【ニュース】 ◆「Barracuda ESG」へのゼロデイ攻撃 - フォレンジック調査に対抗、活動を隠蔽 (Security NEXT, 2023/08/24) https://www.security-next.com/148905 【関連まとめ記事】◆全体まとめ ◆アプリ (まとめ) ◆脆弱性 (まとめ) ◆Barracuda ESG (まとめ)…

【ニュース】 ◆APIを難読化する「API hashing」 (日経XTECH, 2022/08/03) https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/111900071/071900034/

【ニュース】 ◆「Saitama」マルウェアがDNSにメッセージを隠匿した巧妙な方法が明かされる (マイナビニュース, 2022/05/26 20:23) https://news.mynavi.jp/techplus/article/20220526-2352002/ 【関連まとめ記事】◆全体まとめ ◆マルウェア / Malware (まとめ…

【図表】 ドメイン生成アルゴリズムシステム (Fortinet) C2通信におけるDNSトンネリング (Fortinet) APT34によるDNSの流出 (Fortinet) 出典: https://www.bleepingcomputer.com/news/security/iranian-hackers-exposed-in-a-highly-targeted-espionage-campa…

【図表】 最新キャンペーンで確認されたフィッシングメール（Proofpoint社製） 感染プロセス(Proofpoint社) 出典: https://www.bleepingcomputer.com/news/security/new-stealthy-nerbian-rat-malware-spotted-in-ongoing-attacks/ 【ニュース】 ◆New stealt…

【ニュース】 ◆Windowsイベントログを利用したファイルレスマルウェアの手法が観測される (Gigazine, 2022/05/10 12:00) https://gigazine.net/news/20220510-fileless-malware-windows-event-logs/ 【関連情報】 ◆A new secret stash for “fileless” malwar…

【ニュース】 ◆Windowsのイベントログをコードの隠し先として悪用、サイバー攻撃で初確認 (マイナビニュース, 2022/05/09 07:47) https://news.mynavi.jp/techplus/article/20220509-2340758/ 【関連情報】 ◆A new secret stash for “fileless” malware (Sec…

【ブログ】 ◆A new secret stash for “fileless” malware (SecureList, 2022/05/04) [「ファイルレス」マルウェアの新たな秘密の隠し場所] https://securelist.com/a-new-secret-stash-for-fileless-malware/106393/ 【関連情報】 ◆Windowsのイベントログを…

【概要】■感染手法 ファイルレス (レジストリを使用) セルフアップデート 再コンパイル ■感染経路 電子メール 【ニュース】 ◆Windowsユーザーは注意 セキュリティソフトウェアの検出を回避する新種のマルウェアが見つかる (ITmedia, 2021/12/18 07:00) https…

【図表】 出典: https://www.bleepingcomputer.com/news/security/new-malware-hides-as-legit-nginx-process-on-e-commerce-servers/ 【概要】 項目 内容 マルウェア名 NginRAT 【ニュース】 ◆New malware hides as legit nginx process on e-commerce serv…

【ブログ】 ◆Ransomware: Growing Number of Attackers Using Virtual Machines (Broadcom, 2021/06/23) [ランサムウェア。仮想マシンを利用する攻撃者の増加] Tactic hides ransomware payload and lowers the risk of discovery while encryption process …

【ニュース】 ◆「Python」で“スキャン擦り抜けマルウェア”の開発が容易に？ 判明した問題は (TechTarget, 2021/06/06 11:30) 「Python」ソースコードを実行可能ファイルに変換する開発ツール「PyInstaller」が、サイバー犯罪者のマルウェア開発を容易にする…

◎2014年に発見されたトロイの木馬。当初は銀行口座の認証情報を窃取するマルウェアだった。のちに、ボットネット化、ワーム機能の搭載、マルウェア配信機能などが、モジュールとして追加された。[https://malware-log.hatenablog.com/entry/TA542:title=TA54…

【ブログ】 ◆人気ゲームランチャーの偽装など、巧妙な検出回避を行う「LokiBot」 (Trendmicro, 2020/03/10) https://blog.trendmicro.co.jp/archives/24085 【関連まとめ記事】◆全体まとめ ◆マルウェア / Malware (まとめ) ◆Bot (まとめ) ◆LokiBot (まとめ) …

【目次】 概要 【ニュース】 【ブログ】 【図表】 関連情報 【関連まとめ記事】 概要 【概要】■APT3のアンチアナリシス機能 一般的なベクトル破壊手法を用いてアドレス空間配置のランダム化(ASLR)機能を迂回 ROPを用いてデータ実行防止(DEP)機能を迂回 一定…

【要点】 ◎ポリモーフィック型が多用されるようになり、IoCによる標的型攻撃対策に限界 【概要】■事例(Cloud Atlas) 感染フロー HTMLベースのアプリ VBShower PowerShower 他 偽装手法 ポリモーフィック 毎回コードが異なる ハッシュ値による検出が不可能 【…

概要 【図表】 2018年末から2019年4月までの期間、Cloud Atlasが利用していた感染チェーン 強化されたCloud Atlasの新しい感染チェーン 出典: https://www.kaspersky.co.jp/about/press-releases/2019_vir22082019 記事 【公開情報】 ◆サイバー犯罪組織「Clo…

【ニュース】 ◆Excelにリモートから攻撃できる脆弱性、「検出難しい」 (マイナビニュース, 2019/07/01 06:35) https://news.mynavi.jp/article/20190701-851004/ 【関連まとめ記事】◆全体まとめ ◆アンチアナリシス機能 (まとめ) https://malware-log.hatenab…

【ニュース】 ◆New Dridex Variant Slips By Anti-Virus Detection (Threat Post, 2019/06/28 16:05) これまでに見たことのないDridexの亜種が、アンチウイルス検出回避策を使ったフィッシングメールで発見されています https://threatpost.com/new-dridex-v…

【ニュース】 ◆Intel CPUのセキュリティ機構「SGX」にマルウェアを隠すことでセキュリティソフトで検出できない危険性、概念実証用のプログラムも公開済み (Gigazine, 2019/02/14 20:02) https://gigazine.net/news/20190214-intel-sgx-vulnerability/ 【関…

【ニュース】 ◆Emotet Uses Camouflaged Malicious Macros to Avoid Antivirus Detection (BleepingComputer, 2019/02/14 14:59) https://www.bleepingcomputer.com/news/security/emotet-uses-camouflaged-malicious-macros-to-avoid-antivirus-detection/ …

【辞書】 ◆APT3 (ATT&CK) https://attack.mitre.org/groups/G0022/ ◆APT group: APT 3, Gothic Panda, Buckeye (ThaiCERT) https://apt.thaicert.or.th/cgi-bin/showcard.cgi?g=APT%203%2C%20Gothic%20Panda%2C%20Buckeye&n=1 【名称】 組織名称 使用組織 AP…

【概要】 感染経路 メール添付ファイルからの感染 請求書などを装ったWordファイルをメールで送り付け 改ざんされたwebサイトからの感染 マクロにより感染を広げる 症状 拡張子が「.locky」に書き換わってしまう アンチアナリシス機能 隠匿されたAPIを呼び出…

【ニュース】 ◆ステルス機能備えたAndroidアドウェア「MobiDash」に注意 (マイナビニュース, 2018/07/25 09:21) https://news.mynavi.jp/article/20180725-668914/ 【関連まとめ記事】◆全体まとめ ◆アンチアナリシス機能 (まとめ) https://malware-log.haten…

【概要】 1404個のドメインに接続、有効なのは1つ 2週間待ってから攻撃者のコマンド＆コントロール（C&C）サーバに接続する遅延メカニズム 反射型の.exeファイル 以前にマシンにインストールされた他のマルウェアのインスタンスを削除 【ニュース】 ◆"高度に…

【ニュース】 ◆Loading Kernel Shellcode (FireEye, 2018/04/23) https://www.fireeye.com/blog/threat-research/2018/04/loading-kernel-shellcode.html 【関連まとめ記事】◆全体まとめ ◆アンチアナリシス機能 (まとめ) https://malware-log.hatenablog.com…

【ブログ】 ◆「URSNIF」の新手法：マクロを利用してサンドボックス検出を回避 (Trendmicro, 2017/11/20) https://blog.trendmicro.co.jp/archives/16418 【関連まとめ記事】◆全体まとめ ◆アンチアナリシス機能 (まとめ) https://malware-log.hatenablog.com/…

【辞書】 ◆Fast flux (Wikipedia) https://en.wikipedia.org/wiki/Fast_flux ◆Fast Flux (NJCCIC) https://www.cyber.nj.gov/threat-profiles/botnet-variants/fast-flux 【ニュース】 ◆Fast flux foils bot-net takedown (SecurityFocus, 2007/07/09) https…

【ニュース】 ◆コンピューターウイルスは「検知ツールの目をかいくぐろう」と考えている (ASCII.jp, 2017/10/13 11:00) http://ascii.jp/elem/000/001/565/1565866/ 【関連まとめ記事】◆全体まとめ ◆アンチアナリシス機能 (まとめ) https://malware-log.hate…

【ニュース】 ◆特殊なSMBサーバーを使用してマルウェア検出を避ける攻撃「Illusion Gap」 (スラド, 2017/10/01 17:24) https://security.srad.jp/story/17/09/30/1912221/ 【関連まとめ記事】◆全体まとめ ◆アンチアナリシス機能 (まとめ) https://malware-lo…