【ニュース】 ◆ Falco・Tetragon・Microsoft Defenderも回避：ARMOが発見したLinux「io_uring」悪用の新型マルウェア回避手法 (innovaTopia, 2025/04/30 08:01) https://innovatopia.jp/cyber-security/cyber-security-news/52962/

【訳】Medusaランサムウェア、盗難証明書を使用してマルウェア対策を無効にする悪意のあるドライバを使用 【図表】 出典: https://thehackernews.com/2025/03/medusa-ransomware-uses-malicious-driver.html 【要約】 Medusaランサムウェアは、新たに「ABYSS…

【訳】ランサムウェア集団、EDRを回避するためにウェブカメラからネットワークを暗号化 【図表】 Akiraの攻撃手順の概要 (S-RM) 出典: https://www.bleepingcomputer.com/news/security/ransomware-gang-encrypted-network-from-a-webcam-to-bypass-edr/ 【…

【訳】カメラオフ：アキラがウェブカメラ経由でランサムウェアを展開 【図表】 出典: https://www.s-rminform.com/latest-thinking/camera-off-akira-deploys-ransomware-via-webcam 指標名 説明 SHA-1 ハッシュ値 win.exe Windows マシン用の Akira ランサ…

【EDR回避】■回避手法 ◆ AMSI バイパス (まとめ) https://malware-log.hatenablog.com/entry/AMSI_Bypass ◆APIフック (まとめ) https://malware-log.hatenablog.com/entry/API_Hooks ◆Hell's Gate (まとめ) https://malware-log.hatenablog.com/entry/Hell%2…

【図表】 近年登場したAV／EDR無効化ツール フックの再帰問題と悪用によるフック回避 Windows API呼び出しの全体概要とHell‘s Gate 出典: https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/111900071/121800062/ 【概要】 項目 内容 1 Bring Your Own Vulnerab…

【ニュース】 ◆攻撃者はEDRの回避方法を模索している、特に注目すべき10種の手口を解説 (日経XTECH, 2024/12/23) https://xtech.nikkei.com/atcl/nxt/column/18/02805/121900012/ ⇒ https://malware-log.hatenablog.com/entry/2024/12/23/000000 【検索】■Go…

【ニュース】 ◆攻撃者はEDRの回避方法を模索している、特に注目すべき10種の手口を解説 (日経XTECH, 2024/12/23) https://xtech.nikkei.com/atcl/nxt/column/18/02805/121900012/ ⇒ https://malware-log.hatenablog.com/entry/2024/12/23/000000 【検索】■Go…

【図表】 近年登場したAV／EDR無効化ツールの例 フックの再帰問題と悪用によるフック回避 Windows API呼び出しの全体概要とHell‘s Gate 出典: https://xtech.nikkei.com/atcl/nxt/column/18/02805/121900012/ 【概要】 No 手口 / 手法 1 正規ドライバーの脆…

【ニュース】 ◆Windows XP以降にセキュリティ検出回避の可能性、注意を (マイナビニュース, 2024/12/13 08:29) https://news.mynavi.jp/techplus/article/20241213-3084724/

【ブログ】 ◆サイバー攻撃対策の最前線：EDR回避ツールの悪用と87,000台以上のFortinetデバイスの脆弱性問題 (サイバーセキュリティナビ, 2024/10/23) https://blog.cbsec.jp/entry/2024/10/23/060000 【関連まとめ記事】◆全体まとめ ◆マルウェア / Malware …

【ニュース】 ◆EDR製品を無効化するランサムウェア攻撃を確認 RansomHubの最新手口 (ITmedia, 2024/09/13 08:00) https://www.itmedia.co.jp/enterprise/articles/2409/13/news067.html 【関連まとめ記事】◆全体まとめ ◆攻撃組織 / Actor (まとめ) ◆サイバー…

【訳】ランサムウェア「RansomHub」は、EDRソフトウェアを無効にするためにカスペルスキーのTDSSKillerを悪用 【図表】 出典: 【要約】 【ニュース】 ◆RansomHub ransomware abuses Kaspersky TDSSKiller to disable EDR software (BleepingComputer, 2024/0…

【図表】 出典: https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/111900071/081900058/ 【ニュース】 ◆システムに介入する「フック」の技術 (日経XTECH, 2024/09/03) https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/111900071/081900058/ 【関連まとめ記事】◆…

【書籍】 ◆Evading EDR (Matt Hand, 2024) https://nostarch.com/evading-edr 【目次】第1章:EDR-chitecture 第2章:関数フックDLL 第3章:プロセスおよびスレッド作成の通知 第4章:オブジェクト通知 第5章:画像読み込みとレジストリ通知 第6章:ファイルシステ…

【ニュース】 ◆Ransomware gang deploys new malware to kill security software (BleepingComputer, 2024/08/15 14:01) [ランサムウェア集団、セキュリティ対策ソフトを無効化する新たなマルウェアを展開] https://www.bleepingcomputer.com/news/security/…

【概要】 攻撃組織は、Process Explorer のバージョン 16.32 の PROCEXP.SYS という名前のドライバーを、Process Explorer ドライバーの正規バージョン (PROCEXP152.sys) と同じ場所にドロップ 【ニュース】■2023年 ◆Ransomware gangs abuse Process Explore…

【訳】ランサムウェア攻撃者が新たなEDRキラーを武器庫に導入 【図表】 ローダー実行プロセスの概要 CFF Explorerに表示されたEDRKillShifterのバージョン情報 EDRKillShifterマルウェアの第2層復号ルーチンの擬似コード EDRKillShifterは自己修正コードを使…

【ニュース】 ◆ロシアのFIN7が開発、セキュリティシステムを狙う新ツール「AuKill」でランサムウェア攻撃を強化 (innovaTopia, 2024/07/17 20:08) https://innovatopia.jp/cyber-security/cyber-security-news/39457/ 【関連まとめ記事】◆全体まとめ ◆マルウ…

【図表】 EDRが使用する従来のAPIフックと新しいAPIフック 出典: MalwareTech 【ニュース】 ◆マルウェアがEDRの検出をすり抜ける手口とは (マイナビニュース, 2023/12/28) https://news.mynavi.jp/techplus/article/20231228-2851486/

【ブログ】 ◆Aukill An Silent EDR Killer Malware (Mohitrajai, 2023/05/29) https://mohitrajai.medium.com/aukill-an-silent-edr-killer-malware-45f45a276aae 【関連まとめ記事】◆全体まとめ ◆マルウェア / Malware (まとめ) ◆EDR回避 (まとめ) ◆AuKill …

【訳】EDRバイパス技術「Aukill」 - 20230501006 【公開情報】 ◆EDR Bypass Technique 'Aukill' - 20230501006 (WA Cyber Security Unit, 2023/05/01) [EDRバイパス技術「Aukill」 - 20230501006] https://soc.cyber.wa.gov.au/advisories/20230501006-EDR-B…

【訳】ランサムウェアのハッカーがAuKillツールを使用してEDRソフトウェアを無効化 BYOVD攻撃を使用 【図表】 出典: https://thehackernews.com/2023/04/ransomware-hackers-using-aukill-tool-to.html 【要約】 ランサムウェア集団は、脆弱なドライバを悪用…

【ニュース】 ◆AuKill マルウェア：悪意のドライバーで EDR を無力化してから攻撃を開始 (IoT OT Security News, 2023/04/21) https://iototsecnews.jp/2023/04/21/aukill-malware-hunts-kills-edr-processes/ 【関連まとめ記事】◆全体まとめ ◆マルウェア / …

【ブログ】 ◆Process Explorer のドライバを悪用し、EDR を妨害するマルウェア「AuKill」 (Sophos, 2023/04/19) ドライバを悪用してセキュリティ製品を無効化する攻撃が増加しています https://news.sophos.com/ja-jp/2023/04/19/aukill-edr-killer-malware-…

【ブログ】■2020年 ◆AMSIの関数について (セキュリティアナリストのつぶやき, 2020/04/16) https://securityblog.jp/securityanalyst/contents/100108.php ⇒ https://malware-log.hatenablog.com/entry/2021/04/16/000000_7 ■2021年 ◆マルウェアで用いられる…

【ニュース】 ◆BlackByte ランサムウェア：検出を回避するための Bring Your Own Driver とは？ (IoT OT Security News, 2022/10/05) https://iototsecnews.jp/2022/10/05/blackbyte-ransomware-abuses-legit-driver-to-disable-security-products/ 【関連ま…

【概要】■EDR バイパス方法 項目 内容 AMSI バイパス アンフック リフレクティブDLLロード ディスクからDLLをロードする代わりに、既存のプロセスにメモリから悪意あるDLLをロードする手法 【ブログ】 ◆EDRを回避するためのスター・ウォーズのジェダイ・マイ…

【図表】 AMSIが機能しているところ 引用元：How the Antimalware Scan Interface (AMSI) helps you defend against malware powershell.exeから呼ばれるamsi.dll内の関数 AmsiScanBuffer()の引数の一部 引用元：AmsiScanBuffer function 関数AmsiScanBuffer…

【ブログ】 ◆Agent Tesla：APIフックを削除してEDRを回避 (HP, 2020/11/17) https://jp.ext.hp.com/blog/security/product/agent-tesla-evading-edr-by-removing-api-hooks/ 【関連まとめ記事】◆全体まとめ ◆プログラミング技術 (まとめ) ◆APIフック (まとめ)…