マルウェア解析の現場から-07 「アンチ・アンチウイルスソフト」 |
マルウェアにとっての天敵は何と言ってもウイルス対策ソフトでしょう。そのため、マルウェアがウイルス対策ソフトを無効化するための機能を備えていることは珍しくありません。ウイルス対策ソフトが検出対応するよりも前にコンピュータの中に入り込むことに成功しさえすれば、あとはマルウェアがウイルス対策ソフトの機能を阻害することで、そのマルウェアの検出を防ぐことができてしまいます。これによってマルウェアの延命が図られるわけです。このような機能は「アンチ・アンチウイルスソフト」と呼ばれています。もちろん、ウイルス対策ソフト側もこのような状況を黙って見過ごしているわけではありません。「アンチ・アンチウイルスソフト」機能を分析し、不正動作の監視など「アンチ・アンチ・アンチウイルスソフト」とも呼べる機能を搭載して「アンチ・アンチウイルスソフト」機能と戦っています。しかし、結果としての「いたちごっこ」状態の中、使われ
マルウェア解析の現場から-06 「DGA」 |
マルウェア解析の目的は場面に応じて様々ですが、目的の一つはマルウェア対策に有用な情報を得ることです。マルウェア対策の基本的な方法には、ファイルを検査してそのファイルがマルウェアかどうかを判別する手法があります。マルウェアと同じコード(バイナリ列)が検索対象ファイル内に存在するかを調べるパターンマッチング、そしてこの仕組みを応用して検出可能な範囲を拡大したヒューリスティック的な検索手法です。ファイルを検査するこれらの手法は、マスメーリングワームのように飛んでくる流れ弾をブロックするには高い効果を発揮しました。しかし現在の攻撃者は、事前に自身が作成したマルウェアの検出状況を確認し、検出されない状態のファイルを用意してから攻撃を開始することがあります。そこで登場してきたのが、色々な検出技術を多層的に組み合わせて総合的な防御力を高めようという考え方です。コンピュータ内で行われる不正と思われる振る舞
マルウェア解析の現場から-05 「This program…」 |
脅威分析のために、攻撃全体を見通す「鳥の目」や過去からの流れを見極め行く末を予測する「魚の目」が重要なことはもはや強調するまでもありませんが、目の前の実体である攻撃コードが何を行うのかを正確に解析する「虫の目」は、脅威の適切な把握とその後の分析の基になる情報としてやはりその重要性に変わりはありません。リバースエンジニアリング手法を用いたマルウェア動作解析は、比較的他の人からも理解されやすい「鳥の目」や「魚の目」による分析とは違って、リバースエンジニア(リバースエンジニアリング手法を駆使して解析するエンジニア)だからこそ見えるものという意味でマルウェア解析の醍醐味と言えます。今回は原点に立ち返り、そんなマルウェア解析者の虫の目でどんなことが見えているのかを、最近解析した一つのマルウェアサンプルを通してご紹介します。 ■「Th[u]s program cannot be run in DOS
マルウェア解析の現場から-04 スクリプトボット |
前回のブログを書いてから随分と間隔が空いてしまいましたが、マルウェア解析の現場は止まっているわけではありません。むしろ進化し続けるマルウェアを利用した攻撃の実体を明らかにするためのマルウェア解析の需要は増す一方であり、「虫の目」による解析力と「鳥の目」による分析力を兼ね備えた解析エンジニアの育成は喫緊の課題です。そんな状況の中、解析結果としてのマルウェアの動作だけでなく、解析の雰囲気を知っていただくことで一人でも多くの方がマルウェア解析に興味を持つことを目的の一つとして、このブログをお送りします。さて、今回のマルウェアは・・・。 ■スクリプト 「このマルウェアは『bootstrap』というJScriptで書かれたファイルをダウンロードしているようだが、JScriptを利用して何をしているのか調べて欲しい。」 そんなお客様からの依頼を受け、このマルウェア「BKDR_GOOTKIT.A」の解析
マルウェア解析の現場から-03 Gumblar攻撃 |
不定期でお送りしている本ブログのこのシリーズ。今回はこれまでと少し趣向を変えて、特定の単体のマルウェアではなく「Gumblar攻撃」を取り上げます。最近のマルウェアを利用した攻撃は複数のマルウェアを利用することが多いため、一つのマルウェアの動作を詳細に解析しているだけでは起きていることの全貌を明らかにすることができません。そのため解析エンジニアには、個々のマルウェアを詳細に解析する「虫の目」だけでなく、関連するすべてのマルウェアを俯瞰して全体を見通す「鳥の目」も必要になります。そこで今回は、解析エンジニアの鳥の目で「Gumblar攻撃」を眺めて感じたことをお伝えします。 ■第1段階:Webページの改ざん Gumblar攻撃は、Webページが何らかの方法で改ざんされるところから始まります。これまでに確認されている情報によれば、FTPによってWebコンテンツへの不正アクセスが行なわれているよう
マルウェア解析の現場から-02 |
リージョナルトレンドラボでは、毎日たくさんのマルウェアの解析を行なっています。解析した結果はウイルス情報などの形で公開したり、問合せをいただいたお客様に個別に回答したりしますが、解析結果を得るまでにはそこに至る過程があります。解析の結果ではなく、解析の過程で解析エンジニアが感じたことに焦点をあてる本ブログのこのシリーズ。第1回目はお蔭様で好評をいただくことができましたので、同じ形で進めていくことにします。さて、第2回目は・・・ ■暗号 暗号とは、フリー百科事典のウィキペディア(Wikipedia)によれば、 「第三者に通信内容を知られないように行う特殊な通信(秘匿通信)方法のうち、通信文を見ても特別な知識なしでは読めないように変換する表記法(変換アルゴリズム)のこと」 とあります。私は暗号分野を本格的に勉強したことはありませんが、マルウェアを解析していると攻撃者がメッセージを隠すために本来
マルウェア解析の現場から-01 |
リージョナルトレンドラボでは、毎日たくさんのマルウェアの解析を行なっています。そのほとんどは自動解析システムにより人手を介さずに行われていますが、より詳細な動作を知る必要がある場合や深い分析が必要な場合は、解析エンジニアがリバースエンジニアリング的な手法を用いて解析しています。そして解析していると、エンジニアは人間ですから主観的に「面白い」と感じる瞬間があります。「面白い」と感じる対象は様々です。不正プログラムの動作、プログラムの作られ方、潜んでいるメッセージなどなど・・・。そこで本ブログのこのシリーズでは、日本のリージョナルトレンドラボで日々解析している中でエンジニアが「面白い」と感じた内容について、その内容が重大であるかどうかに関係なくご紹介していきます。「マルウェア解析」という一見難しそうに思えるものが少しでも身近に感じられ、マルウェアに対する注意が向上する一助になれば幸いです。 ■
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
