‹ Cybersecurity 101に戻る

10の マルウェアの検出手法

Kurt Baker - 9月 25, 2023

マルウェアの検出とは

サイバー犯罪者はマルウェア(悪意のあるソフトウェア)を開発して使用し、標的のコンピューターシステムに侵入して目的を達成します。マルウェアとは本質的に攻撃的なものであり、犯罪目的を達成するために、コンピューターシステムに破壊、混乱、その他多大な影響を与えるおそれがあります。

それに対抗するマルウェア検出は、マルウェアの有害な影響を特定、ブロック、および予防するために必要な防御のテクニックとテクノロジーのセットです。この保護実践の構成内容は、デバイスに感染したマルウェアの種類に基づいて、幅広い戦術をさまざまなツールによって増幅したものです。

詳細情報

12種類のマルウェアをリストにした投稿をお読みいただくと、それらのマルウェアを検出して防御する方法をよりよく理解できます。読む:12種類の最も一般的なマルウェア

10通りのマルウェア検出技術

有効なセキュリティ実践では、マルウェアを検出して阻止するための専門知識とテクノロジーを組み合わせて使用します。実証されている技法には、次のようなものがあります。

1. シグネチャベースの検出

シグネチャベースの検出では、マルウェアに関する既知のデジタルインジケーターを使用して疑わしい動作を識別します。侵害の痕跡(IOC)リストは多くの場合データベースに保持されており、侵害の特定に使用できます。IOCは悪意のあるアクティビティの特定に有効ですが、事後に対応するという性質のものです。そのため、クラウドストライクでは攻撃の痕跡(IOA)を使用し、先を見越して実行中のサイバー攻撃を特定します。

2. 静的ファイル分析

ファイルのコードを実行せずに検査し、悪意の兆候を特定します。ファイル名、ハッシュ、IPアドレスなどの文字列、ファイルのヘッダーデータをすべて調べ、悪意のあるファイルかどうかを判断します。静的ファイル分析は出発点としては適切ですが、熟練したセキュリティチームはさらに手法を追加して、静的分析では特定されないような高度なマルウェアを検出します。

3. 動的マルウェア分析

動的マルウェア分析では、悪意があると疑われるコードを、サンドボックスという安全な環境で実行します。セキュリティ専門家はこのクローズドシステムを使用して、マルウェアの動作を監視して研究します。マルウェアがシステムに感染したり、企業ネットワーク内に侵入したりするリスクはありません。

4. 大量ファイル操作の動的モニタリング

名前変更コマンドや削除コマンドなどの大量のファイル操作を監視して、改ざんや破損の兆候を特定します。動的なモニタリングでは、多くの場合、リアクティブなフォレンジック監査およびプロアクティブなルールベースモニタリングの両方を通じて、ファイル整合性モニタリングツールを使用して、ファイルシステムの整合性を追跡および分析します。

5. ファイル拡張子のブロックリスト/ブロックリスティング

ファイル拡張子は、ファイル名のピリオドの後に示されている文字で、ファイルの形式を示します。この分類は、犯罪者が配信のためにマルウェアをパッケージ化する場合に使用できます。結果として、一般的なセキュリティ方式は、既知の悪意のあるファイル拡張子タイプを「ブロックリスト」に登録して、疑いを持たないユーザーが危険なファイルをダウンロードしたり使用したりできないようにすることです。

6. アプリケーション許可リスト/許可リスティング

ブロックリスト/ブロックリスティングの逆であり、組織は、システムが承認済みリスト上のアプリケーションを使用することを認可します。許可リスティングは、厳格なパラメータを通じて不正なアプリケーションを防止するときに非常に効果的です。ただし、組織の運用速度や柔軟性を実現することが難しく、低減させる場合があります。

7. マルウェアハニーポット/ハニーポットファイル

マルウェアハニーポットは、ソフトウェアアプリケーションまたはアプリケーションプログラミングインターフェース(API)を模倣し、脅威のない管理された環境でマルウェア攻撃を誘い出します。同様に、ハニーポットファイルは、攻撃者を引き出して検知するためのおとりファイルです。このようにすることで、セキュリティチームは、攻撃手法を分析し、マルウェア対策ソリューションを開発または強化して、こうした特定の脆弱性、脅威、またはアクターに対処することができます。

8. チェックサム/巡回冗長検査(CRC)

整合性を確認するための、データのコレクション(ファイルなど)に対する計算。最も一般的に使用されるチェックサムの1つがCRCです。これにはデータグループの値と位置の分析が含まれます。チェックサムは、データの破損の特定に有効ですが、改ざんかどうかを確実に判断することはできません。

9. ファイルエントロピー/ファイルのデータの変更の判断

脅威インテリジェンスとサイバーセキュリティが進化するにつれ、攻撃者は、検知を回避するために動的なマルウェア実行可能ファイルを作成する機会がますます増えています。これにより、ファイルが変更された状態になり、エントロピーレベルが高くなります。その結果、エントロピーを通じて判断されたファイルのデータの変更により、マルウェアの可能性を識別できます。

10. 機械学習による振る舞い分析

機械学習(ML)は、人工知能(AI)のサブセットであり、既存のデータからパターンを学習し、新しいデータを基に回答を予測するようアルゴリズムに指示するプロセスを指します。このテクノロジーは、ファイルの振る舞いを分析し、パターンを識別し、これらのインサイトを使用して、未識別の新しいマルウェアの検知を向上させることができます。

CrowdStrikeでマルウェアを防止および検知する

CrowdStrike Falcon® Prevent次世代アンチウイルスは、動作の単純なマルウェアから包括的に保護します。主要な属性は次のとおりです。

最先端の予防

革新的なAI/MLテクノロジーとインテリジェンスを組み合わせて、マルウェアを迅速に識別し防止します。

可視性

コンテキストデータと脅威データが豊富なわかりやすいプロセスツリーで、攻撃を視覚的に表します。

シンプル、高速、軽量

数秒で完全に動作し、リブートは不要です。CPUオーバーヘッドが最小限に抑えられているので、システムパフォーマンスやエンドユーザーの生産性には影響しません。

CrowdStrike Falconでマルウェアを防止する方法

このビデオを観て、CrowdStrike Falconがマルウェアからの保護にどのように役立つかをご覧ください。

今すぐ視聴する

GET TO KNOW THE AUTHOR

カート・ベーカー(Kurt Baker)は、クラウドストライクのFalcon Intelligenceの製品マーケティング担当シニアディレクターです。同氏は、新興ソフトウェア企業を専門とする上級管理職で25年以上の経験があります。サイバー脅威インテリジェンス、セキュリティ分析、セキュリティ管理、高度な脅威保護に関する専門知識があります。クラウドストライクに入社する前は、Tripwireで技術的な役割を果たし、エンタープライズセキュリティソリューションからモバイルデバイスに至るまでの市場でスタートアップを共同設立したことがあります。ワシントン大学で文学士号を取得し、現在はマサチューセッツ州ボストンで活動しています。