IoTマルウェア駆除実験
統計的手法を用いたマルウェア判定の実験結果 田中恭之 1, 2,a) 有川隼 1 畑田充弘 1 Computer Security Symposium October 2014 概要 : マルウェアが爆発的に増加する中でシグネチャによらない軽量なマルウェア判定方法が望まれている
... 5.5 判別分析への適用 判別分析は,事前に与えられたデータが,どのグループ に属していると予めわかっている場合,未知のデータが属 するグループを推定する手法である[11].ロジスティック 回帰分析が出力として確率値を取るのに対し,判別分析で はどのグループか等の固定値が出力されることから,単純 に分類したい場合に適している.判別分析には,①線形判 別関数を用いて,値を直線的モデルに当てはめる方法と, ...
6
FOCUS IN-DEPTH - URSNIF ANALYSIS アースニフ ステガノグラフィーで金融圏を攻撃 金融情報を奪取するマルウェアのアースニフ (Ursnif) が再び活動を再開した アースニフは金融圏で最も頻繁に発見されるマルウェアの一つであり 初期は北米 ヨーロッパ オーストラリアなど
... [表 3] パワーシェルスクリプト アースニフ変形マルウェアの主な特徴 2018年秋に報告された変形サンプルの違いは、ダウンロードを遂行する CMD/PowerShell コマンドの構造にある。[図 8]は 9月に発見された変形 からスクリプトを実行する構造で、cmd.exe 因子でハードコーティングされたダウンロードを含むパワーシェルスクリプトを実行する。 ...
7
マルウェアレポート 2018年11月度版
... ESET 製品では、3ve に使用されたアドウェアをそれぞれ Win32/Boaxxe.BE、Win32/Kovter という検出 名で検出し、駆除します。また、2 つのマルウェアは、無料で公開されている「 ESET Online Scanner 」を用い ることでも、感染の有無を確認することができます。 ...
17
マルウェアレポート 2018年8月度版
... このマルウェアは、Outlook ユーザーを狙ったバックドアです。サイバースパイ集団の Turla によって作成されたと 考えられており、2009 年に確認されて以降、継続的にアップデートされています。実際に被害も発生しており、 ドイツ外務省がこのバックドアに感染し、機密情報が搾取された可能性が示唆されています。 近年の Turla Outlook Backdoor ...
16
マルウェア対策のための研究用データセット ~ MWS Datasets 2013 ~.pptx
... • 取得して24時間以内にマルウェアサンドボックス上で実行した際の通信データ • マルウェアサンドボックスはインターネットに接続可能(攻撃通信は遮断) • 取得時期 – 期間を空けて合計3回分提供する予定 ...
38
次世代マルウェア対策製品 CylancePROTECT®のご紹介
... 感染被害発覚後、外部機関によるアセスメントを実施し、即座に対策するよ う通知を受ける。対策製品への要件として下記の3点を挙げ、 「C社標的型攻撃対策製品」と「CylancePROTECT」の2製品の検証を実施。 1.攻撃の初期段階で用いられるマルウェアを即座に防御できること 2.感染が判明していない端末に被害が及んでいないことを保証すること ...
35
Inside Android Security - 内部構造から探る Android への脆弱性攻撃とマルウェアの脅威
... • root 化は Android のセキュリティ機構を破り、 ウイルス対策ソフトが手出しできないマルウェアを可能にしてしまう – 仮にウイルス対策ソフトがマルウェアを発見できても、 それを除去、無害化することができない可能性がある ...
55
IIJ Technical WEEK 2010 セキュリティ動向2010(1) Web感染型マルウェアの動向
... 攻撃ベクトルの変遷 狙われているブラウザプラグイン http://gdata.co.jp/press/archives/2010/11/java_1.htm ネット犯罪界では、過去数ヶ月よりも大規模に、マルウェアを拡散させるのにJava の脆弱性を利用するようになっています。G Dataセキュリティラボの調べにおいて は、 2010年2月以来、最も多いセキュリティ脅威はPDF ファイルの弱点を突いた攻 ...
42
1007 ステルスデバッガを利用したマルウェア解析手法の提案
... ステルスデバッガの提案 仮想マシンを利用してマルウェアの実行環境から隔離された環境 からデバッグを行える機構の提供 (ring -1) 従来の CPU や OS のデバッグ支援機構に頼らないデバッグ機構の 提供 ...
26
Vol.66 信頼できるマルウェア (?) に隠された真実
... アンラボは Clop ランサムウェアの追跡過程でバックドアファイルをダウンロードするファイル、Ammyy バックドアファイル、されに Clop ラン サムウェアファイルまで計 3段階の主要 PE(Portable Executable)の実行ファイルがコードサイニングされたことを確認した。署名に使用されたデ ...
7
マルウェアレポート 2018年3月度版
... 7 ウェアをダウンロード・実行します。そして最終的に、バンキングマルウェア「Win32/Spy.Ursnif」に感染します。 「Win32/Spy.Ursnif」は以下のような様々な情報を窃取することを確認しています。 ...
16
「2018年サイバー犯罪者のショッピングリスト」と「マルウェアの脅威水準の急激な上昇」
... MITB Man-in-the-Browser の略。感染した PC からのオンラインバンキングサイトへのログインや振り込み手続きを検知、セッションをハイ ジャックして、ミュール(本ページ下段参照)の口座に預金を振り込むオンライン詐欺手法。ブラウザーの設定ファイルを変更して不正な コードを実行させることから、この名がついた。 Nonpolite マルウェアのコード名。PC ...
7
講座の全体構成 講座名称 主な学習内容 フォレンジック基礎編 感染 PC の調査に用いる基本ツールの操作方法 WEB 型マルウェア編 感染源 WEB サイトの特定 遮断方法 感染 PC に潜伏しているマルウェア検体の取得方法 本日 メール型マルウェア編 特定の不審メールの遮断方法 特定の不審メール受
... • 感染した 感染した 感染した 感染した PC は は,データをバックアップし,クリーンインストール は は ,データをバックアップし,クリーンインストール ,データをバックアップし,クリーンインストール ,データをバックアップし,クリーンインストールすること すること すること することを推奨します。 を推奨します。 を推奨します。 を推奨します。 – ...
46
講座の全体構成 講座名称 主な学習内容 フォレンジック基礎編 感染 PC の調査に用いる基本ツールの操作方法 本日 WEB 型マルウェア編 感染源 WEB サイトの特定 遮断方法 感染 PC に潜伏しているマルウェア検体の取得方法 メール型マルウェア編 特定の不審メールの遮断方法 特定の不審メール受
... るため,アクセスしただけで感染する恐れがあります。 ,アクセスしただけで感染する恐れがあります。 ,アクセスしただけで感染する恐れがあります。 ,アクセスしただけで感染する恐れがあります。 – このように,ブラウザを通じて, PC 利用者の意思とは無関係に,マルウェアのダウンロードと 実行を行う攻撃を,ドライブ・バイ・ダウンロード攻撃( Drive-By-Download )といいます。 • 本講座では, ...
57
( 億 種 ) マルウェアが 急 速 に 増 加! 短 時 間 で 解 析 し, マルウェアの 意 図 や 概 略 を 把 握 したい マルウェアを 実 行 し, 挙 動 を 観 測 することで 解 析 する 動 的 解 析 が 有 効 しかし, マルウェアの 巧 妙 化 により, 観 測 自 体
... 1体辺りの解析時間の短縮, � 時間計測を用いたアンチデバッグの回避などが見込める� 脆弱性が潜在する可能性が低い� マルウェアに乗っとられる可能性が低くなる� ...
21
ブラジルの決済サービスBoletのマルウェア、C&Cサーバー1台に約1,500万円もの不正送金記録
... ブラジルの決済サービス Bolet のマルウェア、 C&C サーバー1 台に約 1,500 万円もの不正送金記録 Monthly AFCC NEWS:2014 年 11 月号 (Vol.88) フィッシングという言葉が 1996 年に出現して以来、その手口は進化し続けており、被害総額と被害者数は上昇の一 途です。RSA が提供するフィッシングサイト閉鎖サービス「RSA ...
10
マルウェアURSNIFによる漏えい情報を特定せよ ~感染後暗号通信の解読~
... • マルウェアに実装されているコードの再利用 ‒復号処理が実装されていればインタフェースに合わせて使うだけ 実装方法の選択肢 実装されているプログラムをCPUエミュレータで実行 ...
42
1 BitVisor [3] Alkanet[1] Alkanet (DLL) DLL 2 Alkanet Alkanet Alkanet VMM VMM Alkanet Windows [2] マルウェア 観 測 用 VM SystemCall Windows System
... 図 5: PDF 内のシェルコードから発行されたシステムコールとスタックトレースの結果 のドライバとして実装されている. Alkanet は, マルウェアに検出されることを防ぐために, Win- dows には手を加えず, VMM のレイヤで実現 ...
8
マルウェアレポート 2017年12月度版
... 6 ESET 製品では、これらのマルウェアを「VBA/TrojanDownloader.Agent」および「Win32/Spy.Ursnif」とし て検出します。 また、一般社団法人日本サイバー犯罪対策センターの DreamBot・Gozi 感染チェックサイト 【試験運用中】で は、DreamBot に感染しているかどうかを確かめることができます。 ...
13
マルウェアレポート 2017年10月度版
... ④2 つ目のダイアログで「はい(Y)」を選択すると、ダウンローダーが実行されます。 ⑤別のマルウェアをダウンロード後、実行されます。 ※どちらかのダイアログで「いいえ(N)」を選択することで、マルウェアの実行を回避できます。 このマルウェアは、ESET 製品では「VBA/DDE トロイの木馬」として検出されます。国別にみると、VBA/DDE ...
15