吉川孝志のマルウエア徹底解剖
近年、一般の人々にもマルウエアの脅威が身近になっている。日本でも社会的に大きく影響する被害が散見される。企業などのIT管理者が有効な対策を取るには、マルウエアに対する正しい理解が必要だ。『マルウエアの教科書』(日経BP)著者が、マルウエアの本質を分かりやすく解説する。 第5回 サイバー攻撃者はいかに身元を隠すのか、画像にピクセル単位で情報を埋め込むことも 手だれのサイバー攻撃者でも、匿名性を保って活動するのは難しい。攻撃を重ねるほど匿名性を保つために注意すべき観点が増えるからだ。それらの観点を分析すれば、防御側が攻撃者の身元を明らかにする手掛かりを得やすくなる。そこでマルウエアを使う攻撃者が身元を隠す手口を、前回から2回にわたって解説している。 2024.06.24 第4回 サイバー攻撃者だって身元を隠し通せない、「ほころび」を探る観点を徹底解説 サイバー攻撃者は皆、身元が露見するのを防ぐ
AI同士が対話して高度なマルウエアをつくり出す、「自律型エージェント」の脅威
前回は特殊な指示を与えるなどの方法で想定外の挙動を引き起こす「異常系アプローチ」について詳しく見た。異常系アプローチは攻撃者にとって実施のハードルが比較的低い一方で、防御側も対策を講じやすい。 これに対し、対策を打ちにくい脅威が「正常系アプローチ」である。特別な指示を使わず、質問の手法を工夫することによってガードレールを迂回する。具体的には、悪意を伏せた質問で「ChatGPT」に「気付かせず」に回答させる。筆者は3つの手口に分類する。 悪意を伏せて気付かせない 1つ目は「タスクの細分化」である。不適切な質問でも、小さな要素に分解すれば悪意は薄れる。要件を細かなタスクに分解し、各タスクに対応する質問を1つずつ答えさせることで目的を達成する。 2つ目は悪意が伝わる表現を言い換える「表現のステルス化」だ。例えば「ランサムウエア」ではなく「ファイルを暗号化するプログラム」と言い換えて悪意を隠蔽する
検知困難な「ファイルレスマルウェア」、過去には三菱電機も被害に 対策の鍵は「振る舞い検知」 専門家が解説
検知困難な「ファイルレスマルウェア」、過去には三菱電機も被害に 対策の鍵は「振る舞い検知」 専門家が解説(1/2 ページ) 一見無害なファイルでありながら、メモリ空間で悪さをするため検知が難しいといわれる「ファイルレスマルウェア」。その攻撃が、2019年に比べて2020年は888%増加した――セキュリティサービスを手掛ける米WatchGuard Technologiesが、4月にこんなレポートを公開した。 ファイルレスマルウェアの検知が難しいのは、攻撃の痕跡をPC内に残さないからだ。海外だけでなく、日本でも19年6月には三菱電機がその被害にあい、同社から防衛省の機密情報や個人情報などが流出した可能性があると発表した。 増加傾向にあるファイルレスマルウェアの脅威に企業はどう対処するべきなのか。過去2回に引き続き、マルウェアの調査分析を専門とする、カスペルスキーの石丸傑さんに話を聞いた。 メモ
とあるマルウェアのディスアセンブル避けの工夫
A Silly Anti-Disassembly Trick (くだらないディスアセンブル対策)で紹介されている体験談。 筆者は、MacOS 用の怪しいマルウェアを解析中に以下のようなツールと無関係な謎の Copyright 表記を発見したと (c) 2014 - Cryptic Apps SARL - Disassembling not allowed Cryptic Apps は、ディスアセンブラ・ツールHopperを作っている会社のようです。 そして、この Hopper のデモ版で Hopper 自身を解析しようとすると、「このプログラムはディスアセンブルできません」という警告が出て先へ進めないと。 もうおわかりかと思いますが、どうもこの Hopper、自身の Copyright 表記がバイナリに入っているとこのエラーを出してディスアセンブルさせないようなのですね。 このとあるマルウ
Raspberry Piをターゲットにしたマルウェアを解析してみた。 - Qiita
概要 自身がさくらのクラウドで運用しているハニーポットのT-pot内でRaspberry Pi向けに作成されたマルウェアと思しきファイルを見つけたので解析してみました。 いつもcronで取得したマルウェアをfileコマンドの出力及びVirusTotalの解析結果と共にSlackに通知してるんですが、その結果に"Bourne-Again shell script"とあったので飛びつきました。 中身はバイナリではなくシェルスクリプトなので非常に読みやすく、且つIRC Botの中でもソースコードのサイズはかなり小さい方に入るので自分のような初心者の方にはうってつけの学習材料となると思います。 ぜひ、ゆるーく読んでいってください。 #!/bin/bash MYSELF=`realpath $0` DEBUG=/dev/null echo $MYSELF >> $DEBUG if [ "$EUID"
MacBookProがマルウェアに感染したので解析してみた - ぱろっくの日記
※この記事にちょいちょい出てくる上の方は、教授のことです。職場ではありません。 タイトルの通り、Macbook Proがマルウェアっぽいやつ(どちらかというとアドウェア?)に感染しました。(めんどくさいので便宜上この記事では以下ウィルスと呼びます。) 適当にしか探してないですが、似たような症状の記事とかが見つからなかったので、閉じ込めて少しだけ分析してみました。 が、最近セキュリティ以外のアルバイトや研究が忙しくてブログ書く時間が取れず、詳細を書いている時間がないのですが、これ以上溜め込んでおくのは鮮度が落ちる?し適当にまとめて載せておきます。 あと、詳しく書くと悪用する奴が出てくるからやめとけととあるお方から言われたのでコード省略してます。 感染源 これが本当に調べるの辛くて… 気力の限りlogを遡ったりしたのですが、わからなかったです… 症状 感染すると、以下のような症状が出ました。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
