ステガノグラフィと回避に対するデータ無害化

私たちは、以前のブログでステガノグラフィの危険性を警告していました。ステガノグラフィとは、ファイルやメッセージ内にメッセージ、画像、ビデオ、マルウェアを隠す方法です。私たちは実際の攻撃*でステガノグラフィを目にしています。

先週、Crowdstrikeは日本語の電子メールにおけるCutwail Spam Campaignに関する調査結果を公開しましたが、ハッカーが使った戦術の一つがステガノグラフィでした。本ブログでは、この攻撃例を用いて、ステガノグラフィと回避策に対するOPSWATのデータ無害化の効果を説明します。

このスパムキャンペーンは以下の4つのステージに分けることができます。(データ無害化をステージ1、2、3に適用します。)

ステージ1:Microsoft Excelを添付したフィッシングメール

ステージ2:Microsoft Excel内の難読化されたVBAスクリプト

ステージ3:難読化されたPowerShellスクリプトを含むステガノグラフィ画像

ステージ4:最終的なペイロード

ステージ1と2: 「難読化されたVBAスクリプトを含むMicrosoft Excelを添付したフィッシングメール」への対策

電子メールは、標的となる組織のネットワークに最初にアクセスするための最も一般的な方法です。OPSWAT MetaDefenderは、ファイルの拡張子だけでなく、ファイルの内容に基づいてファイルの種類を検出できます。例えば、普及しているMicrosoft Excelは、ビジネス業務に必須のファイル形式のため、セキュリティポリシーとして、社内への取り込みを許可しているとしましょう。その場合でも、OPSWATのデータ無害化は、マクロを取り除いて新しいMicrosoft Excelを再構築できます。OPSWATの無害化は、VBスクリプトが悪質であるかどうかを検出しないため、難読化ではこの対策を回避することはできません。

このスパムキャンペーンに使われたExcelの無害化前と後をご確認ください。

無害化前

無害化後

ステージ 3: Stegosploit - PowerShellスクリプトを含むステガノグラフィ画像

例えば、ある組織ではセキュリティポリシーの一環としてマクロの使用を禁止することができないとしましょう。その場合でも、OPSWATのデータ無害化は、画像にスクリプトを含まない方法で画像を無害化します。結果、攻撃者は最終的なペイロードをダウンロードすることができません。

ユーザ視点では、元の画像と無害化された画像との間に目に見える違いはありません

無害化前無害化後

*参照情報:ステガノグラフィによる実際の攻撃

https://blog.trendmicro.com/tr...

https://www.imperva.com/blog/d...

https://securityintelligence.c...

co-authored by Vinh Lam