2010年に初めて報告されたZeroAccessルートキットを使用することで、リモート攻撃者がユーザのコンピュータをハイジャックし、クリック詐欺とBitcoinマイニングを実行するボットネットにユーザを追加することができます。現在、ZeroAccessはユーザ環境で最も頻繁に検出されているマルウェアの1つです。

ZeroAccessの伝播戦略は、基本的にボットネットオペレータが、地下フォーラムでリクルートした「アフィリエイトパートナー」に配布をアウトソーシングするという驚くべきものです。アフィリエイトは、エクスプロイトキット経由、ファイル共有サービス上、スパム電子メールの添付ファイル形式、トロイの木馬ダウンローダのペイロードなど、複数の戦略をマルウェアの拡散に使用しています。配布方式の多様化により、ボットネットの地理的範囲を効果的に広げ、ユーザがZeroAccessマルウェアとの遭遇を回避することが難しくなっただけでなく、配布に使用されるチャネルが多岐に渡るため、マルウェアの拡散を抑制する取り組みが複雑になりました。

Google Earthで見るZeroAccessボットネットの地図


また、ZeroAccess開発者は長年にわたってルートキットを積極的に変更して分析と検出を混乱させ、アンチエミュレーションとアンチデバッギング、暗号化などの機能を組み込んできました。また、ボットネットオペレータと感染したコンピュータ間の通信をブロックできないように、高度なピア ツー ピア(P2P)コマンドと制御構造も導入されました。ZeroAccessの継続的な開発は否応なしに、マルウェアのエンジニアとアンチウイルス研究者の軍拡競争のようなものになっています。

ZeroAccessファイルが侵入してしまった場合(さらに初めて見つかった場合)、エフセキュアのディープガード・テクノロジの動作分析機能の出番です。マルウェアは技術的に洗練されているものの、どうしても無防備で脆弱性を伴う基本的な側面が1つあります。それは、マルウェアがコンピュータ上で実行する、悪質なアクションです。ディープガードは、ZeroAccessのルーチンに関する広範な研究結果に基づく検出ロジックを使用して、皮肉にも、マルウェアが自らを検出されないようとする試みを見分けることで、マルウェアを認識してブロックすることができます。

ZeroAccess亜種のケースで、ディープガードのプロアクティブな保護が実際に機能している様子を確認することができます。2013年1月22日の深夜にユーザ環境で発生した亜種を、サンプル1と呼びます。下記の図は、亜種が最初に発生したコンピュータによって報告された検出統計情報ですが、これからわかるように、ディープガードは製品において感染の試みを認識してブロックした最初のスキャンエンジンでした。その後まもなく、この特定のサンプルに関連した詳細情報でセキュリティクラウドがアップデートされ、続いて感染の試みを数件ブロックしました。それから24時間以内に、シグネチャ検出のアップデートがリリースされ、エフセキュア セキュリティ製品がシグネチャスキャンエンジンを使用してサンプル1を識別およびブロックしました。

ZeroAccessサンプル1の検出件数 2012年1月23〜25日


ディープガードの技術の詳細について、ホワイトペーパーをご用意しました。
ぜひこちらでご覧ください。