SentinelOneが悪意のある新たなPDFファイルを検出

 長い間、実行ファイルとは異なり、文書ファイルは不審や有害なものではないと考えられてきました。この考え方が攻撃者を利すことになり、文書を悪用して従来のセキュリティソリューションを迂回することが容易になってきています。さらに、時代と共にスクリプトとマクロの機能が増えるにつれて、文書ファイルは実行ファイルと酷似してきました。つまり、コードを実行したり、プロセスを作成することなども可能になっているのです。最近、ESETとMicrosoftによって新たな悪意のあるPDFファイルが確認されました。実際にはまだ流行していませんが、既知の2つのゼロデイ脆弱性を悪用しているためかなり危険です。これは、Adobe Reader(CVE-2018-4990)のリモートコード実行の脆弱性と、Microsoft Windows(CVE-2018-8120)の特権の昇格の脆弱性です。本書は2018年6月11日に、米国 SentinelOne 社の Aviram Shmueli 氏が同社のブログに投稿した記事を翻訳した記事になります。(原文はこちら)

▼ 目次
1. 脅威の概要
2. SentinelOne による防御




1. 脅威の概要

 攻撃は2段階で実行されます。第1段階として、PDF文書を開いたときにPDF文書内に埋め込まれたJS(JavaScript)コードが実行されます。このJSコードは、PDF文書内に埋め込まれたシェルコードの実行につながるROPチェーンを設定します。悪用される脆弱性はCVE-2018-4990です。第2段階は、Adobe Readerのサンドボックスを通過することに焦点を当てています。これは、Microsoft Windowsの脆弱性CVE-2018-8120を悪用して実行されます。





2. SentinelOne による防御

 SentinelOneエージェントは、Behaivoral AIエンジンにて、この種の悪意のある文書を検出してブロックすることができます。攻撃の挙動を詳細に分析し、攻撃を通じて生成されたさまざまなOS上のイベントを監視することにより、このエンジンは悪意のある振る舞いから、シェルコードの実行とさらに顕著な兆候を検出します。以下のデモで、どのように動作するかをご覧ください。


SentinelOne セキュリティ事例2

動画. Behaivoral AIエンジンによる悪意のある文書の検出とブロック

 さらに、SentinelOneが2ヶ月前に発表した新しいNexus Embedded AI SDKを使用すると、PDF文書にアクセスする前に簡単にスキャンすることで、脅威なのか安全なファイルなのかを事前に(ミリ秒単位で)知ることができます。図1では、PDF構造内にいくつかの異常があり、悪意のある振る舞いと相関性があることがわかります。続いて、SDKのコアであるStatic AIエンジンが、これが不審なファイルであると判断します。

SentinelOne セキュリティ事例2

図 1. 動作中のNexus Embedded AI


 要約すると、PDF文書は実行ファイルよりも信頼されているだけに、徐々にリスクが高くなっており、実行ファイル同様の被害を引き起こす可能性があります。SentinelOneを使用することで、ユーザーはこの拡大する脅威に完全に対応することが可能になります。まず、SentinelOneエージェントが、Behaivoral AIエンジンにて悪意のあるPDFファイルを検出してブロックし、さらに、Static AIエンジン用の強力なNexus AI SDKが、この脅威をミリ秒以内に検出します。






最後に

 最新エンドポイントセキュリティ「SentinelOne」は悪意のある文書を検出し、AI活用型検出エンジンによって予測的に脅威を検出します。巧妙化する脅威からエンドポイントを保護し、脅威検出後の詳細調査、被害軽減、復旧までをカバーします。SentinelOneの概要については下記よりご覧いただけます。



製品・サービスを読む

関連記事はこちら