偽装手法: サンドボックス回避
【目次】 概要 【概要】 【サンドボックス回避技術】 記事 【ニュース】 関連情報 概要 【概要】 回避手法 ファイルを利用しない攻撃 従来のサンドボックスの動作 ファイルスキャンを回避 関与するファイル無し 要求に応じたファイルのスキャン 相関分析の妨…
【要点】 ◎サンドボックス環境で検出を回避するためWindows APIを多数呼び出す手法 ◎APIコールは、Sleep と同じ効果があり、解析の妨害が可能 【目次】 概要 【辞書】 記事 【ニュース】 【ブログ】 【検索】 関連情報 【関連まとめ記事】 概要 【辞書】 ◆Ap…
【ニュース】 ◆詳説APIハンマリング: 複数のマルウェアファミリがサンドボックス回避に使う技術に新たな実装 (UNIT42(Paloalto), 2022/06/24) https://unit42.paloaltonetworks.jp/api-hammering-malware-families/ 【検索】google: APIハンマリング google:…
【図表】 出典: https://scan.netsecurity.ne.jp/article/img/2020/04/30/44055/29787.html 【概要】■サンドボックス 3種類に分類可能 サンドボックスのタイプ 備考 ハイパーバイザータイプ ハイパーバイザーが管理する仮想マシンを構築し、その中で検体を実…
【概要】 感染経路 メール添付ファイルからの感染 請求書などを装ったWordファイルをメールで送り付け 改ざんされたwebサイトからの感染 マクロにより感染を広げる 症状 拡張子が「.locky」に書き換わってしまう アンチアナリシス機能 隠匿されたAPIを呼び出…
【図表】 不正なマクロと PowerShell を利用する「EMOTET」の感染フロー 出典: http://blog.trendmicro.co.jp/archives/16418 【概要】 AutoCloseマクロを利用して回避 列挙型変数を利用して回避 ファイル名の長さをチェックして回避 【ニュース】 ◆「Ursnif…
【ニュース】 ◆国内防衛産業を標的としたサイバー攻撃 - サンドボックスの突破技術など搭載 (Security NEXT, 2017/08/29) http://www.security-next.com/085238
出典: https://www.is702.jp/news/2153/partner/101_g/ 【概要】 発見時期 2016年3月に初めてロシアのアンダーグラウンド市場で確認 現在のバージョン CERBER 6 最新機能 サンドボックスやセキュリティ対策ソフトを回避する機能 暗号化しないファイルをチェ…
【概要】 回避手法 ファイルを利用しない攻撃 従来のサンドボックスの動作 ファイルスキャンを回避 関与するファイル無し 要求に応じたファイルのスキャン 相関分析の妨害 システムプロセスに偽装したスクリプトやコマンドプロンプトの使用 システムAPIレベ…
【ニュース】 ◆パロアルト、「PAN-OS 8.0」をリリース - サンドボックス回避攻撃へ対策 (Security NEXT, 2017/03/08) http://www.security-next.com/079229 【関連まとめ記事】◆全体まとめ ◆防御技術 (まとめ) ◆サンドボックス (まとめ) https://malware-log…
【概要】■Upclicker の回避動作 WH_MOUSE_LLパラメーターを指定したSetWindowsHookExA APIを使用し、左マウスボタン(WM_LBUTTONUP)を放すまで待機 Explorer.exe に Injection 【公開情報】 ◆Anti-Sandboxing: Wait for Mouse Click (WikiLeaks, 2017/03/07…
【概要】 アンチセキュリティツール:ウイルス対策、ファイアウォール、および環境を保護するその他のツールによる検出を回避するために使用されます。 アンチサンドボックス:自動解析機能の検知を行い、マルウェアの挙動を報告するエンジンを回避するため…
【ブログ】 ◆マクロマルウェアが高度なサンドボックス回避技法を活用 (McAfee Blog, 2016/11/17) http://blogs.mcafee.jp/mcafeeblog/2016/11/post-4240.html 【関連まとめ記事】◆全体まとめ ◆アンチアナリシス機能 (まとめ) https://malware-log.hatenablog…
【ニュース】 ◆「凄いけどコワイ!」サンドボックスを回避するマルウェア (ASCII.jp, 2016/11/17 18:47) http://ascii.jp/elem/000/001/269/1269700/ 【関連まとめ記事】◆全体まとめ ◆アンチアナリシス機能 (まとめ) https://malware-log.hatenablog.com/ent…
【ニュース】 ◆サンドボックス回避手法への対策:仮想環境でのエミュレーションを成功に導くには (CheckPoint, 2016/10/07) http://www.checkpoint.co.jp/threat-cloud/2016/10/defeating-sandbox-evasion-increase-successful-emulation-rate-virtualized-e…
【ブログ】 ◆Ursnifトロイの木馬キャンペーンで、新しいサンドボックス回避テクニックの要求水準が高まる (proofpoint, 2016/09/20) https://www.proofpoint.com/jp/threat-insight/post/ursnif-banking-trojan-campaign-sandbox-evasion-techniques
【ニュース】 ◆サンドボックス検出を超える「回避型マルウェア」対策――速やかな脅威対策の鍵 (ITmedia, 2016/08/10) http://wp.techtarget.itmedia.co.jp/contents/?cid=20105 【関連まとめ記事】◆全体まとめ ◆アンチアナリシス機能 (まとめ) https://malwar…
【公開情報】 ◆サンドボックスを突破する回避型マルウェア、有効な防御法は? (キーマンズネット, 2016/08/10) http://www.keyman.or.jp/pd/10029045/ 【関連まとめ記事】◆全体まとめ ◆アンチアナリシス機能 (まとめ) https://malware-log.hatenablog.com/en…
【概要】 少なくとも欧州の電力会社1社の感染に成功 尋常ではない手段を使用 東ヨーロッパで作成 国家の支援で作成された可能性が高い アンチウイルスソフトウェア, ファイアウォール, エンドポイントソリューションを回避可能 サンドボックスでの監視を検知…
【概要】 サンドボックスの回避機能を備えた新型のLockyが出現 ダウンローダーであるJavaScriptと、ダウンロードされる「Locky」の双方がアップデートされた Lockyの実行にはコマンドラインより正しい引数を渡す必要がある 正しい値がわたされないと復号でき…
Lockyの活動量の推移 出典: http://www.itmedia.co.jp/enterprise/articles/1607/06/news131.html Lockyに感染させるスパムメールの内容 出典: http://www.itmedia.co.jp/enterprise/articles/1607/06/news131.html【概要】■ Trendmicroの分析 1月~5月に全…
【ニュース】 ◆「標的型攻撃対策=サンドボックス」という勘違いが招く“これだけの代償” (TechTarget, 2016/06/14 10:00) 未知の脅威には、従来型のセキュリティ対策だけでは限界がある――。その認識が広がるにつれて注目度が高まった「サンドボックス」だが…
【ブログ】 ◆Malicious Documents leveraging new Anti-VM & Anti-Sandbox techniques (ZScaler, 2016/06/07) https://www.zscaler.com/blogs/research/malicious-documents-leveraging-new-anti-vm-anti-sandbox-techniques
【ニュース】 ◆進化するダウンローダー、シンクホール検知でサンドボックスを回避か (マイナビニュース, 2016/02/02) http://news.mynavi.jp/news/2016/02/02/266/ 【関連まとめ記事】◆全体まとめ ◆アンチアナリシス機能 (まとめ) https://malware-log.haten…
【ニュース】 ◆利用者が気付かないサイバー攻撃が急増 (NHK, 2015/09/02) http://www3.nhk.or.jp/news/html/20150902/k10010213351000.html (魚拓)
【概要】 マルウェアを利用する標的型攻撃は全体の40%程度 侵入手口の約60%は、認証情報の窃取、ソーシャルエンジニアリング、脆弱性の悪用、内部犯行など 最近のマルウェアは、サンドボックスで実行されていることを感知し、検出を免れるように動作する …
【図表】 出典: http://blog.f-secure.jp/archives/50747839.html 【概要】 サンドボックス検知手段 GetCursorPos APIを用いてマウスの動きを確認 アクティブウィンドウの変化を確認 ディスクのシリンダー数を調査 【ブログ】 ◆Tinba:もう1つの対サンドボッ…
【ニュース】 ◆“サンドボックス神話”に潜む落とし穴! 巧妙化するメール攻撃を「多段防御」で守る (ITPro, 2015/03/25) http://itpro.nikkeibp.co.jp/atclact/activewp/14/031300174/?act03 【関連まとめ記事】◆全体まとめ ◆アンチアナリシス機能 (まとめ) h…
【図表】 出典: https://japan.zdnet.com/article/35047336/ 【ニュース】 ◆長期潜伏、自らを削除--サンドボックスを回避する未知のマルウェア (ZDNet, 2014/05/16 07:30) http://japan.zdnet.com/article/35047336/ 【関連まとめ記事】◆全体まとめ ◆アンチ…
【ニュース】 ◆合法マルウェアで実感「リアルとサンドボックスの違い」 (@IT, 2014/04/18 18:00) http://www.atmarkit.co.jp/ait/articles/1404/18/news004.html 【関連まとめ記事】◆全体まとめ ◆アンチアナリシス機能 (まとめ) https://malware-log.hatenab…
