偽装手法: 検知回避
【概要】■回避型 検出を回避するマルウェア 正規のアプリケーションを悪用して自身の存在を隠蔽 サンドボックスでの解析が始まると、その動きを察知し、実行を遅らせる ■回避型の比率 68% 【ニュース】 ◆マルウェアの7割近くを「回避型」が占める--四半期レ…
【要点】 ◎Tickは日本と韓国をターゲットにした攻撃を展開。共通点と国別の差異が堪忍されている 【概要】■日本・韓国に共通した攻撃 マルウェア生成時にファイルを肥大化させ、ウイルス対策ソフトの検知を回避 ■日本での攻撃 資産管理ソフトウェアの脆弱性…
【要点】 ◎ポリモーフィック型が多用されるようになり、IoCによる標的型攻撃対策に限界 【概要】■事例(Cloud Atlas) 感染フロー HTMLベースのアプリ VBShower PowerShower 他 偽装手法 ポリモーフィック 毎回コードが異なる ハッシュ値による検出が不可能 【…
【ニュース】 ◆Cylanceの検出を回避する手口が判明 「AIセキュリティ」は本当に安全か (ITmedia, 2019/08/20 10:05) https://techtarget.itmedia.co.jp/tt/news/1908/20/news07.html 【関連まとめ記事】◆全体まとめ ◆防御技術 (まとめ) ◆誤検知 (まとめ) htt…
【図表】 出典: https://www.coindeskjapan.com/17362/ 【概要】■名称 Norman ■検知回避機能 explorer.exeで自身を上書き ユーザーがタスクマネージャーを開くと、マイナーの実行を停止 タスクマネージャーが終了されると、マイナーの実行を再開 【ニュース…
【ニュース】 ◆マルウェア対策ソフト「CylancePROTECT」に検出回避の脆弱性 (マイナビニュース, 2019/08/06 08:50) https://news.mynavi.jp/article/20190806-871948/ 【関連まとめ記事】◆全体まとめ ◆偽装手法 (まとめ) ◆検知回避 (まとめ) https://malware…
【ニュース】 ◆サイランス製品にマルウェア検知回避の問題、アルゴリズム改良で対処 (ZDNet, 2019/08/05 11:40) https://japan.zdnet.com/article/35140874/ 【関連まとめ記事】◆全体まとめ ◆偽装手法 (まとめ) ◆検知回避 (まとめ) https://malware-log.hate…
【ニュース】 ◆「Trickbot」の新しい挙動を確認、リダイレクトURLにより検出を回避 (Trendmicro, 2019/05/30) https://blog.trendmicro.co.jp/archives/21410 【関連まとめ記事】◆全体まとめ ◆偽装手法 (まとめ) ◆検知回避 (まとめ) https://malware-log.hat…
【ブログ】 ◆「Emotet」が新しい検出回避手法を追加 (Trendmicro, 2019/05/14) https://blog.trendmicro.co.jp/archives/21189 【関連まとめ記事】◆全体まとめ ◆マルウェア / Malware (まとめ) ◆バンキングマルウェア (まとめ) ◆Emotet (まとめ) http://malw…
【ブログ】 ◆検出回避を狙いExcel 4.0マクロを利用する攻撃を国内初確認 (Trendmicro, 2019/02/28) https://blog.trendmicro.co.jp/archives/20475 【関連まとめ記事】◆全体まとめ ◆偽装手法 (まとめ) ◆検知回避 (まとめ) https://malware-log.hatenablog.co…
【概要】 Linuxに感染するバックドア型のトロイの木馬「SpeakUp」の拡散を進めるキャンペーンが観測 アンチウイルスによる検出を回避 任意のペイロードおよびコマンドの実行が可能 XMRigの配布に使われている 【ニュース】 ◆SpeakUp Linux Backdoor Sets Up …
【図表】 出典: https://www.researchgate.net/publication/328758559_Malware_Dynamic_Analysis_Evasion_Techniques_A_Survey 【資料】 ◆Malware Dynamic Analysis Evasion Techniques: A Survey (APA Research Center, 2018/11) https://www.researchgate.…
【概要】 使用ツール Mimikatz PsExec 攻撃時間 通常は営業時間後に侵入 (検知回避) 偵察を実施 環境変数が攻撃に適した状態になるまで休眠 特定したシステムを一斉に攻撃 【ブログ】 ◆SamSamランサムウェアに関する重要な最新情報 (Security Blog(Fortinet)…
【図表】 身代金要求メッセージ 出典: https://blog.kaspersky.co.jp/synack-ransomware-featured/20327/ 【概要】 SynAckとは Process Doppelgängingという手法を使用 コンパイル前にコードを厳重に難読化 プロセスドッペルギャンギングとは NTFSファイルシ…
【ニュース】 ◆ウイルス検知を回避する手法「Dopperganging」を使うランサムウェアが登場 (ZDNet, 2018/05/09 13:36) https://japan.zdnet.com/article/35118853/ 【関連まとめ記事】◆全体まとめ ◆攻撃手法 (まとめ) ◆Process Doppelgänging (まとめ) https:…
【ニュース】 ◆対策ソフトをすり抜けるウイルス ロシア企業が注意呼びかけ (日経新聞, 2018/05/09 10:59) https://www.nikkei.com/article/DGXMZO30242840Z00C18A5X35000/ 【関連まとめ記事】◆全体まとめ ◆攻撃手法 (まとめ) ◆Process Doppelgänging (まとめ…
【辞書】 ◆Fast flux (Wikipedia) https://en.wikipedia.org/wiki/Fast_flux ◆Fast Flux (NJCCIC) https://www.cyber.nj.gov/threat-profiles/botnet-variants/fast-flux 【ニュース】 ◆Fast flux foils bot-net takedown (SecurityFocus, 2007/07/09) https…
【概要】 アンチセキュリティツール:ウイルス対策、ファイアウォール、および環境を保護するその他のツールによる検出を回避するために使用されます。 アンチサンドボックス:自動解析機能の検知を行い、マルウェアの挙動を報告するエンジンを回避するため…
【ニュース】 ◆Rombertik Malware Can Overwrite MBR if Audited (Threat Post, 2015/05/04) https://threatpost.com/rombertik-malware-can-overwrite-mbr-if-audited/112608/ 【関連まとめ記事】◆全体まとめ ◆偽装手法 (まとめ) ◆検知回避 (まとめ) https:…
【ニュース】 ◆Chrome拡張機能のセキュリティを回避するマルウェア登場 (Gigazine, 2014/09/08 13:00) http://gigazine.net/news/20140908-malware-bypasses-chrome-extension-security/ 【関連まとめ記事】◆全体まとめ ◆偽装手法 (まとめ) ◆検知回避 (まと…
【ニュース】 ◆Stealthy BaneChant Trojan Lurks in Word File, Relies on Multiple Mouse Clicks (Threat Post, 2013/04/02) https://threatpost.com/stealthy-banechant-trojan-lurks-word-file-relies-multiple-mouse-clicks-040213/77690/ 【関連まとめ…
【ブログ】 ◆Trojan.APT.BaneChant: In-Memory Trojan That Observes for Multiple Mouse Clicks (FireEye, 2013/04/01) https://www.fireeye.com/blog/threat-research/2013/04/trojan-apt-banechant-in-memory-trojan-that-observes-for-multiple-mouse-cl…
