TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究・参照ログ

偽装手法: サンドボックス回避

サンドボックス回避 (まとめ)

【目次】 概要 【概要】 【サンドボックス回避技術】 記事 【ニュース】 関連情報 概要 【概要】 回避手法 ファイルを利用しない攻撃 従来のサンドボックスの動作 ファイルスキャンを回避 関与するファイル無し 要求に応じたファイルのスキャン 相関分析の妨…

API Hammering (まとめ)

【要点】 ◎サンドボックス環境で検出を回避するためWindows APIを多数呼び出す手法 ◎APIコールは、Sleep と同じ効果があり、解析の妨害が可能 【目次】 概要 【辞書】 記事 【ニュース】 【ブログ】 【検索】 関連情報 【関連まとめ記事】 概要 【辞書】 ◆Ap…

詳説APIハンマリング: 複数のマルウェアファミリがサンドボックス回避に使う技術に新たな実装

【ニュース】 ◆詳説APIハンマリング: 複数のマルウェアファミリがサンドボックス回避に使う技術に新たな実装 (UNIT42(Paloalto), 2022/06/24) https://unit42.paloaltonetworks.jp/api-hammering-malware-families/ 【検索】google: APIハンマリング google:…

マルウェアがサンドボックスを回避する4つの手法とその詳細

【図表】 出典: https://scan.netsecurity.ne.jp/article/img/2020/04/30/44055/29787.html 【概要】■サンドボックス 3種類に分類可能 サンドボックスのタイプ 備考 ハイパーバイザータイプ ハイパーバイザーが管理する仮想マシンを構築し、その中で検体を実…

Locky (まとめ)

【概要】 感染経路 メール添付ファイルからの感染 請求書などを装ったWordファイルをメールで送り付け 改ざんされたwebサイトからの感染 マクロにより感染を広げる 症状 拡張子が「.locky」に書き換わってしまう アンチアナリシス機能 隠匿されたAPIを呼び出…

「Ursnif」の感染活動で複数のサンドボックス回避技術を利用

【図表】 不正なマクロと PowerShell を利用する「EMOTET」の感染フロー 出典: http://blog.trendmicro.co.jp/archives/16418 【概要】 AutoCloseマクロを利用して回避 列挙型変数を利用して回避 ファイル名の長さをチェックして回避 【ニュース】 ◆「Ursnif…

国内防衛産業を標的としたサイバー攻撃 - サンドボックスの突破技術など搭載

【ニュース】 ◆国内防衛産業を標的としたサイバー攻撃 - サンドボックスの突破技術など搭載 (Security NEXT, 2017/08/29) http://www.security-next.com/085238

進化を続ける巧妙なランサムウェア「CERBER」

出典: https://www.is702.jp/news/2153/partner/101_g/ 【概要】 発見時期 2016年3月に初めてロシアのアンダーグラウンド市場で確認 現在のバージョン CERBER 6 最新機能 サンドボックスやセキュリティ対策ソフトを回避する機能 暗号化しないファイルをチェ…

巧妙なマルウェアに対抗する最先端のサンドボックス技術

【概要】 回避手法 ファイルを利用しない攻撃 従来のサンドボックスの動作 ファイルスキャンを回避 関与するファイル無し 要求に応じたファイルのスキャン 相関分析の妨害 システムプロセスに偽装したスクリプトやコマンドプロンプトの使用 システムAPIレベ…

パロアルト、「PAN-OS 8.0」をリリース - サンドボックス回避攻撃へ対策

【ニュース】 ◆パロアルト、「PAN-OS 8.0」をリリース - サンドボックス回避攻撃へ対策 (Security NEXT, 2017/03/08) http://www.security-next.com/079229 【関連まとめ記事】◆全体まとめ ◆防御技術 (まとめ) ◆サンドボックス (まとめ) https://malware-log…

Anti-Sandboxing: Wait for Mouse Click

【概要】■Upclicker の回避動作 WH_MOUSE_LLパラメーターを指定したSetWindowsHookExA APIを使用し、左マウスボタン(WM_LBUTTONUP)を放すまで待機 Explorer.exe に Injection 【公開情報】 ◆Anti-Sandboxing: Wait for Mouse Click (WikiLeaks, 2017/03/07…

検知を回避するマルウェアが使用するメカニズムを徹底解説

【概要】 アンチセキュリティツール:ウイルス対策、ファイアウォール、および環境を保護するその他のツールによる検出を回避するために使用されます。 アンチサンドボックス:自動解析機能の検知を行い、マルウェアの挙動を報告するエンジンを回避するため…

マクロマルウェアが高度なサンドボックス回避技法を活用

【ブログ】 ◆マクロマルウェアが高度なサンドボックス回避技法を活用 (McAfee Blog, 2016/11/17) http://blogs.mcafee.jp/mcafeeblog/2016/11/post-4240.html 【関連まとめ記事】◆全体まとめ ◆アンチアナリシス機能 (まとめ) https://malware-log.hatenablog…

「凄いけどコワイ!」サンドボックスを回避するマルウェア

【ニュース】 ◆「凄いけどコワイ!」サンドボックスを回避するマルウェア (ASCII.jp, 2016/11/17 18:47) http://ascii.jp/elem/000/001/269/1269700/ 【関連まとめ記事】◆全体まとめ ◆アンチアナリシス機能 (まとめ) https://malware-log.hatenablog.com/ent…

サンドボックス回避手法への対策:仮想環境でのエミュレーションを成功に導くには

【ニュース】 ◆サンドボックス回避手法への対策:仮想環境でのエミュレーションを成功に導くには (CheckPoint, 2016/10/07) http://www.checkpoint.co.jp/threat-cloud/2016/10/defeating-sandbox-evasion-increase-successful-emulation-rate-virtualized-e…

Ursnifトロイの木馬キャンペーンで、新しいサンドボックス回避テクニックの要求水準が高まる

【ブログ】 ◆Ursnifトロイの木馬キャンペーンで、新しいサンドボックス回避テクニックの要求水準が高まる (proofpoint, 2016/09/20) https://www.proofpoint.com/jp/threat-insight/post/ursnif-banking-trojan-campaign-sandbox-evasion-techniques

サンドボックス検出を超える「回避型マルウェア」対策――速やかな脅威対策の鍵

【ニュース】 ◆サンドボックス検出を超える「回避型マルウェア」対策――速やかな脅威対策の鍵 (ITmedia, 2016/08/10) http://wp.techtarget.itmedia.co.jp/contents/?cid=20105 【関連まとめ記事】◆全体まとめ ◆アンチアナリシス機能 (まとめ) https://malwar…

サンドボックスを突破する回避型マルウェア、有効な防御法は?

【公開情報】 ◆サンドボックスを突破する回避型マルウェア、有効な防御法は? (キーマンズネット, 2016/08/10) http://www.keyman.or.jp/pd/10029045/ 【関連まとめ記事】◆全体まとめ ◆アンチアナリシス機能 (まとめ) https://malware-log.hatenablog.com/en…

電力会社を狙うサイバー攻撃に国家の影

【概要】 少なくとも欧州の電力会社1社の感染に成功 尋常ではない手段を使用 東ヨーロッパで作成 国家の支援で作成された可能性が高い アンチウイルスソフトウェア, ファイアウォール, エンドポイントソリューションを回避可能 サンドボックスでの監視を検知…

サンドボックス回避する「Locky」登場 - 攻撃の半数近くが日本対象

【概要】 サンドボックスの回避機能を備えた新型のLockyが出現 ダウンローダーであるJavaScriptと、ダウンロードされる「Locky」の双方がアップデートされた Lockyの実行にはコマンドラインより正しい引数を渡す必要がある 正しい値がわたされないと復号でき…

ランサムウェア動向の2016年上半期おさらい、「Locky」再来も

Lockyの活動量の推移 出典: http://www.itmedia.co.jp/enterprise/articles/1607/06/news131.html Lockyに感染させるスパムメールの内容 出典: http://www.itmedia.co.jp/enterprise/articles/1607/06/news131.html【概要】■ Trendmicroの分析 1月~5月に全…

「標的型攻撃対策=サンドボックス」という勘違いが招く“これだけの代償”

【ニュース】 ◆「標的型攻撃対策=サンドボックス」という勘違いが招く“これだけの代償” (TechTarget, 2016/06/14 10:00) 未知の脅威には、従来型のセキュリティ対策だけでは限界がある――。その認識が広がるにつれて注目度が高まった「サンドボックス」だが…

Malicious Documents leveraging new Anti-VM & Anti-Sandbox techniques

【ブログ】 ◆Malicious Documents leveraging new Anti-VM & Anti-Sandbox techniques (ZScaler, 2016/06/07) https://www.zscaler.com/blogs/research/malicious-documents-leveraging-new-anti-vm-anti-sandbox-techniques

進化するダウンローダー、シンクホール検知でサンドボックスを回避か

【ニュース】 ◆進化するダウンローダー、シンクホール検知でサンドボックスを回避か (マイナビニュース, 2016/02/02) http://news.mynavi.jp/news/2016/02/02/266/ 【関連まとめ記事】◆全体まとめ ◆アンチアナリシス機能 (まとめ) https://malware-log.haten…

利用者が気付かないサイバー攻撃が急増

【ニュース】 ◆利用者が気付かないサイバー攻撃が急増 (NHK, 2015/09/02) http://www3.nhk.or.jp/news/html/20150902/k10010213351000.html (魚拓)

サンドボックス型製品すらも回避、最新の標的型攻撃事情

【概要】 マルウェアを利用する標的型攻撃は全体の40%程度 侵入手口の約60%は、認証情報の窃取、ソーシャルエンジニアリング、脆弱性の悪用、内部犯行など 最近のマルウェアは、サンドボックスで実行されていることを感知し、検出を免れるように動作する …

Tinba:もう1つの対サンドボックス手段

【図表】 出典: http://blog.f-secure.jp/archives/50747839.html 【概要】 サンドボックス検知手段 GetCursorPos APIを用いてマウスの動きを確認 アクティブウィンドウの変化を確認 ディスクのシリンダー数を調査 【ブログ】 ◆Tinba:もう1つの対サンドボッ…

“サンドボックス神話”に潜む落とし穴! 巧妙化するメール攻撃を「多段防御」で守る

【ニュース】 ◆“サンドボックス神話”に潜む落とし穴! 巧妙化するメール攻撃を「多段防御」で守る (ITPro, 2015/03/25) http://itpro.nikkeibp.co.jp/atclact/activewp/14/031300174/?act03 【関連まとめ記事】◆全体まとめ ◆アンチアナリシス機能 (まとめ) h…

長期潜伏、自らを削除--サンドボックスを回避する未知のマルウェア

【図表】 出典: https://japan.zdnet.com/article/35047336/ 【ニュース】 ◆長期潜伏、自らを削除--サンドボックスを回避する未知のマルウェア (ZDNet, 2014/05/16 07:30) http://japan.zdnet.com/article/35047336/ 【関連まとめ記事】◆全体まとめ ◆アンチ…

合法マルウェアで実感「リアルとサンドボックスの違い」

【ニュース】 ◆合法マルウェアで実感「リアルとサンドボックスの違い」 (@IT, 2014/04/18 18:00) http://www.atmarkit.co.jp/ait/articles/1404/18/news004.html 【関連まとめ記事】◆全体まとめ ◆アンチアナリシス機能 (まとめ) https://malware-log.hatenab…


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2023