未知のマルウェア検知
次世代マルウェア対策製品 CylancePROTECT®のご紹介
... 感染被害発覚後、外部機関によるアセスメントを実施し、即座に対策するよ う通知を受ける。対策製品への要件として下記の3点を挙げ、 「C社標的型攻撃対策製品」と「CylancePROTECT」の2製品の検証を実施。 1.攻撃の初期段階で用いられるマルウェアを即座に防御できること 2.感染が判明していない端末に被害が及んでいないことを保証すること ...
35
統計的手法を用いたマルウェア判定の実験結果 田中恭之 1, 2,a) 有川隼 1 畑田充弘 1 Computer Security Symposium October 2014 概要 : マルウェアが爆発的に増加する中でシグネチャによらない軽量なマルウェア判定方法が望まれている
... 本稿では,マルウェア判定に有効と考えられるファイル の静的な情報から独立変数を定義し,統計的手法を用いて マルウェアらしさを判定する実験を行った結果及び考察を 示した.統計手法としてはロジスティック回帰分析と判別 分析を用いた.有効な独立変数を見つけることができ,フ ィットするモデルを構築することができた.このモデルを ...
6
講座の全体構成 講座名称 主な学習内容 フォレンジック基礎編 感染 PC の調査に用いる基本ツールの操作方法 本日 WEB 型マルウェア編 感染源 WEB サイトの特定 遮断方法 感染 PC に潜伏しているマルウェア検体の取得方法 メール型マルウェア編 特定の不審メールの遮断方法 特定の不審メール受
... Explorer の一時フォルダの解析ツールです。 の一時フォルダの解析ツールです。 の一時フォルダの解析ツールです。 の一時フォルダの解析ツールです。 • 一時 一時 一時 一時フォルダにダウンロードしたファイル名, フォルダにダウンロードしたファイル名, フォルダにダウンロードしたファイル名, ...
57
IIJ Technical WEEK 2010 セキュリティ動向2010(1) Web感染型マルウェアの動向
... 1. FTPサーバを構築し、盗まれてもいいアカウントを作成 2. 各アカウントのディレクトリにWebアプリケーションを設置 3. FTPクライアントにあらかじめ認証情報を保存しておく 4. クライアントでマルウェアに感染させ、実際に盗ませる or 盗む通信をエミュレート 5. FTPログを監視し、改ざんをリアルタイムで検知し、保全 ...
42
講座 映像情報メディア関連のセキュリティ 第 4 回 図 1 マルウェアによるサイバー攻撃の可視化 ユーザのキーボード操作を記録 収集するキーロガー Keylogger などの多くは この感染形態を取っています 2.2 マルウェアの目的に着目した分類 2.3 マルウェアの機能に着目した分類 ダウンロ
... 侵入検知システムや侵入防止システムなどの従来のマル ウェア対策技術の多くは,組織のローカルネットワークが インターネットと接続しているネットワーク境界におい て,組織外からのサイバー攻撃を検知・防御する「境界防 御」が主流となっています.しかしながら,USB メモリー ...
5
機械語命令列の類似性に基づく自動マルウェア分類システム
... • Hirschbergらの方法を使えば,メモリ使用量はO(M) • 1マルウェアあたり多いと10万命令くらい. –素直にdiffをとろうとすると,1ペアで最大5分くらいかかる. (Intel Core2Quad 2.6GHz ,1コア).平均でも1分くらい. –3000検体の分類には ...
26
講座の全体構成 講座名称 主な学習内容 フォレンジック基礎編 感染 PC の調査に用いる基本ツールの操作方法 WEB 型マルウェア編 感染源 WEB サイトの特定 遮断方法 感染 PC に潜伏しているマルウェア検体の取得方法 本日 メール型マルウェア編 特定の不審メールの遮断方法 特定の不審メール受
... [ 実習 実習 実習 実習 04] Proxy ログの調査 ログの調査 ログの調査 ログの調査 • Proxy ログを調査し,感染 ログを調査し,感染 ログを調査し,感染 ログを調査し,感染 PC による不審なインターネット通信の有無を確認します。 による不審なインターネット通信の有無を確認します。 ...
46
Vol.66 信頼できるマルウェア (?) に隠された真実
... 信頼できるマルウェア(?)に隠された真実 発行先の識別情報をベースに信頼性を高めるためファイルにデジタル署名をする過程を「コードサイニング(Code Signing)という。 ファイルの作成者は認定された認証機関(CA、Certificate Authority)からデジタル証明書(Digital Certificate)を発行して、作成ファ ...
7
Android.Bankun と Simplelocker (シンプルロッカー1)を集中分析 モバイルマルウェアの収益モデルとは 最近配布されているマルウェアのほとんどは金銭的利益を目的に作成され モバイルマルウェアも例外ではない モバイルマルウェ アは小額決済を狙う chest チェスト 金融情報
... 1 Simplelockerは、Cheater Mobileが検出した最初の破壊工作ソフトであり、デバイス上のファイルを暗号化して人質として金銭的な要求をしてくる。一度ダウン ロードしてしまうとSDカード上のすべてのファイルを暗号化してしまうので、除去するのは極めて困難といわれる。 2 ...
10
Computer Security Symposium October 1 November 2012 ストリーム処理システムを用いたマルウェア検知基盤システム 大桶真宏 川島英之 北川博之 筑波大学情報科学類 茨城県つくば市天王台
... 7 まとめ 本論文ではストリームデータ処理システムを 用いたマルウェア検知システムを提案した.提 案システムは宣言的言語を用いることで容易に ポート毎のアクセス数を分析できることを示し, SQLでは記述不能な処理をUDFとして実現可 能であることを示した.また,提案システムは SPSを利用することでRDBMSを用いる方式よ ...
7
マルウェア対策のための研究用データセット ~ MWS Datasets 2013 ~.pptx
... dropped 検体が実行時に生成したファイル behavior 検体実行時の APIログ(PID、TID、API名、引数、返り値等) processtree 検体実行時のプロセスツリー(親子関係) summary 検体が実行時にアクセスしたファイル、レジストリ等の概要情報 ...
38
1007 ステルスデバッガを利用したマルウェア解析手法の提案
... 未知の手法により検知される可能性がある 仮想マシンすべてをソフトウェアで記述しているため、理論上は検知され ない仮想マシン環境が作れるはず? OEP ジャンプ箇所検出の有効性(他のパッカーでは?) ...
26
マルウェアレポート 2017年9月度版
... 5 悪意のあるコードを含む Piriform CCleaner v5.33.6162 このマルウェアは、ESET 製品では「Win32/HackedApp.CCleaner」として検出されます。最新のバージョンの CCleaner ではこの問題はすでに修正されています。 ...
13
本資料について 本資料は 端末管理サービス KDDI Smart Mobile Safety Manager( 以降 本資料では SMSM といいます ) に関する資料です 2018 年 7 月 14 日頃から 本製品の利用に必要なアプリケーションが Google よりマルウェアとして誤検知され お
... 1.3 2018/8/7 P25 必要に応じてカメラ/ストレージ/位置情報/連絡先も有効化を追記 1.4 2018/8/10 P1 作業実施後、エージェントアプリが必ず最新版になる旨を追記 Google Play storeからのインストールを行ってしまった方はP40以降を確認するよう追記 P18 提供元不明アプリの設定後にファイルアプリからアプリのインストールする手順を追記 ...
47
ソフトウェアの脆弱性とエクスプロイト マルウェア 望ましくない可能性のあるソフトウェア 悪意のある Web サイトについての綿密な全体像 マイクロソフトセキュリティ インテリジェンスレポート 第 14 版 2012 年 7 月 ~ 12 月 主要な知見の概要
... エクスプロイトとは、ソフトウェアの脆弱性を利用する悪意のあるコード のことです。ユーザーの同意を得ずに、一般的にはユーザーの知らないう ちにコンピューターに感染し、妨害し、乗っ取ります。エクスプロイトは、 コンピューターにインストールされたオペレーティング システム、Web ブラウザー、アプリケーション、またはソフトウェア コンポーネントの ...
24
物理マシンを採用したマルウェア動的解析環境における仮想マシンと同等の復旧速度の実現 Computer Security Symposium October 2017 阿曽村一郎 武田康博 株式会社みずほフィナンシャルグループ 東京都千代田区大手町
... 4.1 仮想マシンと物理マシンでの動作結果 仮想マシンと物理マシンを用いたマルウェアの動的解 析結果の一覧を表 2 に示す.金融系マルウェアについては, 物理マシン上では 11 検体中 8 検体の動作が確認され,最 も良い結果を得られている.仮想マシンは KVM が 11 検体 中 6 検体,VMWare ESXi が 11 ...
6
Alkanet[1, 2] Alkanet CPU CPU 2 Alkanet Alkanet (VMM) VMM Alkanet Windows Alkanet 1 Alkanet VMM BitVisor[3] BitVisor OS ユーザモード カーネルモード マルウェア観測用 PC VM
... たがって,短時間での解析ではなく,より細粒度 の解析での活用が期待される.具体的には,コ ントロールフローの類似性に基づいたマルウェ アの分類や検出の手法が挙げられる.また,マ ルウェアのコントロールフローを取得すること で,アンパックが難しいマルウェアや独自のロー ...
8
Kullback-Leibler 情報量を用いた亜種マルウェアの同定 電気通信大学 中村燎太 松宮遼 高橋一志 大山恵弘 1
... 提案手法に基づく実験 (3/4) 4社のアンチウイルスソフトウェアによる検査結果を利用 ━ 3社以上のベンダーによる検査結果(科名)が基準検体と 一致した識別対象検体を「亜種」と見なす ...
23
ブラジルの決済サービスBoletのマルウェア、C&Cサーバー1台に約1,500万円もの不正送金記録
... Man-in-the-Browser の略。感染した PC からのオンラインバンキングサイトへのログインや振り込み手続きを検知、セッションをハイ ジャックして、ミュール(本ページ下段参照)の口座に預金を振り込むオンライン詐欺手法。ブラウザーの設定ファイルを変更して不正な コードを実行させることから、この名がついた。 Neosploit ...
10
トピック 1 改訂にあたっての状況認識 3 昨年まで よく見られた 標的型攻撃 直接的に扱う 不審なメール ( なりすましメール ) 不審なサイト ( フィッシング詐欺サイト ) マルウェア感染させる文書ファイル マルウェア感染させる外部記憶媒体 ターゲット組織 4
... (他のログ等の情報で利用する「共通キー」)になることが多い。 – 期待通りにログ等の情報が記録されていることは稀である。 • 他の類似事象(攻撃)の分析情報を参考にする、或いは調査対象のネットワーク化された システムの脆弱な部分を見極めながら、仮説と検証を根気よく繰り返すことがある。 – ...
12