(出所:123RF)
[画像のクリックで拡大表示]
連載
マルウエア徹底解剖
目次
-
「CFF」でマルウエア解析を妨害
[第32回]
マルウエアを解析する際、基本的に入手できるのはコンパイルされた後のバイナリーファイルだけである。そこで解析者は、解析ツールを使ってコードを逆アセンブルしてプログラムの処理の流れ(制御フロー)を調べたり、逆コンパイルしてソースコードの復元を試みたりする。
-
検知困難な「LOL攻撃」の実態
[第31回]
最近、マルウエアの目新しい永続化の手口が発見された。永続化とは感染パソコンの設定を変更して、次回起動時にマルウエアを自動的に起動させる仕組みである。「Colibri Loader」というマルウエアで使われていた。
-
暴露されたランサム攻撃グループの実態
[第30回]
2022年2月末に始まったロシアによるウクライナ侵攻は、世界に大きな混乱を引き起こしている。サイバー空間、そしてランサムウエア攻撃グループの周辺も例外ではない。
-
ランサム攻撃の起点になる「IAB」
[第29回]
ランサムウエアによる攻撃(ランサム攻撃)は役割を分担した複数の攻撃者が連携しており、「RaaS」と呼ばれるエコシステムを形成している。このエコシステムの中で「始まり」の位置にいるのが、「初期アクセスブローカー(IAB)」と呼ばれる攻撃者だ。
-
ダークウェブの「リークサイト」を監視
[第28回]
2019年度末に「Maze」というランサムウエアの攻撃グループが「二重脅迫」と呼ばれる手口を編み出した。攻撃した組織に対して「暗号化したファイルの復号と引き換えに、身代金を要求する」という従来の脅迫に加えて、「身代金の支払いを拒めば、盗んだ情報を公開する」と脅す手口だ。
-
文書型マルウエアから接続先を抽出
[第27回]
2021年1月にテイクダウンされ、壊滅したと考えられていたEmotetが、同年11月に突如復活した。Emotetを含む一般ユーザーを狙うマルウエアは、メールに添付されているWordやExcelなどの文書ファイルを開いたときに感染するケースが多い。
-
マルウエアのコードを読み解く
[第26回]
マルウエアを詳しく解析するには、そのプログラムコードを読み解く必要がある。
-
ランサム攻撃のマニュアルを読み解く
[第25回]
2021年8月初頭、ロシアのハッカーフォーラムで攻撃者グループ「Conti」の攻撃マニュアルが流出した。同年11月時点で、40前後の暴露型ランサムウエア攻撃者グループが確認されている。その中でもContiは、同年7月ごろまで突出して活発だったグループだ。今回は流出したContiの攻撃マニュアルにつ…
-
攻撃拡大中LockBit2.0の正体
[第24回]
ランサムウエア攻撃者グループである「LロックビットockBit2.0」の勢いが収まる気配を見せない。ここ数カ月、主要なセキュリティーベンダーが相次ぎLockBit2.0の活動に対して警告を出している。日本でも複数の被害が確認されている。
-
東京五輪を装うマルウエアを解析
[第23回]
偽サイトの乱立などはあったが、2021年7~8月に開催された東京五輪を対象とした大規模なサイバー攻撃は報告されなかった。そうした中で気になるマルウエアが発見された。東京五輪に関係するファイル名で、マルウエア検査サイトのVirusTotalpにアップロードされていた。今回はこのマルウエアを取り上げる…
-
マルウエアの挙動を調べる「動的解析」
[第22回]
マルウエアの解析には大きく「表層解析」「動的解析」「静的解析」の3種類がある。今回は動的解析について解説する。
-
フリーツールで未知マルウエアを検出
[第21回]
今回は、フリーツールで未知のマルウエアを見つけ出す方法を紹介する。
-
ファイルの情報を調べる「表層解析」
[第20回]
マルウエアの解析手法は、「表層解析」「動的解析」「静的解析」の3つに大きく分けられる。解析の作業負荷や難易度は表層解析が最も低く、静的解析が最も高い。基本的には、これら3つの解析をすべて実施しないと十分な結果を得ることはできない。
-
「パッキング」で検知や解析を回避
[第19回]
マルウエアの多くには「パッキング(packing)」と呼ばれる処理が施されている。その目的は、プログラムコードの難読化だ。パッキングを施すことによって、セキュリティーソフトによる検知やマルウエア解析者による解析を困難にする。
-
マルウエアによる難読化の手口
[第18回]
マルウエアの多くは、容易に検知や解析をされないようにするため、動作時に使用する文字列や自身のプログラムコードなどを「難読化」している。
-
デジタル署名への過信が危ない理由
[第17回]
10年ほど前までは、有効なデジタル署名の有無でソフトウエア(実行ファイル)の安全性を判断するのが一般的だった。有効なデジタル署名が付与されていれば、マルウエアが混入している心配はないという認識が広くあった。
-
感染を継続させるメカニズム
[第16回]
情報の窃取を目的としたマルウエアの多くはパソコンに感染すると、ユーザーによる操作を監視したり重要なファイルなどを探したりする。そして所望の操作やファイルを確認したらそれらを記録して攻撃者に送信する。オンラインバンキングの資格情報を盗み出すバンキングトロジャンが代表例である。
-
セーフモードを悪用するランサムウエア
[第15回]
多くのOSには「セーフモード」という動作モードが備わっている。新しいデバイスやアプリケーションをインストールした後にOSが起動できなくなるなどシステムに何らかの不具合が発生したとき、原因を見つけたり不具合を解消したりするための動作モードである。
-
国内企業を襲ったラグナロッカーの正体
[第14回]
2020年11月、ゲーム会社大手のカプコンを狙ったサイバー攻撃が国内外に衝撃を与えた。「Ragnar Locker」と名乗る攻撃者集団が同社から窃取したとする機密情報をインターネットで公開したからだ。
-
「隠しデスクトップ」の恐怖
[第13回]
今回は、攻撃者が使う遠隔操作ツール「Hidden VNC」を取り上げる。Hidden VNCの特徴は「隠しデスクトップ」を利用すること。その恐怖の手口を解説しよう。
