TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究のログ

偽装手法: 検知回避

IoCによる標的型攻撃対策に限界 - Kasperskyが事例挙げて指摘

【要点】 ◎ポリモーフィック型が多用されるようになり、IoCによる標的型攻撃対策に限界 【概要】■事例(Cloud Atlas) 感染フロー HTMLベースのアプリ VBShower PowerShower 他 偽装手法 ポリモーフィック 毎回コードが異なる ハッシュ値による検出が不可能 【…

検知回避 (まとめ)

【ニュース】 ◆Stealthy BaneChant Trojan Lurks in Word File, Relies on Multiple Mouse Clicks (Threat Post, 2013/04/02) https://threatpost.com/stealthy-banechant-trojan-lurks-word-file-relies-multiple-mouse-clicks-040213/77690/ ⇒ https://mal…

新型マイナーマルウエア、タスクマネージャーを開くとこっそり隠れる

【図表】 出典: https://www.coindeskjapan.com/17362/ 【概要】■名称 Norman ■検知回避機能 explorer.exeで自身を上書き ユーザーがタスクマネージャーを開くと、マイナーの実行を停止 タスクマネージャーが終了されると、マイナーの実行を再開 【ニュース…

マルウェア対策ソフト「CylancePROTECT」に検出回避の脆弱性

【ニュース】 ◆マルウェア対策ソフト「CylancePROTECT」に検出回避の脆弱性 (マイナビニュース, 2019/08/06 08:50) https://news.mynavi.jp/article/20190806-871948/

「Trickbot」の新しい挙動を確認、リダイレクトURLにより検出を回避

【ニュース】 ◆「Trickbot」の新しい挙動を確認、リダイレクトURLにより検出を回避 (Trendmicro, 2019/05/30) https://blog.trendmicro.co.jp/archives/21410 【関連まとめ記事】◆全体まとめ ◆偽装手法 (まとめ) ◆検知回避 (まとめ) https://malware-log.hat…

「Emotet」が新しい検出回避手法を追加

【ブログ】 ◆「Emotet」が新しい検出回避手法を追加 (Trendmicro, 2019/05/14) https://blog.trendmicro.co.jp/archives/21189 【関連まとめ記事】◆全体まとめ ◆マルウェア / Malware (まとめ) ◆バンキングマルウェア (まとめ) ◆Emotet (まとめ) http://malw…

検出回避を狙いExcel 4.0マクロを利用する攻撃を国内初確認

【ブログ】 ◆検出回避を狙いExcel 4.0マクロを利用する攻撃を国内初確認 (Trendmicro, 2019/02/28) https://blog.trendmicro.co.jp/archives/20475 【関連まとめ記事】◆全体まとめ ◆偽装手法 (まとめ) ◆検知回避 (まとめ) https://malware-log.hatenablog.co…

SpeakUp (まとめ)

【概要】 Linuxに感染するバックドア型のトロイの木馬「SpeakUp」の拡散を進めるキャンペーンが観測 アンチウイルスによる検出を回避 任意のペイロードおよびコマンドの実行が可能 XMRigの配布に使われている 【ニュース】 ◆SpeakUp Linux Backdoor Sets Up …

Malware Dynamic Analysis Evasion Techniques: A Survey

【図表】 出典: https://www.researchgate.net/publication/328758559_Malware_Dynamic_Analysis_Evasion_Techniques_A_Survey 【資料】 ◆Malware Dynamic Analysis Evasion Techniques: A Survey (APA Research Center, 2018/11) https://www.researchgate.…

SamSamランサムウェアに関する重要な最新情報

【概要】 使用ツール Mimikatz PsExec 攻撃時間 通常は営業時間後に侵入 (検知回避) 偵察を実施 環境変数が攻撃に適した状態になるまで休眠 特定したシステムを一斉に攻撃 【ブログ】 ◆SamSamランサムウェアに関する重要な最新情報 (Security Blog(Fortinet)…

SynAck:プロセスドッペルギャンギングで検知を回避するランサムウェア

【図表】 身代金要求メッセージ 出典: https://blog.kaspersky.co.jp/synack-ransomware-featured/20327/ 【概要】 SynAckとは Process Doppelgängingという手法を使用 コンパイル前にコードを厳重に難読化 プロセスドッペルギャンギングとは NTFSファイルシ…

ウイルス検知を回避する手法「Dopperganging」を使うランサムウェアが登場

【ニュース】 ◆ウイルス検知を回避する手法「Dopperganging」を使うランサムウェアが登場 (ZDNet, 2018/05/09 13:36) https://japan.zdnet.com/article/35118853/ 【関連まとめ記事】◆全体まとめ ◆攻撃手法 (まとめ) ◆Process Doppelgänging (まとめ) https:…

対策ソフトをすり抜けるウイルス ロシア企業が注意呼びかけ

【ニュース】 ◆対策ソフトをすり抜けるウイルス ロシア企業が注意呼びかけ (日経新聞, 2018/05/09 10:59) https://www.nikkei.com/article/DGXMZO30242840Z00C18A5X35000/ 【関連まとめ記事】◆全体まとめ ◆攻撃手法 (まとめ) ◆Process Doppelgänging (まとめ)…

ファストフラックス (まとめ)

【辞書】 ◆Fast flux (Wikipedia) https://en.wikipedia.org/wiki/Fast_flux ◆Fast Flux (NJCCIC) https://www.cyber.nj.gov/threat-profiles/botnet-variants/fast-flux 【ニュース】 ◆Fast flux foils bot-net takedown (SecurityFocus, 2007/07/09) https…

検知を回避するマルウェアが使用するメカニズムを徹底解説

【ニュース】 アンチセキュリティツール:ウイルス対策、ファイアウォール、および環境を保護するその他のツールによる検出を回避するために使用されます。 アンチサンドボックス:自動解析機能の検知を行い、マルウェアの挙動を報告するエンジンを回避する…

Rombertik Malware Can Overwrite MBR if Audited

【ニュース】 ◆Rombertik Malware Can Overwrite MBR if Audited (Threat Post, 2015/05/04) https://threatpost.com/rombertik-malware-can-overwrite-mbr-if-audited/112608/

Stealthy BaneChant Trojan Lurks in Word File, Relies on Multiple Mouse Clicks

【ニュース】 ◆Stealthy BaneChant Trojan Lurks in Word File, Relies on Multiple Mouse Clicks (Threat Post, 2013/04/02) https://threatpost.com/stealthy-banechant-trojan-lurks-word-file-relies-multiple-mouse-clicks-040213/77690/

Trojan.APT.BaneChant: In-Memory Trojan That Observes for Multiple Mouse Clicks

【ブログ】 ◆Trojan.APT.BaneChant: In-Memory Trojan That Observes for Multiple Mouse Clicks (FireEye, 2013/04/01) https://www.fireeye.com/blog/threat-research/2013/04/trojan-apt-banechant-in-memory-trojan-that-observes-for-multiple-mouse-cl…


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2019