Backscatter: マルウェア構成を自動抽出
Mandiant
※この投稿は米国時間 2025 年 1 月 15 日に、Google Cloud blog に投稿されたものの抄訳です。
概要
Backscatter は、Mandiant FLARE チームが開発した、マルウェア構成を自動的に抽出するツールです。静的署名とエミュレーションを使用して、動的な実行を経ずにマルウェア構成を抽出し、最新のマルウェア ファミリーの多くに存在する解析回避ロジックをバイパスします。これにより、動的分析が補完され、脅威の特定が迅速化し、信頼性の高いマルウェア ファミリー アトリビューションの提供が可能になります。Google SecOps のリバース エンジニアリング担当者によって、セキュリティ侵害インジケーター(IOC)を確実に抽出できるため、セキュリティ チームは実用的な脅威インテリジェンスを活用して攻撃を未然に阻止できるようになります。
概要
脅威を迅速に検知し、これに対応する能力は、想定される結果に大きな影響を与えます。セキュリティ侵害インジケーター(IOC)は、サイバーセキュリティ チームにとって重要な手がかりとなり、関連するアクティビティの検索を拡大しながら、潜在的な攻撃を特定して軽減することを可能にします。Backscatter によって、マルウェアの IOC を分析して理解するための VirusTotal の既存のツールスイートと、ひいては Google Threat Intelligence プラットフォームもさらに強化されます。
VirusTotal は従来、サンドボックスなどの動的分析手法を利用してマルウェアの挙動を観察し、IOC を捕捉していました。しかし、これらの手法は時間がかかり、マルウェアが解析回避手法を使用している場合は、実用的なデータが得られない可能性があります。Mandiant FLARE チームが開発した Backscatter は、マルウェアを実行せずに直接検査する静的分析機能を提供することでこれらの手法を補完し、より迅速かつ効率的な IOC 収集と、マルウェア ファミリーのより確実な特定を実現します。さらに、Backscatter は、メモリダンプを含むサンドボックス アーティファクトを分析できるため、動的環境で正常に実行されてしまう圧縮および難読化されたマルウェアへの対応を改善できます。
Google Threat Intelligence プラットフォームでは、ユーザーがアップロードしたマルウェア内に隠された構成データ、埋め込まれた IOC、その他の悪意のあるアーティファクトを特定する際に Backscatter が力を発揮します。コマンド&コントロール(C2 または C&C)サーバー、ドロップ ファイル、その他のマルウェアの存在の兆候を正確に特定でき、実用的な脅威インテリジェンスが迅速に生成されます。抽出されたすべての IOC と構成属性が Google Threat Intelligence プラットフォームですぐに利用可能になるため、ユーザーはその脅威アクターやアクティビティに関連するその他のマルウェアも特定できます。
動的分析を補完
Backscatter を利用することで、セキュリティ チームは攻撃を迅速に把握して防御できるようになります。Backscatter で抽出された IOC を静的データ、動的データ、評価データと組み合わせて活用することで、アナリストは潜在的な脅威をより包括的に把握できるようになります。悪意のある通信をブロックし、ドロップ ファイルを検出・削除して、最終的には攻撃を無力化できます。
Google Threat Intelligence で利用できる Backscatter の静的分析アプローチは、このプラットフォームの既存の動的分析機能に価値ある機能を追加します。この組み合わせにより、より包括的な脅威インテリジェンス戦略が実現され、ユーザーは両アプローチの強みを活用して、より強固なセキュリティ ポスチャーを構築できます。
Google Threat Intelligence や VirusTotal での利用
Backscatter は、Google SecOps のお客様にご利用いただけます。VirusTotal Enterprise や、これに代わって長期的に利用できる Google Threat Intelligence プラットフォームも含まれます。悪意のあるファイルを検出できることは有益ですが、特定の脅威についてもっと明確に把握することが、実用的なインテリジェンスを得ることにつながります。マルウェア ファミリーに対して信頼性の高いアトリビューションを割り当てることで、手動での分析を行わなくても以前のレポートから機能や動作を推定することができます。
図 1: サービスがファイルから DONUT および ASYNCRAT のマルウェア構成を抽出したことを Google Threat Intelligence が特定(リンク)
アナリストは、C2 サーバー、キャンペーン ID、ファイルパス、レジストリ キーなどの埋め込みデータから、特定のイベントに関する追加のコンテキスト情報を得ることができます。Google Threat Intelligence は、関連する IOC、レポート、脅威アクターのプロファイルへの手がかりを提供することで、そのイベントを関連アクティビティにリンクできるようにします。この追加のコンテキストにより、防御者は環境を検索して修復作業を拡大できます。
図 2: Backscatter が DONUT ペイロードを抽出できたことを示す Google Threat Intelligence
図 3: Backscatter が DONUT ペイロードの ASYNCRAT 構成を抽出できたことを示す Google Threat Intelligence
Backscatter は、マルウェアからデータを抽出する静的なアプローチを採用することで、さまざまな環境、オペレーティング システム、実行メカニズムを標的とするファイルの処理を可能にしています。前述の例では、DONUT マルウェア サンプルは x86 シェルコードであり、サンドボックスでは直接実行できませんでした。
Backscatter の実例
Mandiant Managed Defense は、Backscatter を活用して次々と出現するマルウェア ファミリーをより迅速かつ正確に識別し、分析します。これにより、脅威アクティビティの範囲をより迅速に把握して、関連するコンテキスト情報をより迅速に顧客に提供できるようになります。初期アクセスを提供する配布キャンペーンから、ランサムウェア攻撃、国家支援による標的型攻撃まで、Backscatter は実用的な脅威インテリジェンスを提供することでセキュリティ チームを支援し、お客様を保護することを目指しています。
図 4: BLACKWIDOW と DARKGATE のバックドアを使用する UNC2500 が関与するフィッシング キャンペーンを示す Google Threat Intelligence
脅威グループの一例として、主にメールの添付ファイルや侵害されたウェブサイトへのリンクを介してマルウェアを配布する UNC2500 があります。QAKBOT や DARKGATE など、このグループが使用するマルウェア ファミリーの多くは Backscatter で特定可能なので、Managed Defense をご利用のお客様は Backscatter が抽出した IOC を事前にブロックできます。
図 5: BASTA ランサムウェアをデプロイするために UNC4393 への初期アクセスを提供する UNC2500
今後の展望
Backscatter は、サイバー脅威に対抗するための最先端のツールを提供する Google SecOps の取り組みの証です。Backscatter は、静的分析を通じて IOC を抽出する迅速かつ効率的な方法を提供し、セキュリティ チームが攻撃者に対して先手を打てるようにします。Google Threat Intelligence のお客様は、Backscatter をワークフローに組み込むことで、サイバー セキュリティ防御を強化し、貴重な資産を保護できます。
-Mandiant、執筆者: Josh Triplett
