チェック・ポイント・ソフトウェア・テクノロジーズは1月16日、増加するDLLファイルを悪用した攻撃に警戒を呼びかけるとともに、悪意あるDLLを検出するチェック・ポイントのAI活用ソリューション「DeepDLL」を用いた新たな保護アプローチについて、実際の事例をもとに報告した。その概要は以下のとおり。
サイバー犯罪者がマルウェアの拡散にDLLファイルを利用するケースが増加している。最近の攻撃チェーンには複雑な多段階の攻撃フローがあり、その中でDLLはすべての主要なマルウェアファミリーに共通するステップの一つとなっている。
DLLハイジャッキング、サイドローディング、反射型DLLインジェクションなどの手法によって、マルウェアは信頼できるソフトウェアの一部として身を隠せるようになる。
攻撃者は多くの場合、一見無害でありながら攻撃の連鎖を引き起こすDLLを用いる。こうした回避的な脅威に対抗するため、チェック・ポイントは、DLLファイルのコンテンツとコンテキストから悪意あるパターンを検出する、新しいAIエンジンを開発した。
「DeepDLL」は、ゼロデイDLLの脅威を防止するために設計された、新たなAIモデル。このエンジンは何百万もの悪意あるサンプルによって訓練され、ThreatCloud AIのビッグデータを活用し、DLL特有の悪意ある機能を検出する。
DeepDLLが抽出した特徴は、チェック・ポイントの研究者が特定したように、潜在的に悪意あるアクティビティを示している。例えば、ファイルのメタデータやコンパイルされたストラクチャ(通信、暗号化、コード構造など)が挙げられる。
さらに、このAIエンジンはDLLの攻撃チェーンを学習し、DLLが電子メールで届いたのか、zipファイルで届いたのか、あるいは実行可能ファイルによってドロップされたのかを学習。これらすべての特徴は、何百万もの悪意あるサンプルで訓練されたチェック・ポイントの新しいAIモデルに送信され、AIはそのデータを分析し、悪意ある特徴のパターンを検出する。
ThreatCloud AIからの情報を活用することにより、DeepDLLの結果において、誤検知率を最小限に抑えながら99.7%の精度を実現した。
関連リンク