Predatorスパイウェアの運用者は、感染が失敗した理由を認識する能力を持ち、同技術にはこれまで知られていた以上に検知回避のための高度な機能があることが、水曜日に公開された研究で明らかになった。
Jamf Threat LabsはPredatorのサンプル分析から、インプラントが定着しなかった理由を運用者に知らせるエラーコード体系があることを発見し、「エラーコード304」は標的がセキュリティまたは解析ツールを実行していたことを示すという。
「このエラーコード体系は、失敗した展開をブラックボックスから診断イベントへと変える」と、Shen YuanとNir Avrahamは同社向けに執筆した。「運用者が標的に対してPredatorを展開してエラーコード304を受け取った場合、標的がセキュリティツールを実行していることが分かる――エクスプロイトが失敗したのでも、デバイスに互換性がないのでもなく、具体的にアクティブな解析が行われているということだ。
「これは標的となった個人に直接的な影響を及ぼす。Fridaのようなセキュリティ解析ツールが動作している場合、Predatorは展開を中止し、エラーコード304を運用者に報告する。運用者はそれにより、なぜ展開が失敗したのかをトラブルシューティングできる」と、彼らは続けた。
さらに、特定のセキュリティツールを検知する能力は、Predatorの動作についてより多くを明らかにしている。
「netstatが含まれている点は注目に値する――Predatorが懸念しているのは、専門ツールを持つ研究者だけでなく、自身のネットワーク接続を監視している可能性のある標的であることを示唆している」と研究者らは書いた。「プライバシー意識の高いユーザーが単にネットワーク接続を確認するだけでも、この検知が作動するだろう。」
またJamfは、Predatorが感染試行の検知に役立つクラッシュログを抑制すると結論づけた。
これは、Intellexaが開発したPredatorが競合と異なる能力を研究者が明らかにしたのは、ここ数カ月で2度目となる。
Jamfは、分析結果はPredatorがスパイウェア研究者とセキュリティ製品の双方を回避することに関心を持っていることを示しており、全体として、これまで文書化されてきたものより優れたアンチ解析能力を示唆していると述べた。
