🛢️ ☝️ 🖥️ IEEEソフトウェアTaggantシステム：偽造防止ウイルス対策 📼 👪 🤙

この投稿では、IEEEの情報タグ会社と協力してマルウェアに関するIEEEワーキンググループが開発したIEEE Software Taggantシステムについてお話したいと思います。
Guardant開発チームの計画は、長い間、IEEE Software TaggantサポートをGuardant Armorトレッドに追加することでした。システムの簡単な概要と目の前の実際的な結論。

ウイルス対策がパニックになるのはなぜですか？

誤ったアンチウイルストリガーの問題に遭遇しないユーザーはいません。普通の人の反応は、多くの場合、「疑わしい」ファイルの削除に帰着します。これは、多くの場合、有害ではないだけでなく、逆に有用で、時には価値があります。同様に、そのようなジョークを知っているプログラマーは、ストレスに近い刺激に陥ることがあります。どちらも効果的な作業に寄与しません。

多くの場合、このようなトリガーは、さまざまなプロテクターによって保護されているファイルで発生します。問題は、最新のプロテクターがコードの難読化を多用していることです。難読化とは、突然変異とコード仮想化テクノロジー、およびそれらの組み合わせを意味します。難読化は、特定の数のメソッドとツールのソースコードの分析を困難にするために使用されます。ヒューリスティックなウイルス対策アナライザーをパニック状態にするのは、コードの難読化されたセクションです。

数年前、ウイルス対策会社と保護者の間で真の戦いが始まりました。紛失したウイルス対策ソフトは、商用ソフトウェアや普及しているソフトウェアで使用されていないすべてのパッカーを禁止することにしました。その後、いくつかの有名なパッカーでさえも禁止されました。時間が経つにつれて、状況は通常に戻りましたが、問題の完全な解決策はまだありません。

コード難読化技術の絶え間ない開発、元のコードの擬似コードへの置換、保護されたアプリケーションの動作中に実行され、分析を著しく複雑にし、保護されたファイルをアンチウイルスでスキャンするときのパフォーマンスに影響を与えました。正当な目的と悪意のある目的の両方に使用される多種多様なプロテクターは、ウイルス対策業界に問題を引き起こします。深刻なセキュリティリスクは、作成者が保護者の悪意のあるコード（トロイの木馬、ウイルスなど）を使用して、コードを検出から隠すことです。この手法はサーバー側にも適用されており（サーバーポリモーフィズム）、その結果、悪意のあるコードからの脅威を検出して対処することがはるかに困難になっています。アンチウイルスは、保護されたファイルの実際の内容を判別することができず、信頼性と無害なプログラムの誤検知の完全な欠如とのバランスを見つけることを余儀なくされます。

保護されたファイルの配布を制御する

ヒューリスティック分析は、新しい脅威を検出するためにウイルス対策会社によって考案されたもので、不審なファイルを収集するために部分的に必要です。この場合の誤検知の可能性ははるかに高いため、アンチウイルスは商用パッカーの署名の「ホワイト」リストを維持します。これは状況を改善するのにある程度役立ちますが、それでもアンチウイルスが「免責」を感じる機会を残します。サイコロをプレイする「神」のように、彼らはウイルスに無害なファイルを配布することができます。存在を正当化するために、アンチウイルスは分析を複雑にし、追加の制御スキームを考え出すことを余儀なくされています。プロテクターについては、保護されたファイルの配布を完全に制御するシステムを実装することにしました。このシステムでは、保護されたソフトウェアの信頼できない発行元からのファイルのみをブロックし、信頼できるソースからのファイルへの忠誠を示すことができます。

ウイルス対策では、デジタル署名を集中的に使用してファイルを認証します。信頼できる組織によって検証されたデジタル署名は、ファイルのソースを追跡する信頼できる方法を提供します。このような組織は、証明書でマルウェアに署名することはほとんどありません。しかし、必ずしもデジタル署名で十分ではありません。ファイルに有効なデジタル署名が含まれていた場合、既知の感染事例があります。ウイルスはプログラムのコンパイル段階で導入されました。ただし、デジタル署名を適用する責任はトレッドユーザーにあり、証明書の発行者には高いレベルの信頼が必要です。

2010年に、IEEEマルウェアタスクフォースは、特定のトレッドユーザーを識別するのに役立つシステム（現在はIEEE Software Taggantと呼ばれる）の開発方法について議論し始めました。「タガント」という用語は、爆発物に使用されるシステムから借用されています。このシステムでは、化学マーカーが追加され、爆発まで、または爆発後に追跡することができます。 IEEE Software Taggant Systemは、プロテクターのインストールによって作成された出力実行可能ファイルに暗号化トークンを埋め込みます。これにより、ファイルの保護に使用された一意のトレッドライセンスを識別できます。

IEEEソフトウェアTaggantの前には、透かしを使用する方法がありました。透かしには暗号化されたライセンス情報が含まれています。最も責任のあるトレッド開発者は、実行可能ファイルに2セットの透かしを含めます。 1つはトレッドを識別し、もう1つはライセンスを一意に識別します。それにもかかわらず、「透かし」の使用に関する単一の標準はなく、トレッドの各開発者はアクションで自由です。

システムの開発者によると、「タガント」という新しい用語の導入はあいまいです。一方で、「ウォーターマーク」という用語と証明書の使用が不要になり、他方で、IEEE Software Taggantシステムにはこれらのツールの両方の特性が含まれますが、スコープとパフォーマンスは大きく異なります。

インフラ

IEEE Software Taggantは、トレッドおよびウイルス対策と同時に使用される場合にのみ有効です。システムは公開キー基盤（PKI）を使用しますが、ルートセンターとトラステッドセンターはIEEEを制御します。トレッドベンダーの場合は、IEEEに登録してSoftware Taggantライセンスを生成する必要があります。ライセンスは、トレッドユーザーに対して透過的であり、販売する前にインストーラーに統合されている必要があります。

新しいトレッドをリリースする前に、ベンダーは、さまざまな保護パラメータを使用して10〜20個のファイルの代表的なサンプルを保護し、公開することをお勧めします。アンチウイルスは、ヒューリスティックアナライザーからの誤検出がないことを確認する必要があります。 Software Taggantマーカーのあるファイルの評判は、それがないファイルの評判よりも高くなければなりません。

Software Taggantマーカーで保護されたマルウェアが検出されると、マルウェアが保護されたライセンスがブラックリストの候補になります。コミュニティでは、ブロックされたライセンスの完全なリストを作成するために、ウイルス対策ソフトウェアが情報をすばやく共有することを推奨しています。

暗号化マーカー

Software Taggantは、Microsoft Windowsの通常のAuthenticodeデジタル署名とどのように違いますか？

IEEE Software Taggantシステムでは、プログラムの小さなクリティカルセクションのハッシュ合計を計算して、ソフトウェアの整合性をチェックする時間を最小限に抑えることができます（Authenticodeは常にファイル全体をカバーするため、検証時間はファイルサイズに依存します）。これは、ウイルス対策プログラムがクイックスキャンモードで動作できるようにするため、ウイルス対策プログラムにとって重要です。もう1つの興味深い点は、インターネットに接続している場合、マーカーを作成するための信頼できるタイムマーカー（RFC 3161に準拠）が追加されることです。これにより、ウイルス対策ソフトウェアはブラックリストを選択的に補完できます（特定の侵害の瞬間にのみソフトウェアをブロックします）。

ドキュメントによると、TaggantはPE形式のファイルだけでなく追加できます。形式のリストには、ELFとJavaScriptが含まれます。 Taggantを任意の非構造化形式に追加することができます。

PE形式の場合、Windowsのデジタル署名と類似しています。 Taggant構造は、PEファイルの最後にオーバーレイとして書き込まれます。元のオーバーレイがファイルに存在する場合、構造はその後に書き込まれます。ハッシュの合計を計算するために、SHA2-256アルゴリズムが使用されます。 TaggantをPEファイルに追加する最も簡単な方法は、SignToolというおなじみの名前のユーティリティを使用することです。

例：

> SignTool.exe SimpleTest-x86.exe license.pem
SignToolアプリケーション（Taggant v2をファイルに追加）
SPV Taggant Libraryバージョン2
ライセンスファイルは有効で、有効期限は土曜日4月03日23:59:59 2027です
正常に計算されたファイルハッシュ
タイムスタンプを入れる
タイムスタンプが正常に配置されました
タガントを準備する
タガントが正常に作成されました
Taggantはファイルに書き込まれます

Microsoftのデジタル署名は、Taggantと競合しません。タガント構造の後に追加され、タガントを含むファイル全体をカバーします。

メリット

IEEE Software Taggantシステムは、ウイルス対策およびプロテクター用の専門的かつ汎用的なソリューションとして開発されました。これは、他のファイル認証方法よりも間違いなく有利な利点です。アンチウイルスは以下を受け取ります：

マルウェアの生成に使用される特定のライセンスを識別する機能。これにより、トレッド全体をブロックすることなく、個々のライセンスをブラックリストに登録できます。
ファイルを解凍する必要なく、明確に定義されたセーフモードで使用されるパッカーのバージョンとライセンスを迅速に識別する機能。これにより、ファイルをスキャンするときのパフォーマンスが向上するはずです。
ファイルの変更されたバージョンを識別する機能。このようなファイルはブラックリストに登録できます。
ライセンス履歴を追跡して、特定のトレッドユーザーの評判を高める機能。

これらの機能はすべて、保護されたファイルをスキャンする際の誤検知のリスクを減らし、生産性を向上させるはずです。

テスト中

システムはかなり前に登場したため、ウイルス対策の誤検知を減らしたいと考えました。しかし、悲しいかな、奇跡は起こりませんでした。まず、VirusTotalの結果を見てください。

クリーンファイル：

Taggantを使用しない保護されたファイル：

Taggantで保護されたファイル：

Microsoft署名付きのTaggant保護ファイル：

あまり知られていないウイルス対策ソフトは、Taggantシグネチャの存在にまったく反応せず、むしろ反応しますが、その逆も同様です。彼らにとって、Microsoftの署名は依然として重要な議論です。

Kaspersky Endpoint Securityも私たちを怒らせました。 Taggant署名とMicrosoft署名が存在するかどうかに関係なく、ファイルを検疫します。前と同様に、ヒューリスティックアナライザーを無効にするだけで役立ちます。この場合、Kaspersky Anti-VirusによるVirusTotalのスキャンは、ファイルがクリーンであると言います。

おわりに

どうやら、すべてのウイルス対策ソフトウェアがTaggantサポートをエンジンに統合するのに急いでいるわけではありません。 IEEEの官僚制度も懸念事項です。この組織との通信には、膨大な時間がかかりました。単純な開発者にとって、合法的なソフトウェアディストリビューターのホワイトリストに登録することは、Microsoftのデジタル署名メカニズムを使用するよりも難しい場合があります。それでも、Taggantは透かしの価値ある代替手段であり、システムが徐々に実装されることを望んでいます。それまでの間、Microsoftの署名はウイルス対策ソフトウェアにとってより強力な議論です。

IEEEソフトウェアTaggantシステム：偽造防止ウイルス対策