【概要】 ウイルス対策製品の動作 実行可能ファイルを実行すると、カーネルコールバックによってその動作を検出し、ファイルをスキャン 実行可能ファイルが既にディスクに存在していた場合、ファイル作成の段階で既にスキャンされていることから、プロセス作…

【概要】 MajikPOSはRAMスクレーパを後からダウンロード この手法により、エンドポイントのメモリを読み取れるファイルの監視ツールを回避 【ニュース】 ◆POS端末を狙うマルウェア「MajikPOS」はどのようにして検出をすり抜けるのか (TechTarget, 2017/09/01…

【ニュース】 ◆JavaScriptによる新種の難読化マルウェア解析方法 (Teck Talk, 2017/07/04) https://techtalk.pcmatic.jp/20170704171526/ 【関連まとめ記事】◆全体まとめ ◆アンチアナリシス機能 (まとめ) https://malware-log.hatenablog.com/entry/Anti_Ana…

【図表】 「[wali]」セクションの文字列 「wali.exe」のファイル名 出典: https://blog.kaspersky.co.jp/old-malware-tricks-to-bypass-detection-in-the-age-of-big-data/15323/ 【ブログ】 ◆ビッグデータ時代に昔の手口で検知を逃れるマルウェア (Kaspersk…

【ニュース】 ◆CIAが使ったとされる難読化コード、WikiLeaksが公開 (CIO, 2017/04/04) http://itpro.nikkeibp.co.jp/atcl/idg/14/481709/040400314/ 【関連まとめ記事】◆全体まとめ ◆アンチアナリシス機能 (まとめ) https://malware-log.hatenablog.com/entr…

【ニュース】 ◆ランサムウェア「Cerber」が進化、機械学習利用のセキュリティツールから検出回避--トレンドマイクロ (ZDNet, 2017/03/29 13:22) https://japan.zdnet.com/article/35098898/ 【関連まとめ記事】◆全体まとめ ◆アンチアナリシス機能 (まとめ) h…

【ニュース】 ◆マルウェア検体や痕跡残さない標的型攻撃 - 世界140以上の組織が被害か (Security NEXT, 2017/02/16) http://www.security-next.com/078554 【関連まとめ記事】◆全体まとめ ◆アンチアナリシス機能 (まとめ) https://malware-log.hatenablog.co…

【概要】 アンチセキュリティツール：ウイルス対策、ファイアウォール、および環境を保護するその他のツールによる検出を回避するために使用されます。 アンチサンドボックス：自動解析機能の検知を行い、マルウェアの挙動を報告するエンジンを回避するため…

【ブログ】 ◆マクロマルウェアが高度なサンドボックス回避技法を活用 (McAfee Blog, 2016/11/17) http://blogs.mcafee.jp/mcafeeblog/2016/11/post-4240.html 【関連まとめ記事】◆全体まとめ ◆アンチアナリシス機能 (まとめ) https://malware-log.hatenablog…

【ニュース】 ◆「凄いけどコワイ！」サンドボックスを回避するマルウェア (ASCII.jp, 2016/11/17 18:47) http://ascii.jp/elem/000/001/269/1269700/ 【関連まとめ記事】◆全体まとめ ◆アンチアナリシス機能 (まとめ) https://malware-log.hatenablog.com/ent…

【ニュース】 ◆サンドボックス回避手法への対策：仮想環境でのエミュレーションを成功に導くには (CheckPoint, 2016/10/07) http://www.checkpoint.co.jp/threat-cloud/2016/10/defeating-sandbox-evasion-increase-successful-emulation-rate-virtualized-e…

【公開情報】 ◆Certificate Bypass: Hiding and Executing Malware from a Digitally Signed Executable (Deep Instinct, 2016/08) https://www.blackhat.com/docs/us-16/materials/us-16-Nipravsky-Certificate-Bypass-Hiding-And-Executing-Malware-From-A…

【概要】 Cerver1 の拡張子 : .cerber Cerver2 の拡張子 : .cerber2 Parallel、QEMU、VMware、VBoxなどの主要な仮想化ソフトウェアを検出 HKLMSYSTEM\\CurrentControlSet\\Enum\\PCI を調査 VEN_15AD&DEV_0405&SUBSYS_040515AD&REV_00 15AD ⇒ VMware 【ニュ…

【ニュース】 ◆サンドボックス検出を超える「回避型マルウェア」対策――速やかな脅威対策の鍵 (ITmedia, 2016/08/10) http://wp.techtarget.itmedia.co.jp/contents/?cid=20105 【関連まとめ記事】◆全体まとめ ◆アンチアナリシス機能 (まとめ) https://malwar…

【公開情報】 ◆サンドボックスを突破する回避型マルウェア、有効な防御法は？ (キーマンズネット, 2016/08/10) http://www.keyman.or.jp/pd/10029045/ 【関連まとめ記事】◆全体まとめ ◆アンチアナリシス機能 (まとめ) https://malware-log.hatenablog.com/en…

【概要】 サンドボックスの回避機能を備えた新型のLockyが出現 ダウンローダーであるJavaScriptと、ダウンロードされる「Locky」の双方がアップデートされた Lockyの実行にはコマンドラインより正しい引数を渡す必要がある 正しい値がわたされないと復号でき…

【ブログ】 ◆Malicious Documents leveraging new Anti-VM & Anti-Sandbox techniques (ZScaler, 2016/06/07) https://www.zscaler.com/blogs/research/malicious-documents-leveraging-new-anti-vm-anti-sandbox-techniques

【図表】 出典: http://news.mynavi.jp/news/2016/04/12/030/ 【概要】 隠匿されたAPIを呼び出すコードを用いる 埋め込まれた単語の辞書から生成され、システム関数を解決して、一般的な静的分析ツールから真の機能を隠す 【ニュース】 ◆最新のランサムウェ…

【概要】 名称: Win32/PSW.Stealer.NAI USBデバイス内のポータブルアプリのプラグインやライブラリファイルなどとして潜伏 アプリケーションが実行されるとバックグラウンドで起動 攻撃を行った痕跡が残らない(残りにくい) 複製を防ぐしくみを実装(解析や検…

【ニュース】 ◆シンクホールチェック機能を持ち、実行の有無を判断するマルウェア見つかる (ASCII.jp, 2016/02/02 08:00) http://ascii.jp/elem/000/001/112/1112504/ 【関連まとめ記事】◆全体まとめ ◆アンチアナリシス機能 (まとめ) https://malware-log.ha…

【ニュース】 ◆進化するダウンローダー、シンクホール検知でサンドボックスを回避か (マイナビニュース, 2016/02/02) http://news.mynavi.jp/news/2016/02/02/266/ 【関連まとめ記事】◆全体まとめ ◆アンチアナリシス機能 (まとめ) https://malware-log.haten…

【概要】 APT自体がなくなるのではなく、「より深い水面下の攻撃に変わり、攻撃の検知や犯人の特定がこれまでよりも難しくなる メモリ常駐型でファイルレスなマルウェアに軸足が移る ブートキットやルートキット、カスタムマルウェアの開発に費用がかけられ…

【ニュース】 ◆Androidアプリ内のPNG画像にマルウェアを仕込んでアンチウイルスソフトを回避する手口が発見される (Gibazine, 2015/11/25 20:00) http://gigazine.net/news/20151125-android-malware-png/ 【関連まとめ記事】◆全体まとめ ◆アンチアナリシス…

【ニュース】 ◆Anti-Forensic Malware Widens Cyber-Skills Gap (InfoSecurity, 2015/09/08) https://www.infosecurity-magazine.com/news/antiforensic-malware-widens/ 【関連まとめ記事】◆全体まとめ ◆アンチアナリシス機能 (まとめ) https://malware-log…

【ニュース】 ◆利用者が気付かないサイバー攻撃が急増 (NHK, 2015/09/02) http://www3.nhk.or.jp/news/html/20150902/k10010213351000.html (魚拓)

【概要】 マルウェアを利用する標的型攻撃は全体の40％程度 侵入手口の約60％は、認証情報の窃取、ソーシャルエンジニアリング、脆弱性の悪用、内部犯行など 最近のマルウェアは、サンドボックスで実行されていることを感知し、検出を免れるように動作する …

フィッシングメールのサンプル 出展: http://news.mynavi.jp/news/2015/07/03/626/ 逆アセンブルリスト(一部) 出展: http://news.mynavi.jp/news/2015/07/03/626/ 【概要】■APT3/UPS APT3は特に危険な標的型攻撃を行うグループ APT3は、航空宇宙・防衛、建設…

【図表】 出典: http://blog.f-secure.jp/archives/50747839.html 【概要】 サンドボックス検知手段 GetCursorPos APIを用いてマウスの動きを確認 アクティブウィンドウの変化を確認 ディスクのシリンダー数を調査 【ブログ】 ◆Tinba：もう1つの対サンドボッ…

【図表】 攻撃の流れ(引用元: SANS) 日本語の脅迫メッセージ（引用元: Symantec） 出典: http://www.itmedia.co.jp/news/articles/1505/01/news051.html 【概要】■アンチアナリシス機能 スパムメールの件名は多少の違いがある 添付ファイルのハッシュ値も異…

【ニュース】 ◆“サンドボックス神話”に潜む落とし穴！ 巧妙化するメール攻撃を「多段防御」で守る (ITPro, 2015/03/25) http://itpro.nikkeibp.co.jp/atclact/activewp/14/031300174/?act03 【関連まとめ記事】◆全体まとめ ◆アンチアナリシス機能 (まとめ) h…