TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究・参照ログ

偽装手法: 検知回避

セキュリティを無効化するマルウェアが333%増加 防御回避は“常識”になっている

【ニュース】 ◆セキュリティを無効化するマルウェアが333%増加 防御回避は“常識”になっている (ITmedia, 2024/02/15 08:30) https://www.itmedia.co.jp/enterprise/articles/2402/15/news052.html

Cybercrime service bypasses Android security to install malware

【訳】サイバー犯罪サービス、アンドロイドのセキュリティをかいくぐりマルウェアをインストール 【図表】出典: https://www.bleepingcomputer.com/news/security/cybercrime-service-bypasses-android-security-to-install-malware/ 【ニュース】 ◆Cybercri…

検知回避 (まとめ)

tt-ai.hatenablog.com 【目次】 まとめリスト 【マルウェア】 概要 記事 【ニュース】 【ブログ】 【公開情報】 【資料】 【図表】 【検索】 関連情報 【関連まとめ記事】 まとめリスト 【マルウェア】 ◆ファストフラックス (まとめ) https://malware-log.ha…

Snatchランサムウェア、セーフモードでセキュリティ対策を回避

【概要】 項目 内容 別名 Team Truniger (初期) 形態 RaaS (Ransam as a Service) 攻撃手法 RDP経由で攻撃、ブラックマーケットより入手した資格情報なども活用 脅迫手法 二重脅迫 / 二重恐喝 検知回避 デバイスをセーフモードで再起動し、検知を回避 メンバ…

通信会社を狙う新しいマルウェア発見、セキュリティ製品を回避か

【ニュース】 ◆通信会社を狙う新しいマルウェア発見、セキュリティ製品を回避か (マイナビニュース, 2023/09/22 09:29) https://news.mynavi.jp/techplus/article/20230922-2775523/

New ShroudedSnooper actor targets telecommunications firms in the Middle East with novel Implants

【訳】新手のShroudedSnooper、斬新なインプラントで中東の通信会社を狙う 【要約】 Cisco Talosは、中東の通信プロバイダーを標的にする新しいマルウェア「HTTPSnoop」を発見。このマルウェアはWindowsのHTTPカーネルドライバと連携し、特定のHTTP(S) URLの…

最新版検出回避エンジンを組み込んだマルウェア「SeroXen」

【公開情報】 ◆最新版検出回避エンジンを組み込んだマルウェア「SeroXen」 (Trendmicro, 2023/09/06) https://www.trendmicro.com/ja_jp/research/23/i/seroxen-incorporates-latest-batcloak-engine-iteration.html 【関連まとめ記事】◆全体まとめ ◆偽装手…

ステルス性増す中国のサイバースパイ:検知回避の戦術がさらに進化

【ブログ】 ◆ステルス性増す中国のサイバースパイ:検知回避の戦術がさらに進化 (Mandiant, 2023/07/18) https://www.mandiant.jp/resources/blog/chinese-espionage-tactics 【関連まとめ記事】◆全体まとめ ◆攻撃組織 / Actor (まとめ) ◆標的型攻撃組織 / A…

New Mockingjay process injection technique evades EDR detection

【訳】『Mockingjay』プロセス・インジェクションの新手法がEDR検出を回避 【図表】 RWXセクションに悪意のあるコードを書き込む(Security Joes) API使用をバイパスできるようにシステムコールスタブを作成するコード(Security Joes) 新しいプロセスを起…

AceCryptor (まとめ)

【ニュース】 ◆パックしてマルウェアを検出から保護する「AceCryptor」、ESETが詳細報告 (マイナビニュース, 2023/06/05 07:31) https://news.mynavi.jp/techplus/article/20230605-2691618/ ⇒ https://malware-log.hatenablog.com/entry/2023/06/05/000000_…

パックしてマルウェアを検出から保護する「AceCryptor」、ESETが詳細報告

【図表】 出典: https://news.mynavi.jp/techplus/article/20230605-2691618/ 【ニュース】 ◆パックしてマルウェアを検出から保護する「AceCryptor」、ESETが詳細報告 (マイナビニュース, 2023/06/05 07:31) https://news.mynavi.jp/techplus/article/202306…

Evasive QBot Malware Leverages Short-lived Residential IPs for Dynamic Attacks

【ニュース】 ◆Evasive QBot Malware Leverages Short-lived Residential IPs for Dynamic Attacks (The Hacker News, 2023/06/01) [短命な居住地IPを活用した動的な攻撃を行う回避型マルウェア「QBot」] https://thehackernews.com/2023/06/evasive-qbot-ma…

WinRAR SFX archives can run PowerShell without being detected

【訳】WinRAR SFX アーカイブは、検出されずに PowerShell を実行できます 【ニュース】 ◆WinRAR SFX archives can run PowerShell without being detected (BleepingComputer, 2023/04/03 14:20) [WinRAR SFX アーカイブは、検出されずに PowerShell を実行…

Emotet再拡散か アンチウイルスソフトの回避狙う新手口も JPCERT/CCが注意喚起

【ニュース】 ◆Emotet再拡散か アンチウイルスソフトの回避狙う新手口も JPCERT/CCが注意喚起 (ITmedia, 2023/03/08 17:43) https://www.itmedia.co.jp/news/articles/2303/08/news163.html 【関連まとめ記事】◆全体まとめ ◆マルウェア / Malware (まとめ) ◆…

要警戒、「Emotet」が活動再開 - 巨大ファイルで検知回避か

【概要】 「EmoCheck」で検出できないケースも確認 【ニュース】 ◆要警戒、「Emotet」が活動再開 - 巨大ファイルで検知回避か (Security NEXT, 2023/03/08) https://www.security-next.com/144322 【関連まとめ記事】◆全体まとめ ◆マルウェア / Malware (ま…

Parallax RAT Targeting Cryptocurrency Firms with Sophisticated Injection Techniques

【訳】高度なインジェクション技術で暗号通貨企業を狙う「Parallax RAT」について 【図表】 出典: https://thehackernews.com/2023/03/parallax-rat-targeting-cryptocurrency.html 【ニュース】 ◆Parallax RAT Targeting Cryptocurrency Firms with Sophist…

Emotet Malware Makes a Comeback with New Evasion Techniques

【訳】マルウェア「Emotet」、新たな回避手法でカムバックを果たす 【ニュース】 ◆Emotet Malware Makes a Comeback with New Evasion Techniques (The Hacker News, 2023/01/24) [マルウェア「Emotet」、新たな回避手法でカムバックを果たす] https://theha…

AWSなど5社のWAFの検知を回避する攻撃手法が見つかる

【ニュース】 ◆AWSなど5社のWAFの検知を回避する攻撃手法が見つかる (マイナビニュース, 2022/12/14 10:28) https://news.mynavi.jp/techplus/article/20221214-2535254/ 【関連まとめ記事】◆全体まとめ ◆偽装手法 (まとめ) ◆検知回避 (まとめ) https://malw…

攻撃者がこぞって実施する「セキュリティの回避法」判明 Fortinetが分析

【図表】 2021年7月~2022年7月の間に検知されたランサムウェアの件数(提供:フォーティネットジャパン) マルウェアの上位の戦術と手法(提供:フォーティネットジャパン) 出典: https://atmarkit.itmedia.co.jp/ait/articles/2209/22/news047.html 【概…

Android 13のセキュリティ新機能を回避する方法、サイバー犯罪者が開発中

【ニュース】 ◆Android 13のセキュリティ新機能を回避する方法、サイバー犯罪者が開発中 (マイナビニュース, 2022/08/18 14:06) https://news.mynavi.jp/techplus/article/20220818-2428359/ 【関連まとめ記事】◆全体まとめ ◆偽装手法 (まとめ) ◆検知回避 (…

Cybercriminals Developing BugDrop Malware to Bypass Android Security Features

【ニュース】 ◆Cybercriminals Developing BugDrop Malware to Bypass Android Security Features (The Hacker News, 2022/08/17) [サイバー犯罪者、Androidのセキュリティ機能を回避するマルウェア「BugDrop」を開発中] https://thehackernews.com/2022/08/…

16 進、8 進表記 IP アドレスで検出回避試みる Emotet の手口

【ニュース】 ◆16 進、8 進表記 IP アドレスで検出回避試みる Emotet の手口 (NetSecurity, 2022/02/03 08:00) https://scan.netsecurity.ne.jp/article/2022/02/03/47068.html 【関連まとめ記事】◆全体まとめ ◆偽装手法 (まとめ) ◆検知回避 (まとめ) https:…

16進表記 / 8進表記のIPアドレスを用いて検出回避を試みるEmotetの攻撃手口を解説

【図表】 コマンド内の8進数をドット付き10進表記に変換した様子 出典: https://blog.trendmicro.co.jp/archives/30083 【ブログ】 ◆16進表記 / 8進表記のIPアドレスを用いて検出回避を試みるEmotetの攻撃手口を解説 (Trendmicro, 2022/01/31) https://blog.…

37日ごとに難読化と暗号化メカニズムを変更 Microsoftがサイバー攻撃者の検出回避の手口を公表

【図表】 Timeline of the xls/xslx.html phishing campaign and encoding techniques used 出典: https://www.microsoft.com/security/blog/2021/08/12/attackers-use-morse-code-other-encryption-methods-in-evasive-phishing-campaign/ 【ニュース】 ◆37…

Attackers use Morse code, other encryption methods in evasive phishing campaign

【図表】 Timeline of the xls/xslx.html phishing campaign and encoding techniques used 出典: https://www.microsoft.com/security/blog/2021/08/12/attackers-use-morse-code-other-encryption-methods-in-evasive-phishing-campaign/ 【ブログ】 ◆Atta…

Ransomware: Growing Number of Attackers Using Virtual Machines

【ブログ】 ◆Ransomware: Growing Number of Attackers Using Virtual Machines (Broadcom, 2021/06/23) [ランサムウェア。仮想マシンを利用する攻撃者の増加] Tactic hides ransomware payload and lowers the risk of discovery while encryption process …

Lemon Duck Cryptojacking Botnet Changes Up Tactics

【概要】 マルウェアのツールキットにCobalt Strike攻撃フレームワークを追加 検知回避 中国(「.cn」)、日本(「.jp」)、韓国(「.kr」)のTLD内のWebサイトのみをC2活動に利用 Microsoft Exchangeサーバーを標的 モネロマイニング 少なくとも12種類の初…

マルウェアの7割近くを「回避型」が占める--四半期レポート(ウォッチガード)

【概要】■回避型 検出を回避するマルウェア 正規のアプリケーションを悪用して自身の存在を隠蔽 サンドボックスでの解析が始まると、その動きを察知し、実行を遅らせる ■回避型の比率 68% 【ニュース】 ◆マルウェアの7割近くを「回避型」が占める--四半期レ…

攻撃グループ「Tick」が過去10年間に東アジアで行ってきたサイバースパイ活動の実態

【要点】 ◎Tickは日本と韓国をターゲットにした攻撃を展開。共通点と国別の差異が堪忍されている 【概要】■日本・韓国に共通した攻撃 マルウェア生成時にファイルを肥大化させ、ウイルス対策ソフトの検知を回避 ■日本での攻撃 資産管理ソフトウェアの脆弱性…

IoCによる標的型攻撃対策に限界 - Kasperskyが事例挙げて指摘

【要点】 ◎ポリモーフィック型が多用されるようになり、IoCによる標的型攻撃対策に限界 【概要】■事例(Cloud Atlas) 感染フロー HTMLベースのアプリ VBShower PowerShower 他 偽装手法 ポリモーフィック 毎回コードが異なる ハッシュ値による検出が不可能 【…


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2023