レビュー

複数のセキュリティ分析ツールがあるように見せかけてマルウェアのインストールを回避させるソフトウェア「Scarecrow」


PCを使用するにあたって、ノートンウイルスバスターといったセキュリティソフトをインストールしている人は多いはず。イギリスに拠点を置くサイバーセキュリティ研究者グループが作成した「Scarecrow」はセキュリティソフトとは異なりますが、実行すると、マルウェアが起動をためらうようなセキュリティ分析ツールが存在するように見せかける効果があります。

Cyber Scarecrow
https://www.cyberscarecrow.com/


ハッカーがユーザーのPCに悪意のあるソフトウェアをインストールする場合、ハッカーはまず、そのソフトウェアが安全に実行できることを確認します。その際に、セキュリティ分析ツールやマルウェア対策ツールが搭載されていることを確認した場合、悪意のあるソフトウェアのインストールを避ける傾向にあるそうです。

そこで、サイバーセキュリティ研究者グループはハッカーがマルウェアの起動をためらうような、セキュリティ分析ツールの存在を偽装するソフトウェア「Scarecrow」を構築し、共有しています。


Scarecrowのダウンロードページは以下。

Cyber Scarecrow
https://www.cyberscarecrow.com/download

名前とメールアドレスを入力して「Get Scarecrow」をクリックします。入力した情報については共有せず、スパムメール送信にも使わないと注記されています。


「Get Scarecrow」をクリックすると、69.3MBの実行ファイルがダウンロードされるので、該当ファイルを起動。

Scarecrowのインストーラーが起動したら、「I agree to the licence terms and conditions」にチェックを入れ、「Install」をクリック。


しばらく待つと、インストールが完了しました。「Close」をクリックしてインストーラーを閉じます。


Windowsの通知領域にScarecrowのアイコンが表示されました。


Scarecrawの動作に設定などは必要ありません。アイコンを右クリックすることで起動する設定画面では、バックグラウンドで起動している偽のソフトウェアのシグナルを確認することができるほか、「Stop」をクリックすることでプログラムを終了することもできます。


開発元によると、Scarecrowは「ProcessHacker」「x64dbg」「tcpview」「proc_analyzer」「vboxservice」「qemu-ga」といった仮想化ツールやデバッグツール、一般的なセキュリティ分析ツールなどがインストールされているかのようなシグナルを作成し、侵入をためらうマルウェアが発見された場合、それを削除するとのこと。また、さまざまなツールがインストールされているように見せかけるために、レジストリエントリも作成されます。

Scarecrowの要件について、開発元は「Scarecrowは超軽量ソフトウェアであるため性能要件は非常に低いですが、64ビット版のWindows 10以降が必要です」と述べています。

Scarecrowの開発に至った経緯について「Scarecrowのアイデアは、セキュリティの専門家がマルウェアの仕組みをリバースエンジニアリングした際のレポートを見て思いつきました。マルウェアは標的のPCにインストールされる前に、PC上のさまざまなインジケーターをチェックして、セキュリティ研究者のマシンや敵対的な環境で実行されていないことを確認します。そこからScarecrowが生まれました」と開発元は語りました。

なお、ScarecrowはWindows 10とWindows 11向けに提供されていて、将来的にはmacOS版も提供されるかもしれないとのことです。

この記事のタイトルとURLをコピーする

・関連記事
Linux環境で使用されている圧縮ツール「XZ Utils」のバックドアはどのように埋め込まれるのかをセキュリティ企業のカスペルスキーが解説 - GIGAZINE

ホテルのチェックイン用コンピューターでスパイウェアが見つかる、宿泊客の情報がスクリーンショットで撮影されインターネット上に流出 - GIGAZINE

20年前のOS「Windows XP」を丸腰でインターネットに放り込むとこうなる - GIGAZINE

Microsoftが2024年後半からVBScriptのサポートを段階的に終了すると発表 - GIGAZINE

数百万台のモデムを自由に書き換え可能な脆弱性を見つけるまでの経緯をセキュリティエンジニアが報告 - GIGAZINE

in レビュー,   ソフトウェア,   セキュリティ, Posted by log1r_ut

You can read the machine translated English article here.