TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する個人の調査・研究ログ

「Ursnif」の感染活動で複数のサンドボックス回避技術を利用

f:id:tanigawa:20171121045143j:plain
不正なマクロと PowerShell を利用する「EMOTET」の感染フロー
出典: http://blog.trendmicro.co.jp/archives/16418

【概要】

  • AutoCloseマクロを利用して回避
  • 列挙型変数を利用して回避
  • ファイル名の長さをチェックして回避


【ニュース】

◆「Ursnif」の感染活動で複数のサンドボックス回避技術を利用 (Security NEXT, 2017/11/20 )
http://www.security-next.com/087764


【ブログ】

◆「URSNIF」の新手法:マクロを利用してサンドボックス検出を回避 (Trendmicro, 2017/11/20)
http://blog.trendmicro.co.jp/archives/16418


【詳細】

f:id:tanigawa:20171121045425p:plain

□解説

  • ファイル名の長さをチェック
    • 30文字より長い場合、メッセージを表示(" love and love ")
    • 30文字以下の場合、マルウェアを起動
続きを読む

中国のハッカー集団、日本の航空宇宙産業を標的 米国に次ぐ攻撃対象に 米情報企業幹部インタビュー

【ニュース】

◆中国のハッカー集団、日本の航空宇宙産業を標的 米国に次ぐ攻撃対象に 米情報企業幹部インタビュー (産経新聞, 2017/11/17 06:48)
http://www.sankei.com/world/news/171117/wor1711170005-n1.html

「ファイルレス攻撃」が深刻化--ウイルス対策の見直しも

【概要】

  • ファイルレス攻撃とは
    • コンピュータのメモリ空間などで不正なコードを実行する攻撃手法
    • 実際には部分的あるいは一時的にファイルの形態を伴うケースが多い
  • ファイルレス攻撃のねらい


【ニュース】

◆「ファイルレス攻撃」が深刻化--ウイルス対策の見直しも (ZDNet, 2017/11/16)
https://japan.zdnet.com/article/35110549/

組織を脅かす「ファイルレス攻撃」のリスク増大 従来比で攻撃成功率が10倍

【ニュース】

◆組織を脅かす「ファイルレス攻撃」のリスク増大 従来比で攻撃成功率が10倍 (ITmedia, 2017/11/16 10:15)

従来型のエンドポイントセキュリティの隙を突くファイルレス攻撃が台頭し、攻撃が成功した事例の77%でファイルレスの手口が使われていた

http://www.itmedia.co.jp/enterprise/articles/1711/16/news057.html


【ブログ】

◆3 Key Findings from the Upcoming 2017 State of Endpoint Security Risk Report (Barkly, 2017/11/16)
https://blog.barkly.com/2017-state-of-endpoint-security-risk-report-preview


【資料】

◆The 2017 State of Endpoint Security Risk Report (Barkly, 2017/11/16)
https://www.barkly.com/ponemon-2018-endpoint-security-statistics-trends

FALLCHILL (まとめ)

【ニュース】

北朝鮮のマルウエア、現在も多数のネットワークに潜伏 米当局が警鐘 (AFP BB News, 2017/11/15)
http://www.afpbb.com/articles/-/3150592?cx_part=latest&cx_position=13
http://malware-log.hatenablog.com/entry/2017/11/15/000000

◆FBIなど、北朝鮮による米国へのサイバーテロの詳細を公表 (Newsweek, 2017/11/15 10:42)
http://www.newsweekjapan.jp/stories/world/2017/11/fbi-27.php
http://malware-log.hatenablog.com/entry/2017/11/15/000000

◆米政府、北朝鮮によるマルウェア「FALLCHILL」を警告 (CNET, 2017/11/16 10:46)
https://japan.cnet.com/article/35110480/

北朝鮮サイバー攻撃の脅威データを「STIX」で公表 - 「FALLCHILL」「Volgmer」の感染チェックを (Security NEXT, 2017/11/17)
http://www.security-next.com/087678

【ブログ】

◆米、北朝鮮によるサイバー攻撃に警戒呼びかけ (SPUTNIK, 2017/11/15 12:30)
https://jp.sputniknews.com/asia/201711154277814/
http://malware-log.hatenablog.com/entry/2017/11/15/000000

【公開情報】

◆HIDDEN COBRA – North Korean Remote Administration Tool: FALLCHILL (US-CERT, 2017/11/14)
https://www.us-cert.gov/ncas/alerts/TA17-318A

【関連情報】

◇Volgmer (まとめ)
http://malware-log.hatenablog.com/entry/Volgmer

続きを読む

Volgmer (まとめ)

【ニュース】

北朝鮮マルウェア「Volgmer
今週のお題「得意料理」
」、米当局がIPアドレスなど公表 (ITmedia, 2017/11/16 10:30)
http://www.itmedia.co.jp/news/articles/1711/16/news060.html

北朝鮮サイバー攻撃の脅威データを「STIX」で公表 - 「FALLCHILL」「Volgmer」の感染チェックを (Security NEXT, 2017/11/17)
http://www.security-next.com/087678


【公開情報】

◆HIDDEN COBRA – North Korean Trojan: Volgmer (US-CERT, 2017/11/14)
https://www.us-cert.gov/ncas/alerts/TA17-318B

◆IOCs related to HIDDEN COBRA, IP addresses linked to systems infected with Volgmer malware (US-CERT, 2017/11/14)
https://www.us-cert.gov/sites/default/files/publications/TA%20VOLGMER%20IOCs.csv
https://www.us-cert.gov/sites/default/files/publications/TA%20VOLGMER%20IOCs.xml

Malware Analysis Report (MAR) - 10135536-D (US-CERT, 2017/11/01)
https://www.us-cert.gov/sites/default/files/publications/MAR-10135536-D_WHITE_S508C.PDF
https://www.us-cert.gov/sites/default/files/publications/MAR-10135536-D_WHITE_stix.xml

続きを読む

北朝鮮のマルウェア「Volgmer」、米当局がIPアドレスなど公表

【ニュース】

北朝鮮マルウェア「Volgmer」、米当局がIPアドレスなど公表 (ITmedia, 2017/11/16 10:30)
http://www.itmedia.co.jp/news/articles/1711/16/news060.html


【公開情報】

◆HIDDEN COBRA – North Korean Trojan: Volgmer (US-CERT, 2017/11/14)
https://www.us-cert.gov/ncas/alerts/TA17-318B

◆IOCs related to HIDDEN COBRA, IP addresses linked to systems infected with Volgmer malware (US-CERT, 2017/11/14)
https://www.us-cert.gov/sites/default/files/publications/TA%20VOLGMER%20IOCs.csv
https://www.us-cert.gov/sites/default/files/publications/TA%20VOLGMER%20IOCs.xml

Malware Analysis Report (MAR) - 10135536-D (US-CERT, 2017/11/01)
https://www.us-cert.gov/sites/default/files/publications/MAR-10135536-D_WHITE_S508C.PDF
https://www.us-cert.gov/sites/default/files/publications/MAR-10135536-D_WHITE_stix.xml


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2017