Symantec Endpoint Protection のエミュレータがマルウェアを検出およびクリーニングする方法

Symantec Endpoint Protection
14 に導入された強力な新しいエミュレータは、カスタムパッカー攻撃によるマルウェアから保護します。Auto-Protect スキャンとウイルススキャンの場合、この新しいエミュレータにより、スキャンのパフォーマンスと効果が以前のリリースに比べて少なくとも 10% 向上します。この回避対策技術はパックされたマルウェアの難読化技術に対応し、カスタムパッカー内に隠れているマルウェアが検出されます。
カスタムパッカーとは
多くのマルウェアプログラムは「パッカー」を利用します。パッカーは、ファイルを圧縮し、暗号化して送信するのに使用する、ソフトウェアプログラムです。これらのファイルは、ユーザーのコンピュータに到着するとすぐに、メモリ内で実行されます。
パッカー自体はマルウェアではありませんが、攻撃者はパッカーを使用してマルウェアを隠し、コードの真の意図を分かりにくくします。マルウェアのパッキングが解除されると、ファイアウォール、ゲートウェイ、マルウェア対策を避けて、その悪質なペイロードが起動します。攻撃者は、商用のパッカー (UPX、PECompact、ASProtect、Themida など) の使用を避け、カスタムパッカーを作成するようになりました。カスタムパッカーは、独自のアルゴリズムを使用して標準的な検出技術を回避します。
新しいカスタムパッカーの多くは、多様な形態を持ちます。検出を回避するためにコード自体を頻繁に変えますが、マルウェアの目的と機能は変わりません。また、カスタムパッカーは、巧みな方法でコードをターゲットプロセスに挿入し、その実行フローを変更し、アンパッカールーチンを頻繁に混乱させます。一部のカスタムパッカーはコンピューティング集中型で、パッキング解除を困難にする特殊な API を呼び出します。
カスタムパッカーはますます洗練され、手遅れになるまでその攻撃を隠します。
Symantec Endpoint Protection
のエミュレータがカスタムパッカー攻撃から保護する方法
Symantec Endpoint Protection
の高速エミュレータは、通常のコンピュータ上で実行されているとマルウェアに思い込ませます。実際には、エミュレータがカスタムパッカーのファイルをクライアントコンピュータ上の軽量仮想サンドボックスにパッキング解除します。マルウェアはそのペイロードを完全に開始するため、隔離された環境内で脅威が明らかにされます。ウイルス対策エンジンとヒューリスティックエンジンが含まれる静的データスキャナが、そのペイロードに対して実行されます。このサンドボックスは一時的なもので、脅威が処理された後で消えます。
エミュレータは、オペレーティングシステム、API、プロセッサの命令を装う、洗練された技術を必要とします。エミュレータは同時に仮想メモリを管理し、さまざまなヒューリスティックおよび検出技術を実行して、ペイロードを検査します。平均で、ファイルのクリーニングに 3.5 ミリ秒、マルウェアのクリーニングに 300 ミリ秒かかります。これは、クライアントユーザーがデスクトップ上の 1 ファイルをクリックするのと同程度の時間です。このエミュレータは、パフォーマンスと生産性に与える影響を最小限に抑えて迅速に脅威を検出します。そのため、クライアントユーザーの操作が妨害されることはありません。また、このエミュレータが使用するのは最小限のディスク容量と、仮想環境で最大 16 MB のメモリのみです。
このエミュレータは、高度な機械学習、メモリエクスプロイト緩和機能、動作監視、評価分析など、他の保護技術とも連携します。場合によっては複数のエンジンが作動し、連携して、攻撃を防止、検出、修復します。
このエミュレータはインターネットを使用しません。しかし、エミュレータがカスタムパッカーから抽出したマルウェアによっては、静的データスキャナ内のエンジンがインターネットを必要とする場合もあります。次のサイトを参照してください。
エミュレータの設定方法
このエミュレータは
Symantec Endpoint Protection
ソフトウェアに組み込まれているため、設定は不要です。シマンテック社は、新種の脅威に対応するためエミュレータのコンテンツを定期的に追加または変更し、エミュレータエンジンのコンテンツ更新も年に 4 回リリースします。デフォルトでは、LiveUpdate がウイルス定義とスパイウェア定義を含むコンテンツを自動的にダウンロードします。次のサイトを参照してください。
つの Symantec Endpoint Protection Manager
には、エミュレータが行った検出に関する個別のログはありません。検出結果については、リスクログとスキャンログで確認できます。次のサイトを参照してください。