既存マルウェアのコードの流用
プログラム圧縮による ソースコード流用の検出
... 法的リスクを負う可能性を下げるための対策が必要である と考えられる. ソフトウェアを出荷する前に,ソースコード流用の有無を検出する. 2011/11/27 ソフトウェア信頼性研究会 2 [1]: “「USB版Windows 7」作成ツールにGPLコード Microsoftが謝罪”, ...
21
マルウェアレポート 2018年4月度版
... 9 回復コードの入力処理 このランサムウェアは、パック処理や難読化処理が行われておらず、仕組みも非常に単純で、回復コードを入力 することでファイルを復号できることから、冗談目的に作成されたと考えられます。しかし、他のランサムウェアと同様 に、個人の大事な情報資産(画像や音楽、書類など)が、勝手に暗号化されることには変わりはありません。 ...
14
マルウェアレポート 2018年5月度版
... 12 また、ファイルの暗号化が行われると RaaS 提供者が運用している C&C サーバーに対して、感染したコンピュー ターの情報が送信されます。 この感染したコンピューターの情報は、RaaS サイトの C&C ダッシュボード画面から確認することができます。 この画面には、ランサムウェアに感染したコンピューターの ID やユーザー名、OS ...
16
マルウェアレポート 2018年8月度版
... Excel の Web クエリ機能を利用してコマンドをダウンロード します[図中④]。このコマンドは Excel の数式に組み込まれており、コマンドプロンプトを利用して PowerShell を起動するように細工されています。このコマンドが外部参照機能(※5)によって実行される [図中⑥]と、PowerShell スクリプトがダウンロード・実行され[図中⑧]、Ursnif がダウンロード・実行され ...
16
講座 映像情報メディア関連のセキュリティ 第 4 回 図 1 マルウェアによるサイバー攻撃の可視化 ユーザのキーボード操作を記録 収集するキーロガー Keylogger などの多くは この感染形態を取っています 2.2 マルウェアの目的に着目した分類 2.3 マルウェアの機能に着目した分類 ダウンロ
... が施されており,機能は同等でも異なるコードを持つマル ウェアが大量に発生しています.そのため,アンチウイル スソフトのシグネチャの更新が間に合わず,多くのマル ウェアが見過ごされているのが現状です 7) ...
5
統計的手法を用いたマルウェア判定の実験結果 田中恭之 1, 2,a) 有川隼 1 畑田充弘 1 Computer Security Symposium October 2014 概要 : マルウェアが爆発的に増加する中でシグネチャによらない軽量なマルウェア判定方法が望まれている
... 本稿では,マルウェア判定に有効と考えられるファイル の静的な情報から独立変数を定義し,統計的手法を用いて マルウェアらしさを判定する実験を行った結果及び考察を 示した.統計手法としてはロジスティック回帰分析と判別 分析を用いた.有効な独立変数を見つけることができ,フ ィットするモデルを構築することができた.このモデルを ...
6
マルウェアURSNIFによる漏えい情報を特定せよ ~感染後暗号通信の解読~
... • マルウェアに実装されているコードの再利用 ‒復号処理が実装されていればインタフェースに合わせて使うだけ 実装方法の選択肢 実装されているプログラムをCPUエミュレータで実行 ...
42
「2018年サイバー犯罪者のショッピングリスト」と「マルウェアの脅威水準の急激な上昇」
... 1. 2017 年盗難クレジットカード情報が多く流通した上位 20 ヵ国の平均単価 RSA が 1 月に発表した「2018 年サイバー犯罪者のショッピングリスト(盗まれた個人情報の闇市場価格)」で は、クレジットカードサイトから盗まれた個人情報の相場価格は、 3 ドルから 5 ドルでした。クレジットカード犯罪 ...
7
Inside Android Security - 内部構造から探る Android への脆弱性攻撃とマルウェアの脅威
... root 化の悪用 : 対策とその限界 (2) • root ユーザーの制限だけでは完全な対策にならない – パーミッションによる保護は root に対しては無効化されている – Dalvik ベースのアプリはすべて単一プロセスのクローンであるため、 既存のセキュア OS においてポリシーで保護することが難しい ...
55
次世代マルウェア対策製品 CylancePROTECT®のご紹介
... 感染被害発覚後、外部機関によるアセスメントを実施し、即座に対策するよ う通知を受ける。対策製品への要件として下記の3点を挙げ、 「C社標的型攻撃対策製品」と「CylancePROTECT」の2製品の検証を実施。 1.攻撃の初期段階で用いられるマルウェアを即座に防御できること 2.感染が判明していない端末に被害が及んでいないことを保証すること ...
35
マルウェアレポート 2017年10月度版
... 10 月の中旬より DDE を悪用した新たな手口による攻撃が検出されています。 DDE(Dynamic Data Exchange)とは、Windows アプリケーション間でデータを転送するための仕組みの 一つです。アプリケーション間でコマンドの送信や受け取りが可能です。DDE 自体は古くからある Windows の技 ...
15
1 BitVisor [3] Alkanet[1] Alkanet (DLL) DLL 2 Alkanet Alkanet Alkanet VMM VMM Alkanet Windows [2] マルウェア 観 測 用 VM SystemCall Windows System
... てきたシステムコールトレースに加え,スタックトレースを行うことで,システムコール発行ま でに経由した API や呼出し元の動的リンクライブラリを特定する手法について述べる.本手法に より, DLL として動作するマルウェアや動的に生成されたコードなどを,動的リンクライブラリ やメモリ領域単位でその挙動を解析することが可能となる. ...
8
Alkanet[1, 2] Alkanet CPU CPU 2 Alkanet Alkanet (VMM) VMM Alkanet Windows Alkanet 1 Alkanet VMM BitVisor[3] BitVisor OS ユーザモード カーネルモード マルウェア観測用 PC VM
... ユーザモードで発生する分岐のみを記録する. 4.2 スレッド毎の分岐記録の取得 BTS にはスレッドやプロセスを区別する機 能はないため,そのままでは複数のスレッド・ プロセスで発生した分岐の情報が混交してしま う.マルウェアのコントロールフローを取得す るためには,スレッド毎に分岐情報を記録する 必要がある.そこで, Alkanet は, ...
8
ACTIVE(Advanced Cyber Threats response InitiatiVE) の概要 参考資料 4 平成 25 年 11 月からインターネットサービスプロバイダ (ISP) 等との協力により インターネット利用者を対象に マルウェア配布サイトへのアクセスを未然に防止する等の実
... 第1章 サイバー攻撃をめぐる環境 第1節 これまでの状況とそれに対する取組 サイバー攻撃は、近年、高度化、複雑化するとともに、愉快犯から経済犯・ 組織犯的なものに移行しており、インターネットが国民生活や社会経済活動に とって必要不可欠なものとなっている中で、大きな社会的脅威となっている。 ...
37
物理マシンを採用したマルウェア動的解析環境における仮想マシンと同等の復旧速度の実現 Computer Security Symposium October 2017 阿曽村一郎 武田康博 株式会社みずほフィナンシャルグループ 東京都千代田区大手町
... 5.1.1 既存システム 物 理 マ シ ン を 選 択 で き る 自 動 解 析 環 境 に ThreatAnalyzer[ a ] と Cuckoo Sandbox[ b ] が あ る . ThreatAnalyzer は物理マシンの復旧方式に Deep Freeze[ c ]と いう復旧用のソフトウェアを採用している.Deep Freeze は ...
6
ソフトウェアの脆弱性とエクスプロイト マルウェア 望ましくない可能性のあるソフトウェア 悪意のある Web サイトについての綿密な全体像 マイクロソフトセキュリティ インテリジェンスレポート 第 14 版 2012 年 7 月 ~ 12 月 主要な知見の概要
... エクスプロイトとは、ソフトウェアの脆弱性を利用する悪意のあるコード のことです。ユーザーの同意を得ずに、一般的にはユーザーの知らないう ちにコンピューターに感染し、妨害し、乗っ取ります。エクスプロイトは、 コンピューターにインストールされたオペレーティング システム、Web ブラウザー、アプリケーション、またはソフトウェア コンポーネントの ...
24
Vol.66 信頼できるマルウェア (?) に隠された真実
... 注目すべき点は、今年の上半期韓国で配布された有害なファイルの中にも有効なデジタル証明書で署名されたファイルが非常に多く、 現在も製作が続けられているということだ。またグローバルハードウェア製造元の ASUS が発行した証明書で署名されたファイル ...
7
アンラボ発信セキュリティ情報 PressAhn Pick Up! マルウェア詳細分析 相手の手札が丸見え レッドギャンブラー アンラボは韓国主要企業を対象に持続的なサイバー攻撃を実行した多数のハッキンググループを追跡中 ある攻撃グループが国内の不正ギャンブルゲームを通してマルウェアを配布したことが分
... 1) ユーティリティソフトウェアのセットアップファイル改ざん ユーティリティソフトウェアを通じる攻撃活動は 2016年10月から発見された。攻撃の震源地はユーティリティソフトウェアの公式サイトと確認さ れ、ダウンロード掲示板にアップロードされたセットアップファイルやダウンロードリンクを改ざんする手法を利用した。 攻撃グループは VPN ...
7
FOCUS IN-DEPTH - URSNIF ANALYSIS アースニフ ステガノグラフィーで金融圏を攻撃 金融情報を奪取するマルウェアのアースニフ (Ursnif) が再び活動を再開した アースニフは金融圏で最も頻繁に発見されるマルウェアの一つであり 初期は北米 ヨーロッパ オーストラリアなど
... FOCUS IN-DEPTH - URSNIF ANALYSIS アースニフ、ステガノグラフィーで金融圏を攻撃 金融情報を奪取するマルウェアのアースニフ(Ursnif)が再び活動を再開した。アースニフは金融圏で最も頻繁に発見されるマルウェ アの一つであり、初期は北米、ヨーロッパ、オーストラリアなどで活動したが、最近は日本の金融圏に多大な被害をもたらしている。 ...
7
ブラジルの決済サービスBoletのマルウェア、C&Cサーバー1台に約1,500万円もの不正送金記録
... Man-in-the-Browser の略。感染した PC からのオンラインバンキングサイトへのログインや振り込み手続きを検知、セッションをハイ ジャックして、ミュール(本ページ下段参照)の口座に預金を振り込むオンライン詐欺手法。ブラウザーの設定ファイルを変更して不正な コードを実行させることから、この名がついた。 Neosploit ...
10