Golang マルウェア「WellMess」の解析
1007 ステルスデバッガを利用したマルウェア解析手法の提案
... ステルスデバッガの提案 仮想マシンを利用してマルウェアの実行環境から隔離された環境 からデバッグを行える機構の提供 (ring -1) 従来の CPU や OS のデバッグ支援機構に頼らないデバッグ機構の 提供 ...
26
マルウェアURSNIFによる漏えい情報を特定せよ ~感染後暗号通信の解読~
... • 鍵は使い回し 鍵のライフサイクル(2) 暗号鍵 補足説明 0WADGyh7SUCs1i2V 2016年~2017年2月頃に国内で配布されたURSNIFが使用 s4Sc9mDb35Ayj8oO 2016年~2017年に国内で配布されたURSNIFが使用 ...
42
物理マシンを採用したマルウェア動的解析環境における仮想マシンと同等の復旧速度の実現 Computer Security Symposium October 2017 阿曽村一郎 武田康博 株式会社みずほフィナンシャルグループ 東京都千代田区大手町
... 4.1 仮想マシンと物理マシンでの動作結果 仮想マシンと物理マシンを用いたマルウェアの動的解 析結果の一覧を表 2 に示す.金融系マルウェアについては, 物理マシン上では 11 検体中 8 検体の動作が確認され,最 も良い結果を得られている.仮想マシンは KVM が 11 検体 中 6 検体,VMWare ESXi が 11 ...
6
講座の全体構成 講座名称 主な学習内容 フォレンジック基礎編 感染 PC の調査に用いる基本ツールの操作方法 WEB 型マルウェア編 感染源 WEB サイトの特定 遮断方法 感染 PC に潜伏しているマルウェア検体の取得方法 本日 メール型マルウェア編 特定の不審メールの遮断方法 特定の不審メール受
... ②判断 判断 判断 判断 • 本事案のメールソースおよび添付ファイル( 本事案のメールソースおよび添付ファイル( 本事案のメールソースおよび添付ファイル( 本事案のメールソースおよび添付ファイル( PDF ファイル)を確認します。 ファイル)を確認します。 ファイル)を確認します。 ファイル)を確認します。 • また また,営業所 また また ,営業所 ,営業所 ,営業所 PC ...
46
講座の全体構成 講座名称 主な学習内容 フォレンジック基礎編 感染 PC の調査に用いる基本ツールの操作方法 本日 WEB 型マルウェア編 感染源 WEB サイトの特定 遮断方法 感染 PC に潜伏しているマルウェア検体の取得方法 メール型マルウェア編 特定の不審メールの遮断方法 特定の不審メール受
... Explorer の一時フォルダの解析ツールです。 の一時フォルダの解析ツールです。 の一時フォルダの解析ツールです。 の一時フォルダの解析ツールです。 • 一時 一時 一時 一時フォルダにダウンロードしたファイル名, フォルダにダウンロードしたファイル名, ...
57
講座 映像情報メディア関連のセキュリティ 第 4 回 図 1 マルウェアによるサイバー攻撃の可視化 ユーザのキーボード操作を記録 収集するキーロガー Keylogger などの多くは この感染形態を取っています 2.2 マルウェアの目的に着目した分類 2.3 マルウェアの機能に着目した分類 ダウンロ
... い の う え 大介 だ い す け 2003 年,横浜国立大学大学院工学研 究科博士課程後期修了後,通信総合研究所(現(独)情 報通信研究機構)に入所.2006 年より,インシデント 分析センター NICTER の研究開発に従事.現在,情報 通信研究機構ネットワークセキュリティ研究所サイ バーセキュリティ研究室室長,同機構サイバー攻撃対 策総合研究センター(CYREC)サイバー防御戦術研究 ...
5
機械語命令列の類似性に基づく自動マルウェア分類システム
... • 命名することより,検知・駆除することが重要なんでしょうけど. • マルウェアの全容を解明し(続け)たい! –まずは,収集したマルウェアの傾向(流行り廃り)を掴む. –できれば, ...
26
統計的手法を用いたマルウェア判定の実験結果 田中恭之 1, 2,a) 有川隼 1 畑田充弘 1 Computer Security Symposium October 2014 概要 : マルウェアが爆発的に増加する中でシグネチャによらない軽量なマルウェア判定方法が望まれている
... IISEC, Yokohama, Kanagawa 221–0835, Japan a) [email protected] 析を用いた.有効な独立変数を探り,フィットするモデル を構築することができた.このモデルを用いて,マルウェ アらしさが高いものを優先的に解析対象とすることで解析 効率を向上できる.また,一般的にもシグネチャベースで ...
6
Android.Bankun と Simplelocker (シンプルロッカー1)を集中分析 モバイルマルウェアの収益モデルとは 最近配布されているマルウェアのほとんどは金銭的利益を目的に作成され モバイルマルウェアも例外ではない モバイルマルウェ アは小額決済を狙う chest チェスト 金融情報
... 1 Simplelockerは、Cheater Mobileが検出した最初の破壊工作ソフトであり、デバイス上のファイルを暗号化して人質として金銭的な要求をしてくる。一度ダウン ロードしてしまうとSDカード上のすべてのファイルを暗号化してしまうので、除去するのは極めて困難といわれる。 2 ...
10
マルウェア対策のための研究用データセット ~ MWS Datasets 2013 ~.pptx
... – IPアドレス、デフォルトGW、DNSサーバはDHCPで割当 – 解析環境の動作確認としてpcapに記録されているもの • www.google.co.jpにHTTPの(主に)HEADリクエストを送信 • 時刻同期:ntp.jst.mfeed.ad.jp ...
38
仙台 CTF2018 セキュリティ技術勉強会 マルウェア感染対応基礎編 ウイルス検知アラートとタイムライン解析から感染経緯を読み解く方法 平成 30 年 9 月 8 日 仙台 CTF 推進プロジェクト Copyright (C) 2018 Sendai CTF. All Rights Reserve
... USB 大容量記憶装置デバイス "; セクション名 : "USBSTOR_BULK" #I023 実際のインストール セクション : [USBSTOR_BULK.NT] ランク : 0x00002000. ドライバ有効開始日 : 07/01/2001. #-166 デバイス インストール関数 : DIF_SELECTBESTCOMPATDRV 。 #I063 選択されたドライバは ...
110
Computer Security Symposium October 1 November 2012 ストリーム処理システムを用いたマルウェア検知基盤システム 大桶真宏 川島英之 北川博之 筑波大学情報科学類 茨城県つくば市天王台
... 提案システムは検知手法を SQLライクな問合せ言語により記述可能にする.これによりユーザは SQLを発行すれば結果をタプルストリームとして受信可能になるため,第二の問題は解決される. A Malware Detection Infrastructure System based on Stream Processing System ...
7
Alkanet[1, 2] Alkanet CPU CPU 2 Alkanet Alkanet (VMM) VMM Alkanet Windows Alkanet 1 Alkanet VMM BitVisor[3] BitVisor OS ユーザモード カーネルモード マルウェア観測用 PC VM
... を修正なしで実行できる. マルウェアの実行環境であるゲスト OS には, 32bit 版 Windows XP Service Pack 3 を用いて いる.この環境におけるシステムコールは,通 常 sysenter 命令によってカーネルモードへ遷移 し, sysexit 命令によってユーザモードへ復帰す る.システムコールのフックは,これらの命令 ...
8
1 BitVisor [3] Alkanet[1] Alkanet (DLL) DLL 2 Alkanet Alkanet Alkanet VMM VMM Alkanet Windows [2] マルウェア 観 測 用 VM SystemCall Windows System
... [email protected] あらまし 近年,マルウェアの脅威が問題となっているが,その対策には,マルウェアの挙動を調 査する必要がある.そこで,我々は,仮想計算機モニタ BitVisor をベースとし,システムコール トレースによってマルウェアを解析する Alkanet ...
8
FOCUS IN-DEPTH - URSNIF ANALYSIS アースニフ ステガノグラフィーで金融圏を攻撃 金融情報を奪取するマルウェアのアースニフ (Ursnif) が再び活動を再開した アースニフは金融圏で最も頻繁に発見されるマルウェアの一つであり 初期は北米 ヨーロッパ オーストラリアなど
... FOCUS IN-DEPTH - URSNIF ANALYSIS アースニフ、ステガノグラフィーで金融圏を攻撃 金融情報を奪取するマルウェアのアースニフ(Ursnif)が再び活動を再開した。アースニフは金融圏で最も頻繁に発見されるマルウェ アの一つであり、初期は北米、ヨーロッパ、オーストラリアなどで活動したが、最近は日本の金融圏に多大な被害をもたらしている。 ...
7
Computer Security Symposium October 2014 多種環境マルウェア動的解析システムの提案 仲小路博史 重本倫宏 鬼頭哲郎 林直樹 寺田真敏 菊池浩明 株式会社日立製作所 神奈川県横浜市戸塚区吉田町 292 番地 明治大学 16
... このため,M3AS はネットワーク再現機能を備え, サンドボックス内の検体からの各種サーバ向け リクエストに応答するサーバエミュレータ機能や, インターネットに代理接続してマルウェア配布 サーバや C&C サーバと安全に通信する WAN 代理接続機能(開発中)を持つ。これにより,ダ ウンローダ型マルウェアが特定の Web サーバ ...
8
アンラボ発信セキュリティ情報 PressAhn Pick Up! マルウェア詳細分析 相手の手札が丸見え レッドギャンブラー アンラボは韓国主要企業を対象に持続的なサイバー攻撃を実行した多数のハッキンググループを追跡中 ある攻撃グループが国内の不正ギャンブルゲームを通してマルウェアを配布したことが分
... レッドギャンブラー攻撃グループが製作したマルウェアは 2016年10月最初に発見されたが、当時はユーティリティプログラムを利用する不特定多 数のユーザーを攻撃対象にしていた。同年 12月までもユーティリティプログラムの公式サイトからマルウェアが配布され、この攻撃は各ユーティリ ティプログラムタイプによって一定期間進行された。 また ...
7
トピック 1 改訂にあたっての状況認識 3 昨年まで よく見られた 標的型攻撃 直接的に扱う 不審なメール ( なりすましメール ) 不審なサイト ( フィッシング詐欺サイト ) マルウェア感染させる文書ファイル マルウェア感染させる外部記憶媒体 ターゲット組織 4
... (他のログ等の情報で利用する「共通キー」)になることが多い。 – 期待通りにログ等の情報が記録されていることは稀である。 • 他の類似事象(攻撃)の分析情報を参考にする、或いは調査対象のネットワーク化された システムの脆弱な部分を見極めながら、仮説と検証を根気よく繰り返すことがある。 – ...
12
マルウェアレポート 2017年10月度版
... OS のアップデートを行い、脆弱性を解消してください。 3. ソフトウェアのアップデートを行い、セキュリティパッチを適用する ウイルスの多くが狙う「脆弱性」は、Java、Adobe Flash Player、Adobe Reader などのアプリケーションにも 含まれています。 ...
15
( 億 種 ) マルウェアが 急 速 に 増 加! 短 時 間 で 解 析 し, マルウェアの 意 図 や 概 略 を 把 握 したい マルウェアを 実 行 し, 挙 動 を 観 測 することで 解 析 する 動 的 解 析 が 有 効 しかし, マルウェアの 巧 妙 化 により, 観 測 自 体
... ログを元にマルウェアの特徴的な挙動を抽出するツール群も作成� 別プロセス内に作成されたスレッドも追跡可能であることを確認� PCMark’05 によるベンチマーク� 総合では16%程度のオーバヘッド, 特に Memory Latency が65%低下� ...
21