通常のネットワークトラフィックを利用して検出を回避する手法を明らかに(トレンドマイクロ) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.07.18(水)

通常のネットワークトラフィックを利用して検出を回避する手法を明らかに(トレンドマイクロ)

脆弱性と脅威 脅威動向

トレンドマイクロ株式会社は12月12日、脅威が通常のネットワークトラフィックに紛れ込むことで、どのように検出を回避するかについて、リサーチペーパー「Network Detection Evasion Methods(英語情報)」の内容をブログで紹介している。通常のネットワークトラフィックとは、GoogleやMicrosoft Updateへの接続、Yahoo!メッセンジャーのような人気のインスタントメッセンジャーから生じるトラフィックを含む。「Remote Access Tool(RAT)」の一部が、このことを利用して検出を回避する手法が同社によって確認されている。

たとえば「FAKEM」は、通常スピアフィッシングメールで確認され、Windows Liveメッセンジャー、Yahoo!メッセンジャーのトラフィックや、HTMLトラフィックのように自身のネットワーク通信を見せかけて偽装することが判明している。また、スパムボット「Stealrat」と関与していると報告されている「Mutator(別名:Rodecap)」は、Stealratのモジュールあるいはコンポーネントをダウンロードし、場合によっては、通常のトラフィックに紛れ込むために「google.com」を利用してHTTPヘッダを偽装することがある。

RATは特に種類が多いわけでもなく、手法も単純である一方、サイバー犯罪者が自身の技術を適応させ性能を高めていることが、同リサーチペーパーで明らかにされている。特に、サイバー犯罪者がいかに絶え間なく手法と戦略を向上させ、ネットワークセキュリティを回避しているかを強調している。そしてPCを乗っ取り、セキュリティ関係者の監視の目をかいくぐろうと画策している。
《吉澤 亨史( Kouji Yoshizawa )》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×