オープンソースツールがほとんどのリモート制御型マルウェアを自動的に無効化できます

ジョージア工科大学のサイバーセキュリティ研究者たちは、マルウェアの自身のシステムを利用し、感染したデバイスからマルウェアを除去する新しいツールを開発しました。

ECHOと呼ばれるこのツールは、マルウェアの組み込みアップデート機能を利用してそれをシャットダウンし、インターネット上の感染したマシンのリモート制御ネットワーク、いわゆるボットネットを停止させるのです。これは最初にTech Xplore (TX)で報じられました。

ECHOのオープンソースコードは現在GitHubで利用可能で、テストされたケースの75%で成功を収めています。研究者たちは、自分たちのツールを702のAndroidマルウェアサンプルに適用し、523のケースで感染を成功裏に除去することができました。これについては彼らの論文で詳しく説明されています。

「マルウェアの挙動を理解することは通常、エンジニアにとって非常に難しく、報酬が少ないので、自動化した解決策を作りました」と、ジョージア工科大学の博士課程の学生であるRunze ZhangはTXに報告しました。

ボットネットは1980年代から問題を引き起こしており、近年ではその危険性が増しています。TXによると、マルウェア「Retadup」は2019年にラテンアメリカ全土に広がりました。その脅威は最終的に中和されましたが、それにはかなりの時間と労力が必要でした。

「これは本当に良いアプローチですが、非常に労力を要しました」とジョージア工科大学の准教授、ブレンダン・サルタフォマッジョ氏はTXに対して述べています。「ですので、私たちのグループは集まって、これを科学的な、系統的な、再現可能な手法とするための研究を持っていることに気づきました。それは一回きりの、人間が主導する、苦痛な努力ではないのです。」

TXは、ECHOが3つのステップで動作することを報告しています。それはマルウェアがどのように広がるかを分析し、その方法を修正を送るために再利用し、その後、感染したシステムをクリーンにするコードを押し出します。それは、主要な損害を引き起こす前にボットネットを停止するのに十分に速いです。

「我々は完璧な解決策を達成することは決してできません」とTXによって報告されたSaltaformaggioは言いました。「しかし、攻撃者がこのようにマルウェアを使う価値がないほどの高いレベルを目指すことができます。」