攻撃は、シグネチャに基づいてマルウェアプログラムを検出するアンチウイルスの能力に基づいて行われます。

ドイツの2つの大学の研究者チームは、サイバー攻撃のためのツールとして、ウイルス対策プログラムのスキャンエンジンを有効にする方法を開発しました。

攻撃は、シグネチャに基づいたマルウェアを検出するウイルス対策ソフトウェアの能力に基づいて行われます。このウイルス対策のソリューションは、ウイルス対策ソフトウェア制作者が作成したリストに従って、既知の悪意あるプログラムのファイルやパケットをチェックしています。プログラムのコードのいずれかの部分が、リストの既知のシグネチャと一致している場合、ウイルス対策ソフトウェアのよって、ファイルを削除するか、検疫フォルダに送ります。

研究者によると、攻撃者は、検疫エンジンからのシグネチャを回避するか、アンチウイルスソフトウェアがどのように機能するかを理解し、ターゲットのファイルシステムに保存されているものを破壊するためにアンチウイルスを利用することができます。合法的なファイルにマルウェアのシグネチャのコピーを導入した場合、ウイルス対策プログラムは、マルウェアとして受け入れ、削除します（せいぜい検疫フォルダに移動します）。このため、攻撃者は、企業全体の活動を妨害することができます。

研究者は、5つのスキャンエンジンからマルウェアのシグネチャを得ることができました。そのうちの一つは、オープンソースのClamAVのエンジンで、残りの4つは、無名の事業者が開発したものでした。専門家は、以下の3種類の攻撃のためのシグネチャを使用していました。①アプリケーションログを削除することにより、パスワード推測の防止、②ユーザーの電子メール削除、③ブラウザのCookieファイルを削除することで攻撃を簡素化すること。

記事提供元: http://www.securitylab.ru

翻訳: Kazunori Yoshida