
マルウエア徹底解剖
目次
-
ミスや誤認で誘導する攻撃の手口
[第42回]
似た発音や文字列、入力ミスなどを通じて偽のWebサイトなどへと誘導する「タイポスクワッティング」などの手口は昔から存在する。ただこのような手口は、現在もフィッシング詐欺からテクニカルサポート詐欺、メールの誤送信、不正サイトや偽アカウントへの誘導、ITエンジニアなどを標的にしたマルウエア感染まで、様…
-
検索サイトの広告に潜む脅威
[第41回]
2022年あたりから「マルバタイジング(Malvertising)」という攻撃の手口が再び注目を集めている。マルバタイジングとは、「悪意のある(Malicious)」と「広告(Advertising)」を組み合わせた造語だ。一言で言うと「Web広告を利用した脅威」である。
-
ランサムウエア攻撃ツール総まとめ
[第40回]
侵入後は、まず足場を固める。これが「遠隔操作・持続性維持」のフェーズである。侵入した環境を調査してデータを窃取するには、持続的なアクセスを維持する必要がある。
-
ランサム攻撃のデータ窃取の手口
[第39回]
暴露型のランサムウエア攻撃において、データを盗み出すことは二重の脅迫につながる重要なステップである。その手口を知れば、データ窃取を防ぐ対策をとれる。今回は、暴露型ランサムウエア攻撃のデータ窃取の手口について解説する。
-
ランサム攻撃の前兆となるマルウエア
[第38回]
ランサムウエア攻撃における初期の侵入経路は、VPN機器やRDPなど外部に公開されたポイントを経由することが多い。しかし最近では、「プリカーサーマルウエア」を介した感染が目立ってきている。そこで今回は、プリカーサーマルウエアの実態について解説する。
-
「YARA」で理解するシグネチャー
[第37回]
今回はオープンソースのマルウエア検知ツール「YARA」を通して、一般的なマルウエア検知で用いられるシグネチャーの仕組みを見ていこう。YARAはマルチプラットフォーム対応であり、Windows版は公式サイトからダウンロードできる。
-
「マクロブロック」を回避する手口
[第36回]
マルウエアの常とう手段として、マクロ付きのOfficeファイルをメールで送りつけ、ユーザーに開かせて感染させる手口が長年使われてきた。これに対処するため、米マイクロソフトは2022年4月からWebやメールなどインターネット経由で入手したOfficeファイルのマクロをデフォルトでブロックするようにし…
-
巧妙化が進むショートカット悪用の手口
[第35回]
米マイクロソフトは2022年2月、メールなどのインターネット経由で入手されたOfficeファイルのVBApマクロ機能をデフォルトでブロックpする方針を発表した。攻撃者はこれまで侵入の手がかりによく使っていた手口が封じられたわけだ。当然、別の手口を模索することになる。その1つが、今回紹介するWind…
-
データを破壊する「ワイパー」の脅威
[第34回]
2022年2月24日に始まったロシアによるウクライナ侵攻では、ウクライナの政府や関連組織へのサイバー攻撃が同時進行で発生した。そこでは様々な手口の攻撃が見られたが、中でも目立ったのがマルウエアを使用する攻撃である。
-
APIを難読化する「API hashing」
[第33回]
マルウエアの解析を妨害する手法の1つに「API hashing」がある。マルウエアが呼び出すAPIの名前をハッシュ関数を用いて難読化する手法だ。
-
「CFF」でマルウエア解析を妨害
[第32回]
マルウエアを解析する際、基本的に入手できるのはコンパイルされた後のバイナリーファイルだけである。そこで解析者は、解析ツールを使ってコードを逆アセンブルしてプログラムの処理の流れ(制御フロー)を調べたり、逆コンパイルしてソースコードの復元を試みたりする。
-
検知困難な「LOL攻撃」の実態
[第31回]
最近、マルウエアの目新しい永続化の手口が発見された。永続化とは感染パソコンの設定を変更して、次回起動時にマルウエアを自動的に起動させる仕組みである。「Colibri Loader」というマルウエアで使われていた。
-
暴露されたランサム攻撃グループの実態
[第30回]
2022年2月末に始まったロシアによるウクライナ侵攻は、世界に大きな混乱を引き起こしている。サイバー空間、そしてランサムウエア攻撃グループの周辺も例外ではない。
-
ランサム攻撃の起点になる「IAB」
[第29回]
ランサムウエアによる攻撃(ランサム攻撃)は役割を分担した複数の攻撃者が連携しており、「RaaS」と呼ばれるエコシステムを形成している。このエコシステムの中で「始まり」の位置にいるのが、「初期アクセスブローカー(IAB)」と呼ばれる攻撃者だ。
-
ダークウェブの「リークサイト」を監視
[第28回]
2019年度末に「Maze」というランサムウエアの攻撃グループが「二重脅迫」と呼ばれる手口を編み出した。攻撃した組織に対して「暗号化したファイルの復号と引き換えに、身代金を要求する」という従来の脅迫に加えて、「身代金の支払いを拒めば、盗んだ情報を公開する」と脅す手口だ。
-
文書型マルウエアから接続先を抽出
[第27回]
2021年1月にテイクダウンされ、壊滅したと考えられていたEmotetが、同年11月に突如復活した。Emotetを含む一般ユーザーを狙うマルウエアは、メールに添付されているWordやExcelなどの文書ファイルを開いたときに感染するケースが多い。
-
マルウエアのコードを読み解く
[第26回]
マルウエアを詳しく解析するには、そのプログラムコードを読み解く必要がある。
-
ランサム攻撃のマニュアルを読み解く
[第25回]
2021年8月初頭、ロシアのハッカーフォーラムで攻撃者グループ「Conti」の攻撃マニュアルが流出した。同年11月時点で、40前後の暴露型ランサムウエア攻撃者グループが確認されている。その中でもContiは、同年7月ごろまで突出して活発だったグループだ。今回は流出したContiの攻撃マニュアルにつ…
-
攻撃拡大中LockBit2.0の正体
[第24回]
ランサムウエア攻撃者グループである「LロックビットockBit2.0」の勢いが収まる気配を見せない。ここ数カ月、主要なセキュリティーベンダーが相次ぎLockBit2.0の活動に対して警告を出している。日本でも複数の被害が確認されている。
-
東京五輪を装うマルウエアを解析
[第23回]
偽サイトの乱立などはあったが、2021年7~8月に開催された東京五輪を対象とした大規模なサイバー攻撃は報告されなかった。そうした中で気になるマルウエアが発見された。東京五輪に関係するファイル名で、マルウエア検査サイトのVirusTotalpにアップロードされていた。今回はこのマルウエアを取り上げる…