TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究・参照ログ

アンチアナリシス機能 (まとめ)

【目次】

概要

【概要】

APT3のアンチアナリシス機能

  • 一般的なベクトル破壊手法を用いてアドレス空間配置のランダム化(ASLR)機能を迂回
  • ROPを用いてデータ実行防止(DEP)機能を迂回
  • 一定のROP検知手法も回避
  • ペイロードはXORで暗号化
  • ペイロードは画像内に隠蔽
  • RC4パッカーでパック
  • RC4の鍵と暗号データは、BinaryDataブロブに格納
  • ActionScript3内で自らのクラスを定義
【ニュース】

■2008年

◆「パスワード保護」されたウイルス出現、狙いは「対策ソフトの回避」 (ITPro, 2008/08/22)

衝撃写真に見せかけてメールに添付、感染すると「偽ソフト」がインストール

http://itpro.nikkeibp.co.jp/article/NEWS/20080822/313231/
https://malware-log.hatenablog.com/entry/2008/08/22/000000_1


■2012年

◆自己消去で証拠隠滅するウイルス、早期のフォレンジックが有効 (Security NEXT, 2012/10/26)
http://www.security-next.com/034811
https://malware-log.hatenablog.com/entry/2012/10/26/000000

◆Upclicker Trojan Evades Sandbox Detection by Hiding in a Mouse Click (threat post, 2012/12/14 06:23)
https://threatpost.com/upclicker-trojan-evades-sandbox-detection-hiding-mouse-click-121412/77320/
https://malware-log.hatenablog.com/entry/2012/12/14/000000_1


■2013年

◆サンドボックスを通過するPDF攻撃 (ITPro, 2013/02/28)
http://itpro.nikkeibp.co.jp/article/COLUMN/20130227/459266/
https://malware-log.hatenablog.com/entry/2013/02/28/000000

◆検出をすり抜けるバックドア型RAT (ITpro, 2013/03/25)
http://itpro.nikkeibp.co.jp/article/Active/20130318/464027/
https://malware-log.hatenablog.com/entry/2013/03/25/000000_3


■2014年

◆長期潜伏、自らを削除--サンドボックスを回避する未知のマルウェア (ZDNet, 2014/05/16 07:30)
http://japan.zdnet.com/article/35047336/
https://malware-log.hatenablog.com/entry/2014/05/16/000000_1

◆ファイア・アイ、日本企業を狙う攻撃キャンペーンを説明 (ASCII.jp, 2014/09/22)
http://ascii.jp/elem/000/000/935/935777/
https://malware-log.hatenablog.com/entry/2014/09/22/000000

◆中国の異なるサイバー攻撃グループが連携、日本などアジアにサイバー攻撃(ファイア・アイ) (NetSecurity, 2014/09/22)
http://scan.netsecurity.ne.jp/article/2014/09/22/34864.htm
https://malware-log.hatenablog.com/entry/2014/09/22/000000

◆不正なコードを隠ぺいする「POWELIKS」、新しい自動起動の手法を追加 (Trendmicro, 2014/11/19)
http://blog.trendmicro.co.jp/archives/10359
https://malware-log.hatenablog.com/entry/2014/11/19/000000_1


■2015年

◆“サンドボックス神話”に潜む落とし穴! 巧妙化するメール攻撃を「多段防御」で守る (ITPro, 2015/03/25)
http://itpro.nikkeibp.co.jp/atclact/activewp/14/031300174/?act03
https://malware-log.hatenablog.com/entry/2015/03/25/000000_1

◆ランサムウェアに感染させる新手のスパムメールが横行、米機関が注意喚起 (ITmedia, 2015/05/01 07:30)

米機関によれば「アカウントが一時的にロックされました」などのメールにだまされて添付ファイルを開くとランサムウェアに感染し、ファイルが暗号化されて身代金を要求される

http://www.itmedia.co.jp/enterprise/articles/1505/01/news051.html
https://malware-log.hatenablog.com/entry/2015/05/01/000000

◆Adobe Flash Playerを狙ったゼロデイ攻撃、中国のサイバー犯罪者が主導? (マイナビニュース, 2015/07/03)
http://news.mynavi.jp/news/2015/07/03/626/
https://malware-log.hatenablog.com/entry/2015/07/03/000000_2

◆サンドボックス型製品すらも回避、最新の標的型攻撃事情 (ASCII.jp, 2015/08/05 14:00)
http://ascii.jp/elem/000/001/035/1035988/
https://malware-log.hatenablog.com/entry/2015/08/05/000000_2

◆利用者が気付かないサイバー攻撃が急増 (NHK, 2015/09/02)
http://www3.nhk.or.jp/news/html/20150902/k10010213351000.html (魚拓)
https://malware-log.hatenablog.com/entry/2015/09/02/000000

◆Anti-Forensic Malware Widens Cyber-Skills Gap (InfoSecurity, 2015/09/08)
https://www.infosecurity-magazine.com/news/antiforensic-malware-widens/
https://malware-log.hatenablog.com/entry/2015/09/08/000000_2

◆Androidアプリ内のPNG画像にマルウェアを仕込んでアンチウイルスソフトを回避する手口が発見される (Gibazine, 2015/11/25 20:00)
http://gigazine.net/news/20151125-android-malware-png/
https://malware-log.hatenablog.com/entry/2015/11/25/000000_1


■2016年

◆2016年はAPTが減り、ファイルレスの見つけづらい攻撃へ - カスペルスキー (マイナビニュース, 2016/01/09)
http://news.mynavi.jp/news/2016/01/09/053/
https://malware-log.hatenablog.com/entry/2016/01/09/000000

◆進化するダウンローダー、シンクホール検知でサンドボックスを回避か (マイナビニュース, 2016/02/02)
http://news.mynavi.jp/news/2016/02/02/266/
https://malware-log.hatenablog.com/entry/2016/02/02/000000

◆シンクホールチェック機能を持ち、実行の有無を判断するマルウェア見つかる (ASCII.jp, 2016/02/02 08:00)
http://ascii.jp/elem/000/001/112/1112504/
https://malware-log.hatenablog.com/entry/2016/02/02/000000_2

◆自己防衛機能装えた新手の情報窃取マルウェア「USB Thief」 - オフラインPCもターゲットに (Security NEXT, 2016/03/23)
http://www.security-next.com/068175
https://malware-log.hatenablog.com/entry/2016/03/23/000000

◆最新のランサムウェアがアンチウイルスソフトを回避する方法 (マイナビニュース, 2016/04/11)
http://news.mynavi.jp/news/2016/04/12/030/
https://malware-log.hatenablog.com/entry/2016/04/12/000000_3

◆サンドボックス回避する「Locky」登場 - 攻撃の半数近くが日本対象 (Security NEXT, 2016/07/06)
http://www.security-next.com/071733
https://malware-log.hatenablog.com/entry/2016/07/06/000000_5

◆サンドボックス検出を超える「回避型マルウェア」対策――速やかな脅威対策の鍵 (ITmedia, 2016/08/10)
http://wp.techtarget.itmedia.co.jp/contents/?cid=20105
https://malware-log.hatenablog.com/entry/2016/08/10/000000_5

◆ランサムウェア構成ファイルが更新!? Cerberの暗号化手法に変化が (ASCII.jp, 2016/08/26)
http://ascii.jp/elem/000/001/218/1218377/
https://malware-log.hatenablog.com/entry/2016/08/26/000000

◆Certificate Bypass: Hiding and Executing Malware from a Digitally Signed Executable (Deep Instinct, 2016/08)
https://www.blackhat.com/docs/us-16/materials/us-16-Nipravsky-Certificate-Bypass-Hiding-And-Executing-Malware-From-A-Digitally-Signed-Executable-wp.pdf
https://malware-log.hatenablog.com/entry/2016/08/31/000000_3

◆サンドボックス回避手法への対策:仮想環境でのエミュレーションを成功に導くには (CheckPoint, 2016/10/07)
http://www.checkpoint.co.jp/threat-cloud/2016/10/defeating-sandbox-evasion-increase-successful-emulation-rate-virtualized-environment.html
https://malware-log.hatenablog.com/entry/2016/10/07/000000

◆「凄いけどコワイ!」サンドボックスを回避するマルウェア (ASCII.jp, 2016/11/17 18:47)
http://ascii.jp/elem/000/001/269/1269700/
https://malware-log.hatenablog.com/entry/2016/11/17/000000_1

◆マクロマルウェアが高度なサンドボックス回避技法を活用 (McAfee Blog, 2016/11/17)
http://blogs.mcafee.jp/mcafeeblog/2016/11/post-4240.html
https://malware-log.hatenablog.com/entry/2016/11/17/000000


■2017年

◆検知を回避するマルウェアが使用するメカニズムを徹底解説 (ASCII.jp, 2017/01/27 14:01)
http://ascii.jp/elem/000/001/424/1424813/
https://malware-log.hatenablog.com/entry/2017/01/27/000000

◆マルウェア検体や痕跡残さない標的型攻撃 - 世界140以上の組織が被害か (Security NEXT, 2017/02/16)
http://www.security-next.com/078554
https://malware-log.hatenablog.com/entry/2017/02/16/000000_2

◆ランサムウェア「Cerber」が進化、機械学習利用のセキュリティツールから検出回避--トレンドマイクロ (ZDNet, 2017/03/29 13:22)
https://japan.zdnet.com/article/35098898/
https://malware-log.hatenablog.com/entry/2017/03/29/000000_1

◆CIAが使ったとされる難読化コード、WikiLeaksが公開 (CIO, 2017/04/04)
http://itpro.nikkeibp.co.jp/atcl/idg/14/481709/040400314/
https://malware-log.hatenablog.com/entry/2017/04/04/000000_1

◆ビッグデータ時代に昔の手口で検知を逃れるマルウェア (Kaspersky, 2017/05/31)
https://blog.kaspersky.co.jp/old-malware-tricks-to-bypass-detection-in-the-age-of-big-data/15323/
https://malware-log.hatenablog.com/entry/2017/05/31/000000_5

◆JavaScriptによる新種の難読化マルウェア解析方法 (Teck Talk, 2017/07/04)
https://techtalk.pcmatic.jp/20170704171526/
https://malware-log.hatenablog.com/entry/2017/07/04/000000_1

◆POS端末を狙うマルウェア「MajikPOS」はどのようにして検出をすり抜けるのか (TechTarget, 2017/09/01 05:00)

RAMの情報を収集するプログラムをダウンロードし、既存の検出技術をすり抜ける新手のPOS(販売時点情報管理)マルウェア「MajikPOS」はどのような手口でPOS端末を狙うのか。どのような防御策が取れるのか

http://techtarget.itmedia.co.jp/tt/news/1709/01/news06.html
https://malware-log.hatenablog.com/entry/2017/09/01/000000_6

◆Windows Defenderのウイルススキャン迂回問題、セキュリティ企業が公表 (ITmedia, 2017/09/29 07:30)

CyberArkによると、Microsoftの「Windows Defender」によるウイルススキャンの仕組みを突いて、マルウェアがWindows Defenderを迂回できてしまう問題があるという

http://www.itmedia.co.jp/news/articles/1709/29/news064.html
https://malware-log.hatenablog.com/entry/2017/09/29/000000_1

◆特殊なSMBサーバーを使用してマルウェア検出を避ける攻撃「Illusion Gap」 (スラド, 2017/10/01 17:24)
https://security.srad.jp/story/17/09/30/1912221/
https://malware-log.hatenablog.com/entry/2017/10/01/000000_2

◆コンピューターウイルスは「検知ツールの目をかいくぐろう」と考えている (ASCII.jp, 2017/10/13 11:00)
http://ascii.jp/elem/000/001/565/1565866/
https://malware-log.hatenablog.com/entry/2017/10/13/000000_8


■2018年

◆Loading Kernel Shellcode (FireEye, 2018/04/23)
https://www.fireeye.com/blog/threat-research/2018/04/loading-kernel-shellcode.html
https://malware-log.hatenablog.com/entry/2018/04/23/000000_3

◆"高度に複雑"なボットネット「Mylobot」が新たに発見される (ZDNet, 2018/06/21 13:29)
https://japan.zdnet.com/article/35121203/
https://malware-log.hatenablog.com/entry/2018/06/21/000000_3

◆ステルス機能備えたAndroidアドウェア「MobiDash」に注意 (マイナビニュース, 2018/07/25 09:21)
https://news.mynavi.jp/article/20180725-668914/
https://malware-log.hatenablog.com/entry/2018/07/25/000000_1

■2019年

◆Emotet Uses Camouflaged Malicious Macros to Avoid Antivirus Detection (BleepingComputer, 2019/02/14 14:59)
https://www.bleepingcomputer.com/news/security/emotet-uses-camouflaged-malicious-macros-to-avoid-antivirus-detection/
https://malware-log.hatenablog.com/entry/2019/02/14/000000_7

◆Intel CPUのセキュリティ機構「SGX」にマルウェアを隠すことでセキュリティソフトで検出できない危険性、概念実証用のプログラムも公開済み (Gigazine, 2019/02/14 20:02)
https://gigazine.net/news/20190214-intel-sgx-vulnerability/
https://malware-log.hatenablog.com/entry/2019/02/14/000000

◆New Dridex Variant Slips By Anti-Virus Detection (Threat Post, 2019/06/28 16:05)

これまでに見たことのないDridexの亜種が、アンチウイルス検出回避策を使ったフィッシングメールで発見されています

https://threatpost.com/new-dridex-variant-slips-by-anti-virus-detection/146134/
https://malware-log.hatenablog.com/entry/2019/06/28/000000_9

◆Excelにリモートから攻撃できる脆弱性、「検出難しい」 (マイナビニュース, 2019/07/01 06:35)
https://news.mynavi.jp/article/20190701-851004/
https://malware-log.hatenablog.com/entry/2019/07/01/000000

◆IoCによる標的型攻撃対策に限界 - Kasperskyが事例挙げて指摘 (Security NEXT, 2019/09/04)
http://www.security-next.com/107571
https://malware-log.hatenablog.com/entry/2019/09/04/000000_6

【ブログ】

■2008年

◆Malicious Russian-Georgian Spam Uses .ZIP Password (TrendLabs, 2008/08/21 11:22)
http://blog.trendmicro.com/trendlabs-security-intelligence/malicious-russian-georgian-spam-uses-zip-password/
https://malware-log.hatenablog.com/entry/2008/08/21/000000


■2012年

◆Malware Authors Using New Techniques to Evade Automated Threat Analysis Systems (Symantec, 2012/10/26)
http://www.symantec.com/connect/blogs/malware-authors-using-new-techniques-evade-automated-threat-analysis-systems
https://malware-log.hatenablog.com/entry/2012/10/26/000000_1

◆新しい手口で自動の脅威解析システムをすり抜けるマルウェア作成者 (Symantec, 2012/10/29)
http://www.symantec.com/connect/ja/blogs-17
https://malware-log.hatenablog.com/entry/2012/10/29/000000_2

◆“Adobe Reader” のセキュリティ機能「サンドボックス」を回避するゼロデイ脆弱性にご用心 (Trendmicro, 2012/11/27)
http://blog.trendmicro.co.jp/archives/6279
https://malware-log.hatenablog.com/entry/2012/11/27/000000_1


■2013年

◆脅威解析システムのサンドボックスをすり抜ける、Ransomlock の新しい亜種 (Symantec, 2013/03/28 06:39)
http://www.symantec.com/connect/ja/blogs/ransomlock
https://malware-log.hatenablog.com/entry/2013/03/28/000000_1


■2014年

◆合法マルウェアで実感「リアルとサンドボックスの違い」 (@IT, 2014/04/18 18:00)
http://www.atmarkit.co.jp/ait/articles/1404/18/news004.html
https://malware-log.hatenablog.com/entry/2014/04/18/000000_1

◆「POWELIKS」:Windows レジストリに不正なコードを隠ぺいする不正プログラムを確認 (Trendlabs, 2014/08/06)
http://blog.trendmicro.co.jp/archives/9595
https://malware-log.hatenablog.com/entry/2014/08/06/000000


■2015年

◆Tinba:もう1つの対サンドボックス手段 (エフセキュアブログ, 2015/05/06 15:46)
http://blog.f-secure.jp/archives/50747839.html
https://malware-log.hatenablog.com/entry/2016/05/06/000000


■2017年

◆「URSNIF」の新手法:マクロを利用してサンドボックス検出を回避 (Trendmicro, 2017/11/20)
https://blog.trendmicro.co.jp/archives/16418
https://malware-log.hatenablog.com/entry/2017/11/20/000000_7


【公開情報】

■2016年

◆サンドボックスを突破する回避型マルウェア、有効な防御法は? (キーマンズネット, 2016/08/10)
http://www.keyman.or.jp/pd/10029045/
https://malware-log.hatenablog.com/entry/2016/08/10/000000_6


■2019年

◆サイバー犯罪組織「Cloud Atlas」、ポリモーフィック型マルウェアによりAPT攻撃を強化 (Kaspersky, 2019/08/22 13:06)

Kasperskyの調査分析チームは、APT攻撃を行うサイバー犯罪組織「Cloud Atlas」が、標準的なIoCを利用した検知を回避する新しいツールにより、攻撃手段を強化したことを発見しました

https://prtimes.jp/main/html/rd/p/000000154.000011471.html
https://malware-log.hatenablog.com/entry/2019/08/22/000000_1


【資料】

■2013年

◆ファイルベースのサンドボックスの回避 - ファイア・アイ (FireEye, 2013/08/01)
https://www.fireeye.jp/content/dam/fireeye-www/regional/ja_JP/current%20threats/pdfs/fireeye-hot-knives-through-butter.pdf
https://malware-log.hatenablog.com/entry/2013/08/01/000000_2

【図表】

f:id:tanigawa:20200112191143j:plain
f:id:tanigawa:20200112191155j:plain
f:id:tanigawa:20200112191206j:plain
出典: https://japan.zdnet.com/article/35047336/

f:id:tanigawa:20180721091447j:plain
攻撃の流れ(引用元: SANS)
f:id:tanigawa:20180721091513j:plain
日本語の脅迫メッセージ(引用元: Symantec)
出典: http://www.itmedia.co.jp/news/articles/1505/01/news051.html

f:id:tanigawa:20191006083012p:plain
2018年末から2019年4月までの期間、Cloud Atlasが利用していた感染チェーン
f:id:tanigawa:20191006083058p:plain
強化されたCloud Atlasの新しい感染チェーン
出典: https://www.kaspersky.co.jp/about/press-releases/2019_vir22082019


【関連情報】

◆ファストフラックス (まとめ)
https://malware-log.hatenablog.com/entry/Fast_Flux

◆Locky (まとめ)
https://malware-log.hatenablog.com/entry/Locky

関連情報

【関連まとめ記事】

◆全体まとめ
https://malware-log.hatenablog.com/entry/root


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2020