攻撃の核となるマルウェア
FOCUS IN-DEPTH - URSNIF ANALYSIS アースニフ ステガノグラフィーで金融圏を攻撃 金融情報を奪取するマルウェアのアースニフ (Ursnif) が再び活動を再開した アースニフは金融圏で最も頻繁に発見されるマルウェアの一つであり 初期は北米 ヨーロッパ オーストラリアなど
... FOCUS IN-DEPTH - URSNIF ANALYSIS アースニフ、ステガノグラフィーで金融圏を攻撃 金融情報を奪取するマルウェアのアースニフ(Ursnif)が再び活動を再開した。アースニフは金融圏で最も頻繁に発見されるマルウェ ...
7
インデックス No. 資料名 1 マップ作成例その1の 1 2 マップ作成例その1の 2 3 マップ作成例その2 4 マップ作成例その3 5 三途の川図法によるマルウェア対策マップ 6 標的型攻撃対策リポジトリ 7 脅威と対策の関係整理表
... サービスとしての実装例多 い 26 URLフィルタリングソフトウェ ア/アプライアンス 15 コンテンツフィルタ 1 URLベースでアクセスできるWebサイ トの制限機能 不適切なWebサイトへのアクセ スを禁止する。 URLベースでアクセスできるWebサイ トを制限する。 i-Filter 27 同上 15 コンテンツフィルタ 2 アンチフィッシング レーティングに従い危険なサイトへ ...
11
Vol.66 信頼できるマルウェア (?) に隠された真実
... ADサービスドメインに接続されたシステムを攻撃する「Ammyy」と「Clop」 最近韓国で最も問題となっているマルウェアは、主に企業を対象に配布されるリモートコントロールバックドア「Ammyy」と、同マルウェアによっ てインストールされるランサムウェア「Clop」だ。バックドアファイルはオンラインに公開されている Ammyy ...
7
講座の全体構成 講座名称 主な学習内容 フォレンジック基礎編 感染 PC の調査に用いる基本ツールの操作方法 本日 WEB 型マルウェア編 感染源 WEB サイトの特定 遮断方法 感染 PC に潜伏しているマルウェア検体の取得方法 メール型マルウェア編 特定の不審メールの遮断方法 特定の不審メール受
... コンテンツなどが残されている可能性があります。 コンテンツなどが残されている可能性があります。 コンテンツなどが残されている可能性があります。 • なお なお なお, なお , , , WEB サイト閲覧時にウィルス対策ソフトが,一時 サイト閲覧時にウィルス対策ソフトが, サイト閲覧時にウィルス対策ソフトが, サイト閲覧時にウィルス対策ソフトが, 一時 一時 一時フォルダのファイルをリアルタイ ...
57
講座の全体構成 講座名称 主な学習内容 フォレンジック基礎編 感染 PC の調査に用いる基本ツールの操作方法 WEB 型マルウェア編 感染源 WEB サイトの特定 遮断方法 感染 PC に潜伏しているマルウェア検体の取得方法 本日 メール型マルウェア編 特定の不審メールの遮断方法 特定の不審メール受
... user01 の他に,攻撃メールを受信したメールアカウントが存在するか調査する) の他に,攻撃メールを受信したメールアカウントが存在するか調査する) の他に,攻撃メールを受信したメールアカウントが存在するか調査する) の他に,攻撃メールを受信したメールアカウントが存在するか調査する) – 本実習 ...
46
Android.Bankun と Simplelocker (シンプルロッカー1)を集中分析 モバイルマルウェアの収益モデルとは 最近配布されているマルウェアのほとんどは金銭的利益を目的に作成され モバイルマルウェアも例外ではない モバイルマルウェ アは小額決済を狙う chest チェスト 金融情報
... 1 Simplelockerは、Cheater Mobileが検出した最初の破壊工作ソフトであり、デバイス上のファイルを暗号化して人質として金銭的な要求をしてくる。一度ダウン ロードしてしまうとSDカード上のすべてのファイルを暗号化してしまうので、除去するのは極めて困難といわれる。 2 ...
10
マルウェアレポート 2018年11月度版
... )。HTML/ScrInject と合わせると 11 月に検出されたマルウェア全体の 3 割以上が Web を プラットフォームとしたマルウェアであり、攻撃基盤としての Web の広がりや、そこに対する攻撃者の関心の高さが 伺えます。 ...
17
次世代マルウェア対策製品 CylancePROTECT®のご紹介
... 感染被害発覚後、外部機関によるアセスメントを実施し、即座に対策するよ う通知を受ける。対策製品への要件として下記の3点を挙げ、 「C社標的型攻撃対策製品」と「CylancePROTECT」の2製品の検証を実施。 1.攻撃の初期段階で用いられるマルウェアを即座に防御できること ...
35
IIJ Technical WEEK 2010 セキュリティ動向2010(1) Web感染型マルウェアの動向
... 1. FTPサーバを構築し、盗まれてもいいアカウントを作成 2. 各アカウントのディレクトリにWebアプリケーションを設置 3. FTPクライアントにあらかじめ認証情報を保存しておく 4. クライアントでマルウェアに感染させ、実際に盗ませる or 盗む通信をエミュレート 5. FTPログを監視し、改ざんをリアルタイムで検知し、保全 ...
42
マルウェアレポート 2017年9月度版
... マイニングマルウェアは、感染 PC のハードウェアリソース(CPU や GPU)を使って、仮想通貨をマイニング(採 掘)します。攻撃者は、採掘された仮想通貨を自身のウォレット(仮想通貨の保管場所)に送付し、それを 受け取ることで収益を得ます。 9 月に検出されたマイニングマルウェアをファイル形式別に比較すると、 ...
13
マルウェアURSNIFによる漏えい情報を特定せよ ~感染後暗号通信の解読~
... • マルウェアに実装されているコードの再利用 ‒復号処理が実装されていればインタフェースに合わせて使うだけ 実装方法の選択肢 実装されているプログラムをCPUエミュレータで実行 ...
42
1007 ステルスデバッガを利用したマルウェア解析手法の提案
... ステルスデバッガの特徴 仮想 H/W 制御によるデバッガ機能 従来のデバッガとは異なる仕組みでのデバッグ機能の提供 通常のデバッガが持つデバッグ機能とほぼ同等の機能を実現 ...
26
マルウェア対策のための研究用データセット ~ MWS Datasets 2013 ~.pptx
... • 難読化手法の高度化による検知・解析妨害 – HTML難読化,JavaScript難読化,PDF難読化,Java難読化 • 悪性サイトのクローキング – 自動転送(HTTPリダイレクト、iframeリダイレクト、 JavaScriptリダイレクト、外部スクリプト読込、Traffic Direction System (TDS) ) ...
38
機械語命令列の類似性に基づく自動マルウェア分類システム
... • 命名することより,検知・駆除することが重要なんでしょうけど. • マルウェアの全容を解明し(続け)たい! –まずは,収集したマルウェアの傾向(流行り廃り)を掴む. –できれば, ...
26
統計的手法を用いたマルウェア判定の実験結果 田中恭之 1, 2,a) 有川隼 1 畑田充弘 1 Computer Security Symposium October 2014 概要 : マルウェアが爆発的に増加する中でシグネチャによらない軽量なマルウェア判定方法が望まれている
... 5.5 判別分析への適用 判別分析は,事前に与えられたデータが,どのグループ に属していると予めわかっている場合,未知のデータが属 するグループを推定する手法である[11].ロジスティック 回帰分析が出力として確率値を取るのに対し,判別分析で はどのグループか等の固定値が出力されることから,単純 に分類したい場合に適している.判別分析には,①線形判 ...
6
Inside Android Security - 内部構造から探る Android への脆弱性攻撃とマルウェアの脅威
... root 化の悪用 : 対策とその限界 (2) • root ユーザーの制限だけでは完全な対策にならない – パーミッションによる保護は root に対しては無効化されている – Dalvik ベースのアプリはすべて単一プロセスのクローンであるため、 既存のセキュア OS においてポリシーで保護することが難しい ...
55
1 はじめに ダークネットとは, 到達可能かつ特定のホス トが割り当てられていない IP アドレス空間を指す. 通常, ダークネットに通信が届くことは考え づらいが, 実際には日々大量の通信が観測される. それらは, マルウェアによるスキャンや送信元 IP アドレスが詐称された DoS 攻撃の跳ね返
... ‡株式会社サイバー・ソリューションズ 989-3204 宮城県仙台市青葉区南吉成 6-6-3 ICR ビル 3F [email protected] あらまし 本研究では支配的なトラフィックに着目してダークネットの分析を進めている.インターネ ットのある地点を流れるトラフィックは概ね一定数の種類のものにより支配的であるという考え方が ...
8
ジュールは 音声 HD ビデオなどのクリティカルなアプリケーションに対して ネットワーク負荷が高い時間帯においても最高レベルの QoS 機能を提供し さらに DoS 攻撃およびマルウェアの伝搬を予測的に阻止します S-Series スイッチは 最先端のフローベーススイッチングアーキテクチャを実装する
... ジュールは、音声、HDビデオなどのクリティカルなアプリケーションに対して、ネットワーク負荷 が高い時間帯においても最高レベルのQoS機能を提供し、さらにDoS攻撃およびマルウェアの 伝搬を予測的に阻止します。 S-Series® スイッチは、最先端のフロー ベース スイッチング アーキテクチャを実装すること ...
8
Kullback-Leibler 情報量を用いた亜種マルウェアの同定 電気通信大学 中村燎太 松宮遼 高橋一志 大山恵弘 1
... 提案手法に基づく実験 (3/4) 4社のアンチウイルスソフトウェアによる検査結果を利用 ━ 3社以上のベンダーによる検査結果(科名)が基準検体と 一致した識別対象検体を「亜種」と見なす ...
23
1 BitVisor [3] Alkanet[1] Alkanet (DLL) DLL 2 Alkanet Alkanet Alkanet VMM VMM Alkanet Windows [2] マルウェア 観 測 用 VM SystemCall Windows System
... この問題を解決するためには,システムコー ルを呼び出した実行ファイルやコードを識別す る必要がある.そのための技術的課題として, システムコールを発行するまでのコントロール フローの取得方法と,フロー内で経由したファ イルやコードの情報の取得方法が挙げられる. 本論文では,この課題を解決し,正規のプロセ ...
8