増え続けるマルウェア
マルウェアレポート 2017年12月度版
... 3 4 位の「JS/CoinMiner」は ESET における分類が変更されたため、検出数が増加しています。 2.バンキングマルウェアの感染を狙った攻撃が日本に集中 12 月上旬から中旬にかけて、VBA 形式のダウンローダー「VBA/TrojanDownloader.Agent」が数多く検出 されました。このダウンローダーは「Win32/Spy.Ursnif」の亜種(別名 DreamBot)をダウンロードすることが ...
13
講座の全体構成 講座名称 主な学習内容 フォレンジック基礎編 感染 PC の調査に用いる基本ツールの操作方法 WEB 型マルウェア編 感染源 WEB サイトの特定 遮断方法 感染 PC に潜伏しているマルウェア検体の取得方法 本日 メール型マルウェア編 特定の不審メールの遮断方法 特定の不審メール受
... • 感染した 感染した 感染した 感染した PC は は,データをバックアップし,クリーンインストール は は ,データをバックアップし,クリーンインストール ,データをバックアップし,クリーンインストール ,データをバックアップし,クリーンインストールすること すること すること することを推奨します。 を推奨します。 を推奨します。 を推奨します。 – ...
46
講座 映像情報メディア関連のセキュリティ 第 4 回 図 1 マルウェアによるサイバー攻撃の可視化 ユーザのキーボード操作を記録 収集するキーロガー Keylogger などの多くは この感染形態を取っています 2.2 マルウェアの目的に着目した分類 2.3 マルウェアの機能に着目した分類 ダウンロ
... 操作によって,多岐にわたる活動,目的,機能を実現する マルウェアです.ボットに感染した PC はボットネットと 呼ばれる一種のオーバレイネットワークを形成します. ボットネットは小規模なものでは数百,大規模なものでは 数十万もの感染 PC 群によって成り立っています.指令者 は,指令サーバ(IRC サーバや HTTP サーバ)経由でボット ネットに制御命令を同報し,その結果,多数のボットが命 ...
5
講座の全体構成 講座名称 主な学習内容 フォレンジック基礎編 感染 PC の調査に用いる基本ツールの操作方法 本日 WEB 型マルウェア編 感染源 WEB サイトの特定 遮断方法 感染 PC に潜伏しているマルウェア検体の取得方法 メール型マルウェア編 特定の不審メールの遮断方法 特定の不審メール受
... • マルウェア マルウェア マルウェアは, マルウェア は, は, は, OS 起動時に自身が自動起動されるようにレジストリなどを改変します 起動時に自身が自動起動されるようにレジストリなどを改変 起動時に自身が自動起動されるようにレジストリなどを改変 起動時に自身が自動起動されるようにレジストリなどを改変 します します ...
57
「2018年サイバー犯罪者のショッピングリスト」と「マルウェアの脅威水準の急激な上昇」
... 2. マルウェアの脅威水準の急激な上昇 2017 年は、実に多くの大きな変化が起きました。何と言っても、ずっと右肩上がりだった年間フィッシング攻撃 件数が初めて前年割れとなりました。これはとても喜ばしいことのはずなのですが、現実はそこまで単純ではあ りません。2017 年に確認されたマルウェア亜種の数が 2016 年の 10 倍だったと知れば、この事実は世界のセ ...
7
Inside Android Security - 内部構造から探る Android への脆弱性攻撃とマルウェアの脅威
... root 化による問題 : 優先度の保護 (2) • root 化によって、マルウェアをシステム領域 ※ に インストールすることが可能になってしまう – システム領域にインストールされたアプリは Android システムの 一部として信頼され、優先度の保護が無効になる ...
55
機械語命令列の類似性に基づく自動マルウェア分類システム
... – SSE2を使ってLCS算出アルゴリズムをビットベクトル化 • 約3000検体のマルウェアを分類してみた – (類似度の閾値にもよるが)かなり少ないクラスタ数. 10個くらい解析すれば,大勢は掴めそう. ...
26
Android.Bankun と Simplelocker (シンプルロッカー1)を集中分析 モバイルマルウェアの収益モデルとは 最近配布されているマルウェアのほとんどは金銭的利益を目的に作成され モバイルマルウェアも例外ではない モバイルマルウェ アは小額決済を狙う chest チェスト 金融情報
... [表6]有害アプリが奪取した情報を収集するサーバアドレス この一連の作業の終着地であるサーバーアドレスは、作成者によっていつでも変更できるように設計されていた。アナリストたちが情報を分析する間 にもアドレスが変更されたことから、作成者は活発的に活動しているようである。 ...
10
マルウェアURSNIFによる漏えい情報を特定せよ ~感染後暗号通信の解読~
... • マルウェアに実装されているコードの再利用 ‒復号処理が実装されていればインタフェースに合わせて使うだけ 実装方法の選択肢 実装されているプログラムをCPUエミュレータで実行 ...
42
IIJ Technical WEEK 2010 セキュリティ動向2010(1) Web感染型マルウェアの動向
... 攻撃ベクトルの変遷 狙われているブラウザプラグイン http://gdata.co.jp/press/archives/2010/11/java_1.htm ネット犯罪界では、過去数ヶ月よりも大規模に、マルウェアを拡散させるのにJava の脆弱性を利用するようになっています。G Dataセキュリティラボの調べにおいて は、 2010年2月以来、最も多いセキュリティ脅威はPDF ファイルの弱点を突いた攻 ...
42
マルウェア対策のための研究用データセット ~ MWS Datasets 2013 ~.pptx
... 目的 • 研究教材(MWS Datasets 2013)の提供 – マルウェア対策を含むサイバー攻撃対策を研究する上で必要となる 情報を可能な限り網羅的に,かつ攻撃の進化に合わせて適切に選 択したデータセット ...
38
Alkanet[1, 2] Alkanet CPU CPU 2 Alkanet Alkanet (VMM) VMM Alkanet Windows Alkanet 1 Alkanet VMM BitVisor[3] BitVisor OS ユーザモード カーネルモード マルウェア観測用 PC VM
... ただし, call 命令と ret 命令が必ずしも対応付 かないため,分岐記録から関数呼出し階層を生 成する手法については課題がある.また, BTS は,使用時のパフォーマンスへの影響が大きく, 高速な解析に不向きであった.一方で,マルウェ アのコントロールフローを網羅できる利点を活 用したより細粒度の解析での活用が期待される. 今後の課題として,マルウェアのメモリ領域と ...
8
1 BitVisor [3] Alkanet[1] Alkanet (DLL) DLL 2 Alkanet Alkanet Alkanet VMM VMM Alkanet Windows [2] マルウェア 観 測 用 VM SystemCall Windows System
... この問題を解決するためには,システムコー ルを呼び出した実行ファイルやコードを識別す る必要がある.そのための技術的課題として, システムコールを発行するまでのコントロール フローの取得方法と,フロー内で経由したファ イルやコードの情報の取得方法が挙げられる. 本論文では,この課題を解決し,正規のプロセ ス内部に潜むマルウェアの解析を可能にする手 法を述べる. ...
8
Kullback-Leibler 情報量を用いた亜種マルウェアの同定 電気通信大学 中村燎太 松宮遼 高橋一志 大山恵弘 1
... 識別器の概要 (4/6) カウントデータから多項分布を仮定する方法 ???…??? 𝑚列のAPIコール列 パターンデータのカウント手法 数学的な問題として再解釈! 賽子を𝑚 − 𝑁回振るという 試行において、各々の面が出る 確率はどのくらい? 𝑛面の賽子 ??? … ??? 𝑁列 𝑚 − 𝑁個のウィンドウ 先頭から 処理 このウィンドウは、全部で𝑛個ある ウィンドウのど[r] ...
23
アンラボ発信セキュリティ情報 PressAhn Pick Up! マルウェア詳細分析 相手の手札が丸見え レッドギャンブラー アンラボは韓国主要企業を対象に持続的なサイバー攻撃を実行した多数のハッキンググループを追跡中 ある攻撃グループが国内の不正ギャンブルゲームを通してマルウェアを配布したことが分
... Up! マルウェア詳細分析 相手の手札が丸見え「レッドギャンブラー」 アンラボは韓国主要企業を対象に持続的なサイバー攻撃を実行した多数のハッキンググループを追跡中、ある攻撃グループが国内の 不正ギャンブルゲームを通してマルウェアを配布したことが分かった。「レッドギャンブラー(Operation Red Gambler)」と呼 ...
7
Computer Security Symposium October 1 November 2012 ストリーム処理システムを用いたマルウェア検知基盤システム 大桶真宏 川島英之 北川博之 筑波大学情報科学類 茨城県つくば市天王台
... なぜなら各手法は別のプログラムとして個別に実装されるからである.個別実装には 2つの問題が ある.第一の問題は効率である.システムの入力であるパケットストリームは別々の形式で処理さ れるため, N個のプログラムに同じデータをフィードせざるを得ない.第二の問題は運用である.プ ログラムの整理・起動が面倒であることに加えて,処理結果を受信するインタフェースが統一化され ...
7
概要 マルネットとは マルネットの可視化 マルネットのトラッキングと ネガティブデイディフェンス 2
... • ユーザのマルウェアに感染させるために利用されるインフラ マルネットのトラッキング: • ユーザーが「どのようにして」マルウェアに到達するか • 個々のマルウェアが「何」かは問わない ...
35
FOCUS IN-DEPTH - URSNIF ANALYSIS アースニフ ステガノグラフィーで金融圏を攻撃 金融情報を奪取するマルウェアのアースニフ (Ursnif) が再び活動を再開した アースニフは金融圏で最も頻繁に発見されるマルウェアの一つであり 初期は北米 ヨーロッパ オーストラリアなど
... [表 3] パワーシェルスクリプト アースニフ変形マルウェアの主な特徴 2018年秋に報告された変形サンプルの違いは、ダウンロードを遂行する CMD/PowerShell コマンドの構造にある。[図 8]は 9月に発見された変形 からスクリプトを実行する構造で、cmd.exe 因子でハードコーティングされたダウンロードを含むパワーシェルスクリプトを実行する。 ...
7
トピック 1 改訂にあたっての状況認識 3 昨年まで よく見られた 標的型攻撃 直接的に扱う 不審なメール ( なりすましメール ) 不審なサイト ( フィッシング詐欺サイト ) マルウェア感染させる文書ファイル マルウェア感染させる外部記憶媒体 ターゲット組織 4
... 取得したパスワードハッシュを用いて Pass-the-Hash 攻撃 でネットワーク ログオンを成功させる。 PsExec (リモートのシステムをコマンドラインで 遠隔操作するツール) 等を利用して、タスク スケジューラーやWindows サービスに マル ...
12
ブラジルの決済サービスBoletのマルウェア、C&Cサーバー1台に約1,500万円もの不正送金記録
... ブラジルの決済サービス Bolet のマルウェア、 C&C サーバー1 台に約 1,500 万円もの不正送金記録 Monthly AFCC NEWS:2014 年 11 月号 (Vol.88) フィッシングという言葉が 1996 年に出現して以来、その手口は進化し続けており、被害総額と被害者数は上昇の一 途です。RSA が提供するフィッシングサイト閉鎖サービス「RSA ...
10