TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究ログ

*アンチアナリシス機能

Intel CPUのセキュリティ機構「SGX」にマルウェアを隠すことでセキュリティソフトで検出できない危険性、概念実証用のプログラムも公開済み

【ニュース】 ◆Intel CPUのセキュリティ機構「SGX」にマルウェアを隠すことでセキュリティソフトで検出できない危険性、概念実証用のプログラムも公開済み (Gigazine, 2019/02/14 20:02) https://gigazine.net/news/20190214-intel-sgx-vulnerability/

Emotet Uses Camouflaged Malicious Macros to Avoid Antivirus Detection

【ニュース】 ◆Emotet Uses Camouflaged Malicious Macros to Avoid Antivirus Detection (BleepingComputer, 2019/02/14 14:59) https://www.bleepingcomputer.com/news/security/emotet-uses-camouflaged-malicious-macros-to-avoid-antivirus-detection/

Locky (まとめ)

【概要】 感染経路 メール添付ファイルからの感染 請求書などを装ったWordファイルをメールで送り付け 改ざんされたwebサイトからの感染 マクロにより感染を広げる 症状 拡張子が「.locky」に書き換わってしまう アンチアナリシス機能 隠匿されたAPIを呼び出…

ステルス機能備えたAndroidアドウェア「MobiDash」に注意

【ニュース】 ◆ステルス機能備えたAndroidアドウェア「MobiDash」に注意 (マイナビニュース, 2018/07/25 09:21) https://news.mynavi.jp/article/20180725-668914/

"高度に複雑"なボットネット「Mylobot」が新たに発見される

【概要】 1404個のドメインに接続、有効なのは1つ 2週間待ってから攻撃者のコマンド&コントロール(C&C)サーバに接続する遅延メカニズム 反射型の.exeファイル 以前にマシンにインストールされた他のマルウェアのインスタンスを削除 【ニュース】 ◆"高度に…

Loading Kernel Shellcode

【ニュース】 ◆Loading Kernel Shellcode (FireEye, 2018/04/23) https://www.fireeye.com/blog/threat-research/2018/04/loading-kernel-shellcode.html

「URSNIF」の新手法:マクロを利用してサンドボックス検出を回避

【ブログ】 ◆「URSNIF」の新手法:マクロを利用してサンドボックス検出を回避 (Trendmicro, 2017/11/20) https://blog.trendmicro.co.jp/archives/16418 【関連まとめ記事】 ◆Emotet (まとめ) http://malware-log.hatenablog.com/entry/Emotet

ファストフラックス (まとめ)

【辞書】 ◆Fast flux (Wikipedia) https://en.wikipedia.org/wiki/Fast_flux ◆Fast Flux (NJCCIC) https://www.cyber.nj.gov/threat-profiles/botnet-variants/fast-flux 【ニュース】 ◆Fast flux foils bot-net takedown (SecurityFocus, 2007/07/09) https…

コンピューターウイルスは「検知ツールの目をかいくぐろう」と考えている

【ニュース】 ◆コンピューターウイルスは「検知ツールの目をかいくぐろう」と考えている (ASCII.jp, 2017/10/13 11:00) http://ascii.jp/elem/000/001/565/1565866/

特殊なSMBサーバーを使用してマルウェア検出を避ける攻撃「Illusion Gap」

【ニュース】 ◆特殊なSMBサーバーを使用してマルウェア検出を避ける攻撃「Illusion Gap」 (スラド, 2017/10/01 17:24) https://security.srad.jp/story/17/09/30/1912221/

Windows Defenderのウイルススキャン迂回問題、セキュリティ企業が公表

【概要】 ウイルス対策製品の動作 実行可能ファイルを実行すると、カーネルコールバックによってその動作を検出し、ファイルをスキャン 実行可能ファイルが既にディスクに存在していた場合、ファイル作成の段階で既にスキャンされていることから、プロセス作…

POS端末を狙うマルウェア「MajikPOS」はどのようにして検出をすり抜けるのか

【概要】 MajikPOSはRAMスクレーパを後からダウンロード この手法により、エンドポイントのメモリを読み取れるファイルの監視ツールを回避 【ニュース】 ◆POS端末を狙うマルウェア「MajikPOS」はどのようにして検出をすり抜けるのか (TechTarget, 2017/09/01…

JavaScriptによる新種の難読化マルウェア解析方法

【ニュース】 ◆JavaScriptによる新種の難読化マルウェア解析方法 (Teck Talk, 2017/07/04) https://techtalk.pcmatic.jp/20170704171526/

ビッグデータ時代に昔の手口で検知を逃れるマルウェア

「[wali]」セクションの文字列 「wali.exe」のファイル名 出典: https://blog.kaspersky.co.jp/old-malware-tricks-to-bypass-detection-in-the-age-of-big-data/15323/ 【ブログ】 ◆ビッグデータ時代に昔の手口で検知を逃れるマルウェア (Kaspersky, 2017/0…

CIAが使ったとされる難読化コード、WikiLeaksが公開

【ニュース】 ◆CIAが使ったとされる難読化コード、WikiLeaksが公開 (CIO, 2017/04/04) http://itpro.nikkeibp.co.jp/atcl/idg/14/481709/040400314/

ランサムウェア「Cerber」が進化、機械学習利用のセキュリティツールから検出回避--トレンドマイクロ

【ニュース】 ◆ランサムウェア「Cerber」が進化、機械学習利用のセキュリティツールから検出回避--トレンドマイクロ (ZDNet, 2017/03/29 13:22) https://japan.zdnet.com/article/35098898/

マルウェア検体や痕跡残さない標的型攻撃 - 世界140以上の組織が被害か

【ニュース】 ◆マルウェア検体や痕跡残さない標的型攻撃 - 世界140以上の組織が被害か (Security NEXT, 2017/02/16) http://www.security-next.com/078554

検知を回避するマルウェアが使用するメカニズムを徹底解説

【ニュース】 アンチセキュリティツール:ウイルス対策、ファイアウォール、および環境を保護するその他のツールによる検出を回避するために使用されます。 アンチサンドボックス:自動解析機能の検知を行い、マルウェアの挙動を報告するエンジンを回避する…

マクロマルウェアが高度なサンドボックス回避技法を活用

【ブログ】 ◆マクロマルウェアが高度なサンドボックス回避技法を活用 (McAfee Blog, 2016/11/17) http://blogs.mcafee.jp/mcafeeblog/2016/11/post-4240.html

「凄いけどコワイ!」サンドボックスを回避するマルウェア

【ニュース】 ◆「凄いけどコワイ!」サンドボックスを回避するマルウェア (ASCII.jp, 2016/11/17 18:47) http://ascii.jp/elem/000/001/269/1269700/

サンドボックス回避手法への対策:仮想環境でのエミュレーションを成功に導くには

【ニュース】 ◆サンドボックス回避手法への対策:仮想環境でのエミュレーションを成功に導くには (CheckPoint, 2016/10/07) http://www.checkpoint.co.jp/threat-cloud/2016/10/defeating-sandbox-evasion-increase-successful-emulation-rate-virtualized-e…

Certificate Bypass: Hiding and Executing Malware from a Digitally Signed Executable

【公開情報】 ◆Certificate Bypass: Hiding and Executing Malware from a Digitally Signed Executable (Deep Instinct, 2016/08) https://www.blackhat.com/docs/us-16/materials/us-16-Nipravsky-Certificate-Bypass-Hiding-And-Executing-Malware-From-A…

ランサムウェア構成ファイルが更新!? Cerberの暗号化手法に変化が

【概要】 Cerver1 の拡張子 : .cerber Cerver2 の拡張子 : .cerber2 Parallel、QEMU、VMware、VBoxなどの主要な仮想化ソフトウェアを検出 HKLMSYSTEM\\CurrentControlSet\\Enum\\PCI を調査 VEN_15AD&DEV_0405&SUBSYS_040515AD&REV_00 15AD ⇒ VMware 【ニュ…

サンドボックス検出を超える「回避型マルウェア」対策――速やかな脅威対策の鍵

【ニュース】 ◆サンドボックス検出を超える「回避型マルウェア」対策――速やかな脅威対策の鍵 (ITmedia, 2016/08/10) http://wp.techtarget.itmedia.co.jp/contents/?cid=20105

サンドボックスを突破する回避型マルウェア、有効な防御法は?

【公開情報】 ◆サンドボックスを突破する回避型マルウェア、有効な防御法は? (キーマンズネット, 2016/08/10) http://www.keyman.or.jp/pd/10029045/

サンドボックス回避する「Locky」登場 - 攻撃の半数近くが日本対象

【概要】 サンドボックスの回避機能を備えた新型のLockyが出現 ダウンローダーであるJavaScriptと、ダウンロードされる「Locky」の双方がアップデートされた Lockyの実行にはコマンドラインより正しい引数を渡す必要がある 正しい値がわたされないと復号でき…

最新のランサムウェアがアンチウイルスソフトを回避する方法

出典: http://news.mynavi.jp/news/2016/04/12/030/ 【概要】 隠匿されたAPIを呼び出すコードを用いる 埋め込まれた単語の辞書から生成され、システム関数を解決して、一般的な静的分析ツールから真の機能を隠す 【ニュース】 ◆最新のランサムウェアがアンチ…

自己防衛機能装えた新手の情報窃取マルウェア「USB Thief」 - オフラインPCもターゲットに

【概要】 名称: Win32/PSW.Stealer.NAI USBデバイス内のポータブルアプリのプラグインやライブラリファイルなどとして潜伏 アプリケーションが実行されるとバックグラウンドで起動 攻撃を行った痕跡が残らない(残りにくい) 複製を防ぐしくみを実装(解析や検…

進化するダウンローダー、シンクホール検知でサンドボックスを回避か

【ニュース】 ◆進化するダウンローダー、シンクホール検知でサンドボックスを回避か (マイナビニュース, 2016/02/02) http://news.mynavi.jp/news/2016/02/02/266/ ◆シンクホールチェック機能を持ち、実行の有無を判断するマルウェア見つかる (ASCII.jp, 201…

2016年はAPTが減り、ファイルレスの見つけづらい攻撃へ - カスペルスキー

【概要】 APT自体がなくなるのではなく、「より深い水面下の攻撃に変わり、攻撃の検知や犯人の特定がこれまでよりも難しくなる メモリ常駐型でファイルレスなマルウェアに軸足が移る ブートキットやルートキット、カスタムマルウェアの開発に費用がかけられ…


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2019