マルウェア解析の現場から-02 |
リージョナルトレンドラボでは、毎日たくさんのマルウェアの解析を行なっています。解析した結果はウイルス情報などの形で公開したり、問合せをいただいたお客様に個別に回答したりしますが、解析結果を得るまでにはそこに至る過程があります。解析の結果ではなく、解析の過程で解析エンジニアが感じたことに焦点をあてる本ブログのこのシリーズ。第1回目はお蔭様で好評をいただくことができましたので、同じ形で進めていくことにします。さて、第2回目は・・・ ■暗号 暗号とは、フリー百科事典のウィキペディア(Wikipedia)によれば、 「第三者に通信内容を知られないように行う特殊な通信(秘匿通信)方法のうち、通信文を見ても特別な知識なしでは読めないように変換する表記法(変換アルゴリズム)のこと」 とあります。私は暗号分野を本格的に勉強したことはありませんが、マルウェアを解析していると攻撃者がメッセージを隠すために本来
検出の難しいポリモーフィック型マルウエア「W32/Xpaj」
McAfee Avert Labs Blog 「W32/Xpaj: Know Your Polymorphic Enemy」より September 21,2009 Posted by Vitaly Zaytsev 近ごろのウイルス対策ソフトはさまざまな技術を採用しているため,割と簡単にマルウエアを処理できる。適切なエミュレータ方式のスキャン・エンジンを使えば,エントリ・ポイント難読化(EPO)という手口を使うものも含めて,大半の(攻撃用コードを暗号化する)ポリモーフィック型と(攻撃用コードを変化させる)メタモーフィック型のマルウエアに対応可能だ(関連記事:ITPro Dictionary「ポリモーフィック」/ウイルス作者と対策ソフトのいたちごっこは終わらない)。ところが,「W32/Zmist」(別名「Mistfall」)のようにロード遅延とランダムなコード・ブロック挿入を行うマルウエアだ
FFR Yarai vs 自作マルウェアもどきウェア - 赤羽橋日記
FFRのYarai。評価版を入手した。従来のウィルススキャンとは一線を画すらしい。シグニチャパターンではなくそのマルウェアの挙動で「悪意を見抜く」とのこと。パターンファイルに依存しない「ヒューリスティック検出技術」を追及した次世代セキュリティソリューションという触れ込みだ。 http://www.fourteenforty.jp/products/yarai/ パターンマッチングによるウィルス検知には限界がある。マルウェアの挙動で判定するという手法はいままでも、いろいろなところで考えられてきたし、実際に仮想的なサンドボックスでマルウェアを実行して判定するようなウィルス対策アプリケーションもあったようななかったような.....。でも、その「悪意ある挙動」とはいったい何なのか定義が難しそうだ。 そこで、かつて色々あって(別に悪さをしようと思ったわけではなく)マルウェアもどきみたいなのをつくった
見た目と異なるマルウエア
McAfee Avert Labs Blog 「What you see is NOT what you get」より March 28,2009 Posted by Abhishek Karnik and Vitaly Zaytsev ソーシャル・エンジニアリング攻撃など既に常識だし,だまされやすいユーザーがウイルス作者の使うさまざまな手口にひっかかる状況もよく知られている。セキュリティの研究に取り組んでいる我々は,こうしたトリックの被害者にならない方法を家族や友人へ繰り返し伝授している。ただし,我々自身も攻撃対象とされないように,ときには対策を思い出してみる必要がある。 セキュリティ研究者は,さまざまな種類のマルウエアを扱う。マルウエアに対する経験が長く豊富な研究者は「悟り」の境地に達していることも多く,サンプルを見ただけでソフトウエアが良性か悪性なのか判断できる。悟りを開いていないと
More Malware-Laced Codecs - Computer Security Research - McAfee Avert Labs Blog
McAfee+ Products Worry-free protection for your privacy, identity and all your personal devices. Individual and family plans McAfee+ Ultimate Our most comprehensive privacy, identity and device protection with $1M ID theft coverage. Total Protection Protection for your devices with identity monitoring and VPN Device Protection Antivirus Virtual Private Network (VPN) Mobile Security Free Tools & D
相次ぐ文書ファイルを狙った攻撃、今度の標的は国産ワープロソフト「一太郎」 |
今回発見された「TROJ_TARODROP.BA」は、電子メールや悪意のあるWebサイトを介して侵入したものと推測されます。攻撃ファイルの名前は「{日本語の文字列}.jtd」です。 回を増すごとに洗練している攻撃手法 一太郎の脆弱性を狙った攻撃が初観測されたのは2006年8月の「TROJ_MDROPPER.BL」でした。それ以後、新たな脆弱性が探し出される度に攻撃は仕掛けられ、その内容を洗練させてきています。 これまでの攻撃において攻撃者は実質的な不正活動を行うプログラムをドロップ/自動実行させるために文書アプリケーションの脆弱性を衝いてきています。「TROJ_TARODROP.BA」の攻撃シナリオも例外ではありません。攻撃シナリオを追ってみたいと思います。 影響下にある一太郎を使い、一太郎ウイルス(脆弱性を衝く攻撃ファイル、JTDファイル)を開くと、「<ランダムな文字列>.tmp」を生成
More Malware-Laced Codecs - Computer Security Research - McAfee Avert Labs Blog
McAfee+ Products Worry-free protection for your privacy, identity and all your personal devices. Individual and family plans McAfee+ Ultimate Our most comprehensive privacy, identity and device protection with $1M ID theft coverage. Total Protection Protection for your devices with identity monitoring and VPN Device Protection Antivirus Virtual Private Network (VPN) Mobile Security Free Tools & D
系譜から探る深刻度が増した「WORM_DOWNAD」 |
昨年11月21日を発端とし、「MS08-067」で対処した脆弱性(セキュリティホール)を悪用する「WORM_DOWNAD」(ダウンアド、別名:「W32.Downadup」または「Win32/Conficker」)ファミリの被害が拡大しています。その被害は亜種の出現により、拡散能力、駆除に対する耐性の強化が図られてきたことで深刻度が高まっています。今回はそのファミリの系譜を辿ることで、脅威を分析するとともに、トレンドマイクロのソリューションによる予防策についてお知らせします。 図1は、主要なWORM_DOWNADファミリを系譜図としてまとめたものです。 過去の傾向によれば、フェーズ移行は1ヶ月ペースで推移しています。この傾向が続く場合、第2フェーズにある現在の状況は過渡期に向かっているのではと推測されます。我々防衛側は攻撃者側の思惑に振り回されることなく、第3フェーズへの推移を阻止する必要が
McAfeeが新セキュリティ技術を発表,シグネチャ・ファイル無しで新しい脅威に対応
米McAfeeは米国時間2008年9月8日,コンピュータをウイルスやワームなどからリアルタイムで保護する技術「McAfee Artemis Technology」を発表した。この技術は,インターネット・ベースのサービスを利用することで,定期的にアップデートされるシグネチャを必要とすることなく最新の脅威に対してコンピュータを保護できるという。 これまでのシグネチャを利用したマルウエア検出方法では,最新の脅威に対応するためにシグネチャをアップデートする必要がある。そのため,新しい脅威が見つかった時間とコンピュータが保護されるまでの時間にギャップがあった。 Artemisはこのギャップを補い,シグネチャ・ファイルが公開される前に新しい脅威に迅速に対応する。コンピュータ上で怪しいファイルが検出されると,McAfeeのサーバーに接続してこのファイルが悪質なものかどうかを判断する。このチェックにかかる
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Microsoft Learn: Build skills that open doors in your career
https://zerowine.sourceforge.net/
Microsoft Corporation