析される仮想環境を監視するアプローチが多々あります。SSDTにてハンドラーを置き換えることで、必要な機能を傍受できるカーネルのモジュールを実現することが、一番ベーシックな方法の一つです。この方法はもう古くなりましたが、現在でも一部のアナライザーに継続して活用されます。しかし、その主な弱点として、解析されるオブジェクトが外部ドライバーを検知できるリスクが挙げられます。しかも、機能の傍受が防止されれば、アナライザーのパフォーマンスが大幅に低下します。
Dr.Web vxCubeの開発に着手した際、異なるアプローチを採用したため、様々な問題を避けることができました。ハードウェア支援による仮想化機能を活用することにより、必要な機能はゲストOSに検知されないままに傍受されるため、解析されるオブジェクトからアナライザーの不可視性をさらに高め、オブジェクトが監視をすり抜けることを不可能にしました。
Dr.Web vxCube 1.3の新しいバージョンでは、解析されるオブジェクトからアナライザーの不可視性をさらに高めるために、最新型テクノロジーがDoctor Webに活用されました。現在、Pafishなどのような仮想マシン検出ソフトウェアでさえDr.Web vxCubeを検知することはできません。このようなソフトウェアには、マルウェアによく用いられる環境をチェックする手法が採用されます。例えば、 Pafish は次のことをチェックします。
- RAMおよびハードディスク容量
- 画面の解像度
- マウスの移動
- 仮想マシンのTSCカウンター
- アナライザーおよび仮想マシン特有のプログラム、デバイス識別子およびネットワークアダプターのMACアドレスの有無
上記の画像キャプチャーを見ると、 Pafish は Timestamp counters をチェックした際に、仮想環境の検知に成功したことが明らかになります。 そのカウンターを調整するには、ハードウェア支援による仮想化機能において専用フィールドがありますが、正確な調整を行うことは非常に困難です。何故ならば、 vmexit および vmresume の際に発生するサイクルの数を正確に特定することが難しいためです。しかし、Doctor Webのスペシャリストは必要な解決策を発見し採用したことにより、Dr.Web vxCube 1.3 は上記のようなチェックが実行されていていも、自分のステルス状態を維持します。以下は、Pafish の最新版によるDr.Web vxCube 1.3のチェック結果となります。
Dr.Web vxCube 1.3 はPafishからの不可視を維持できることが、唯一の改良ではありません。Doctor Webウイルスラボのアナリストは、マルウェアに悪用される様々な仮想環境チェック手法についてのデータを集めました。
その中でも特に以下のデータがあげられます。
- クーラーについての情報チェック
- マザーボードのACPI における温度管理ゾーンの有無
- ショートカット、インストール済みプログラムおよびOS更新の有無
- Xeonプロセッサーの利用など
現時点では、既存のあらゆる仮想環境チェックの手法が用いられても、Dr.Web vxCube アナライザーは検知されません。
Dr.Web vxCube向けAPI 2.0
Dr.Web vxCubeユーザーは本サービスを利用するオプションが大幅に拡充されました。最新のAPI 導入により、以下のことが可能となりました。
- ファイル解析結果およびこれまでに行われた解析のリストを入手します
- サポートされる解析用フォーマット/プラットフォームのリストを入手します
- アップロードされた全てのファイルのリストを入手します
- ライセンス情報を入手します
- HTTP APIにアクセスするためのキーを追加で作成できます
- 解析結果が含まれるアーカイブファイル、またはアーカイブに含まれる特定ファイルを入手します
- ウェブソケットを使用して、ファイル解析の進捗率を受信可能となりました
その他、アーカイブ全体のダウンロードを必要としないPCAPファイルのダウンロード、およびレポートの削除オプションが、ユーザーからの要望に応え、実装されています。
API 2.0 の各機能について、詳しくはマニュアル(英語)をご参照ください。
Tell us what you think
To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.
Other comments