ターゲットの読者 マルウェアに興味を持つ者。バイナリアン(志望者)。低レイヤー大好きマン。セキュリティエンジニア(志望者)。
怪物と闘う者は、その過程で自らが怪物と化さぬよう心せよ。おまえが長く深淵を覗くならば、深淵もまた等しくおまえを見返すのだ。
(フリードリヒ・ニーチェ)
目標 マルウェアが絡んだ事情を体系的に広範囲に学ぶ。攻撃者、防衛者、解析者の各視点から"マルウェア"のチョメチョメを理解する。インターネットで公開しているメリットを活かすため、取り上げる情報はなるべく3年以内程度のものを優先し、古いものは取り上げないか、簡単に済ませる。
お断り 気が向いたときに執筆しているので 気長に更新を待ってください 。
アセンブリ解析を伴う実践的な解析技術は、セキュリティベンダやセキュリティカンファレンスで開催される高額なトレーニングなどで会得できるかと思いますので、そのトレーニングで言及されないと思われるトピックを優先して書いています。
未熟な者が本書を見て攻撃を試すことがないように、試しやすい攻撃技術の説明はかなりぼかして書いています。また、ワームの拡散に関わる脆弱なシステムの探索~ペネトレーション(侵入)までの一連の方法は、汎用目的で悪用されるとまずいので解説の対象外とします。必要に応じて部分部分の解説はしますが、知っていることすべては書きません。この内容を会得したい方はSANSのトレーニング(例えば国内でも開催されるSEC504)や、25歳未満の場合はセキュリティ・キャンプ(※ただしかなりぼかしが効きます)などの受講をおすすめします。
個人的な主義で、外来語の表記(特に長音付けルール)は文科省の通達に従っています。
C言語を理解しているものとして話を進めます。
文字数制限により マルウェア解析に必要な素養~法律編~ に移動しました。
文字数制限により、
はマルウェア解析に必要な素養~導入編~ に移動しました。
文字数制限により マルウェア解析に必要な素養~用語編~ に移動しました。
文字数制限により、
は マルウェア解析に必要な素養~基礎編~ に移動しました。
文字数制限により、
は マルウェア解析に必要な素養~入門編~ に移動しました。
マルウェア関連のツールはブラックマーケットで販売されている。そのツールは初心者でも扱える設計になっているという。ビジネスモデルとしては、ツール購入者がそのツールで得た収入の何%を販売者に支払うものがある。
本章では著名な攻撃者に関わるサービスやツールを紹介する。繰り返しになるが、ここで得た情報は悪用してはならないことを肝に銘じること。
ビットコイン(BitCoin)が代表的。匿名性は高いが、台帳が公開されているため何人がいくら支払ったのかを調べやすいのがネック。支払先のアドレス(財布)を感染者ごとに変えることはある。
ググればいくらでも出るので簡単に。
暗号化型ランサムウェア「STAMPADO」の価格設定から考える「Ransomware as a service」のビジネス | トレンドマイクロ セキュリティブログ(2016/7/28)
ランサムウェアが金のなる木とみなされるようになり、サイバー犯罪者はこぞって分け前にあずかろうとしています。その結果、知識を持つサイバー犯罪者が、ランサムウェアを利用した自作のサービスを「Ransomware as a Service(RaaS)」として、新人や志望者向け材料キットの形で提供していることが確認されています。
2016年がランサムウェアが重大な脅威として認められた年というのが筆者の印象。重要なデータを人質に取られたために支払いに応じた人が多かった模様…
【海外セキュリティ】 サイバー犯罪の投資対効果と業務パスワードの傾向 - INTERNET Watch(2015/7/3)
サイバー犯罪の投資対効果は1425%
そうとは書かれてないけど、これもRaaSの話ではないかと。
闇市場とサイバー犯罪:「RaaS」 ランサムウェアのサービス化 | トレンドマイクロ セキュリティブログ (2018/5/18)
RaaSの実例(SATAN)を取り上げた記事。
攻撃者が考える「良いセキュリティ専門家」とは? - THE ZERO/ONE (2017/10/27)
専門家としての心構えも含めて
公式サイト:https://attack.mitre.org/ (2013/9公開;2018年人気爆発?)
よみ:まいたー あたっく。
今知るべきATT&CK|攻撃者の行動に注目したフレームワーク徹底解説(2018/11/27)
「ATT&CK™」は「アタック」と読み、MITRE(マイター)社が開発している攻撃者の攻撃手法、戦術を分析して作成されたセキュリティのフレームワーク・ナレッジベースです。
ATT&CKは2013年より開発がスタート。その目的は攻撃者が攻撃に使用する戦術、戦法、そして行動(TTPs(Tactics, Techniques and Procedures)) を文書化することです。
本当に詳しく書いてあってありがたい
ATT&CKについてとMatrixの日本語抄訳 | SOCYETI (2018/9/13)
ATT&CKは、CVEの採番で有名な米国の非営利団体MITREが、サイバー攻撃の流れや手法などを体系化したものです。「Adversarial Tactics, Techniques, and Common Knowledge」の略で、無理やり直訳すると「敵対的戦術、テクニック、および共有知識」と言ったところでしょうか。
「ATT&CK」とふれ合うBoF@InternetWeek 活動報告 | SOCYETI(2018/12/24)
ATT&CKを知るのにいいリファレンスの紹介あり
MITRE ATT&CK 活用事例(2018/12/1)
- ATT&CKを活用しているサービスの事例
- ATT&CKのデータソースの入手
- 自組織での活用事例:対応能力の定量評価
例)https://attack.mitre.org/matrices/enterprise/cloud/azuread/
Azure ADに対するTacticsやTechniquesをまとめたもの。
MITRE ATT&CK technique info in Microsoft Defender ATP alerts - Microsoft Tech Community - 856835 (2019/09/16)
エンドポイントセキュリティ製品での利用例。ATT&CKを知っていればアラートの理由が把握しやすい。
ATT&CKとマルウェア解析を絡めた調査:
ATT&CK Techniques and Trends in Windows Malware | Kris Oosthoek (2019/9/2)
I did this over the last couple of months, in which I have analyzed a labeled sample of 900+ unique families of Windows malware from 2003 until 2018 (thanks to Daniel Plohmann’s Malpedia).
https://pan-unit42.github.io/playbook_viewer/
『攻撃者のプレイブック』に新たに 11 グループを追加 - Palo Alto Networks (2019/08/01)
五十音順で掲載。【無効化済み】は既にシステムがデフォルトで無効化していることを意味する。*印は別の章で解説している項である。
TODO:レイヤー別・カテゴリ別でまとめたい。カオスすぎ。
UACが有効になっているシステムでは、特権を昇格させる必要があっても、このマルウェアはユーザーへのプロンプトを妨害したり、UACを無効化してしまうようなトリックは使いません。その代わり、直接ユーザーに許可を「求め」ます。
このマルウェアは「Cmd.exe」のプロセスを作成し、マルウェアのファイルパスをコマンドラインの引数に置きます。プロンプトウィンドウがポップアップするということはつまり、Windowsのアプリケーションである「Cmd.exe」が特権昇格を求めていることになります。不注意なユーザーはこのリクエストに許可を与えてしまうでしょう。その後、マルウェアの新たなプロセスが「Cmd.exe」により作成され、「Cmd.exe」のシステム特権を引き継ぎます。
このマルウェアは次の言語で警告を行うことが可能です。ロシア語、ポルトガル語、ドイツ語、フランス語、オランダ語、アラビア語、ヒンディー語、ペルシャ語、簡体字中国語、トルコ語、インドネシア語、イタリア語、スペイン語、ポーランド語、日本語、ベトナム語
システムのデフォルトの言語ロケールに基づいてこれらの1つを選択し、ユーザーに疑念を抱かせるような言語の不一致を避けます。
TODO
TODO
exif情報にマルウェアのコンポーネントを仕込むケースがある。
実例:
標的型攻撃ランサムウェア「Ryuk」の内部構造を紐解く | MBSD Blog(2019/12/11)
Ryukは、「8 LAN」という実行引数を渡され起動すると、ネットワーク上の端末の電源をリモートでONにするWake-On-Lanと呼ばれる技術を利用し、同一ネットワーク上でシャットダウン/スリープしている端末の起動を次々と試みます。
TODO:軽い説明
別章に詳細あり。
画像ファイルに以下のデータを仕込むことがある。(cf. #exif情報)
セキュリティ研究センターブログ: マルウェア解析奮闘記: コマンド実行のエラー文が日本語でないと動作しないマルウェア (2018/5/11)
Windows OSが日本語設定である場合のみ次のステージに進むマルウェアを観測しました。
このマルウェアの日本語設定の確認方法として、コマンドのエラー文を用いるという過去見られなかった手口が利用されていました。
TODO
例:
標的型攻撃ランサムウェア「MegaCortex」の内部構造を紐解く | MBSD Blog(2019/11/13)
OSの正規プログラムの利用やプロセス・サービスの強制終了が特徴的。
例:
TODO: Emdiviがやってたような気がする…(曖昧な記憶)
真面目な話、人を騙すのは容易い。ゼロ知識から予見することは困難なので、人の悪意はどのような形をしているのかをまじで知ったほうがいいし、身構えやすい。
攻撃ベクター:
TODO:これを専門に扱う本
TODO:情報漏えいしたケースとかを列挙すれば十分かなぁ(←さすがに脱線しすぎてるかな←まあいいんじゃない)。例えば、JTBのお漏らしと伊勢志摩サミットから、宿泊者リストから警備状況を把握するためと推理するとか。
[脱線]筆者は小学生の時に2度おもらし事故をしてこの手のやり口にはもう懲りているのです。で、赤の他人にされるお願いごとはすべて純粋な善意によるものであると暗に信じている方、他人の悪意に触れてみてください。ステマになりますが、セキュリティの専門会社などに依頼して社内で標的型攻撃を模擬することも大切です。どうやって行うべきかはその会社のコンサルに相談してみては。←が、精巧な訓練メールは正当なメールとの判別が難しくて効果がないという言説もあります。
タイプミスを狙って正規サイト・ソフトウェアになり変わること
PyPIに悪意のあるパッケージがアップロードされていた | スラド デベロッパー (2017/9/18)
pip install こわーいヾ(。>﹏<。)ノ゙
メリット:
「Powload」の手口の変化:ファイルレスな活動からステガノグラフィまで | トレンドマイクロ セキュリティブログ (2019/3/19)
地域を検出する手法は解析した検体ごとに異なります。いくつかの検体は、PowerShellコマンド「Get-Culture」を使用してコンピュータの地域設定を取得していました。
警告のポップアップの言語を適切にするため、等
パスワードクラッキングの手法の一つ。認証システムではユーザーのパスワードをハッシュ化して保存していることが多い。Pass-the-Hash攻撃はハッシュ値を元に認証を行う攻撃のこと。
Active Directory関連で、Pass-the-Ticketという攻撃もある。
Active Directoryに対する攻撃の検知と対策手法のドキュメント、JPCERT/CCが公開 - クラウド Watch (2017/3/14)
「mimikatz pass-the-hash」でググってみよう!
ありふれたパスワード・既知のパスワードを用いて、アカウントへのログインを試みる古典的な攻撃方法。
TODO
AV回避のための手法。マルウェアをドロップ(ファイルを生成)しないことが特徴。(TODO:若干説明が怪しい)
Fileless threats | Microsoft Docs(2018/9/14)
Microsoft的3つのfileless
- Type I: No file activity performed
- Type II: Indirect file activity
- Type III: Files required to operate
ファイルレスマルウェア入門:非マルウェア攻撃を理解する | BLOG | サイバーリーズン | EDR(次世代エンドポイントセキュリティ)(2019/12/24)
例:
-Enc
オプション)手法の解説
Anti-forensic and File-less Malware - Malware - 0x00sec - The Home of the Hacker(2018/12/6)
- Persistence
- Process Hollowing
- Reflective DLL Injection
- Backdoor
ファイルレス活動が前年同期比3.6倍に増加 - トレンドマイクロ | マイナビニュース (2019/09/05)
ファイルレスの NodeJS マルウェア「Divergent」(2019/10/9)
その役目は「ActiveXObject.WScript.Shell.RegRead」(以下は擬似コード)を使用して、レジストリ キー「HKLM\Software\ZfjrAilGdh\Lvt4wLGLMZ」内の JScript を eval 関数で評価することです。
この PowerShell コードは、変数「regkeyname」に HKLM\Software\ZfjrAilGdH\4FLJBnefsN のレジストリ データを代入した後、HKLM\Software\ZfjrAilGdH\kCu2DZ9WI0 のレジストリにあるコードを実行します。
What is Reflective DLL Injection and how can be detected? – So Long, and Thanks for All the Fish (2018/2)
元ネタ: Detecting Reflective Injection - DEFCON-20-King-Reflective-Injection-Detection.pdf
https://github.com/rek7/fireELF/tree/master (2019/4公開)
LInuxでFile Less活動するフレームワーク。今はmemfd_createシステムコールを使ってメモリー上にファイルを生成してペイロードを展開する手法が実装されている(payloads/simple.py)。攻撃用にPythonコードが生成される。
ペイロード例)http://termbin.com/k6vp
不正メールで拡散される高度なテクニックを組み合わせたダウンローダーの脅威 | MBSD Blog (2017/12/14)
プロセスハロウイングは数年前から標的型攻撃マルウェア等の一部マルウェアを中心に使用されてきたテクニックであり、正規プロセスの中身を完全にマルウェアコードと入れ替えることでマルウェアを隠蔽する手法です。プロセスの中身を入れ替えられた後もそのプロセスの実体ファイルは一切改変されていないため、実体ファイルを取得し調査してもそれはただの正規ファイルであり不正コードは一切見つかりません。そのため、ファイルに対して検知を行うタイプのウイルス対策製品では検出することが不可能となり、そうしたウイルス対策製品の迂回の手口として効果的な手法の一つです。プロセスのメモリダンプをしない限り不正コードを「ファイル」として捉えられないことからも、ここ数年の攻撃における流行となるファイルレス手法の一つとも言えるでしょう。
同上
<一般的なプロセスハロウイングの手法>
1)正規プロセス (例:explorer.exe、lsass.exe 等) をサスペンド状態で起動させる。
2)起動させたサスペンド状態の新規プロセスのイメージベースアドレスからNtUnmapViewOfSection等でハロウイング(空洞化)する。
3)サスペンド中のプロセスにイメージベースアドレスを開始アドレスにし RWX (読み取り、書き込み、実行) メモリを割り当てる。
4)ターゲットプロセスの割り当てられたメモリに悪意のあるコードを書き込む。
5)最初のスレッドのターゲットアドレスを、悪意のあるプログラムのエントリポイントに変更する。
6)サスペンド状態だったプロセスをレジュームする。
実例:
不正メールで拡散される高度なテクニックを組み合わせたダウンローダーの脅威 | MBSD Blog (2017/12/14)
プログラム開発やプログラム動作における通常の概念では32bitと64bitには明確な超えられない壁がありますが、Heaven’s Gateは32bitプロセスから64bitプロセスのコードを呼び出すことを可能とした高度なテクニックであり、32bit/64bitの壁を突破することでマルウェアにとって多くの利益をもたらすことができます。多くのデバッガは32bitまたは64bitそれぞれのプラットフォームに合わせて開発されており、例えば基本的に32bitのプログラムは32bitのデバッガでないと命令の解釈ができません。そのため、32bitプロセスの内部処理の途中から64bitのコードを呼び出すHeaven’s Gateは一般的なデバッガによる解析作業の継続を困難とさせます。Heaven’s Gateは一般的に32bitプロセスから64bitプロセスへインジェクション等の何らかの干渉を行う場合や、今回のように32bitプロセスの内部において一時的に64bitコードを実行させる場合に利用されます。
別章参照
TODO: 正直良く知らん
ここにnmapの使い方を書くのは危なすぎるので各自で調べてください。
学内・公共のネットワークでポートスキャンをかけるのやめましょう。あなたの腕試し/技術力誇示の場所ではありません。
攻撃への転用を含めたちゃんとした紹介をするのは危なっかしいので各自で調べてください。
TODO
TODO
UAC回避機能を複数搭載したランサムウェア「HkCrypt」 | MBSD Blog (2017/10/12)
これは、WindowsOSにデフォルトで存在するいくつかのMicrosoft社製の正規プログラムにおいて、一般的にはUACが必要となるような権限昇格時にユーザーに確認することなく権限昇格(自動昇格)を行うことが可能な設定がなされており(後述のマニフェストと呼ばれる設定ファイルがEXEファイルに埋め込まれている)、そうしたいくつかの正規プログラムの挙動の仕様を悪用し権限昇格をおこなう手法です。
すでにGitHubやインターネット上ではいくらかのUAC回避テクニックが公開されており、「HkCrypt」は感染環境のWindowsOSのバージョンによって、既知のそうしたUACの回避テクニックを巧妙に使い分けていることがわかりました。
詳しくは↑にて。
https://github.com/gushmazuko/WinBypass
古典的な攻撃だが、2017年のOWASP Top10に入って話題になった。
XXE攻撃 基本編 | MBSD Blog (2017/11/30)
XXE 応用編 | MBSD Blog (2017/12/13)
API name | 機能 | 返り値 |
---|---|---|
IsDebuggerPresent | 自プロセスにデバッガがアタッチしているかどうかを調べる 回避可能 |
0: No |
TODO
Win32APIを使って簡単にプログラミングができるCでもC#でもVBAでもない言語(インタプリタ系)。これを使うとマルウェアライクな挙動をする何かを割と手軽に作れる。
Windowオブジェクトとかの情報をとれる。デバッグに役立つ。プログラムはspyxx.exeという名前でVisualStudioに付属したツール。
隠された(見えない)デスクトップに潜む脅威とその仕組み | MBSD Blog (2018/9/14)
普段我々がWindows PCを操作するときに必ず目にする領域、いわゆる、ファイルやフォルダのアイコンが並んでいる「デスクトップ」という領域があります。
実はそのデスクトップの裏側に、通常では見ることのできない「隠されたデスクトップ」が存在し悪用されている可能性があります。本記事では、その脅威と仕組みを掘り下げて解説します。
TODO: 標的型攻撃において重要な正規プロセス。調べた内容をブログにでもまとめるといいと思いますよ。(投げやり)
AVと対決したいときはこのlsass.exeのメモリをダンプする行為をすると良さげ。
Windowsでチョメチョメな(※検索避けです)ことをする方法。
[NS1] 20170815_北朝鮮関連サイトのサイバー攻撃レポート_v1.pdf
CreateProcessAsUserA() 関数を利用してプロセス名「ocheck.exe」で起動します。起動時にはログオンユーザーのセッションIDに対応した「winlogon.exe」のプロセスIDやアクセストークンを取得し、複製したトークンを利用することでUACを回避してsystem権限でダウンロードしたファイルを実行します [NS1]
Windows Escalate UAC Protection Bypass (In Memory Injection) Abusing WinSXS ≈ Packet Storm (2017/10/12)
https://github.com/gentilkiwi/mimikatz
攻撃者を知るために使い慣れておくといいかもしれないツール。一番知られている利用例は、
かな。"mimikatz is a tool I've made to learn C and make somes experiments with Windows security" というREADMEに反して、標的型攻撃以外に能がないように見える。単純にexeを置くだけでAVに消されるので、実行するにはAV回避手段が必要。
Zero Day Zen Garden: Windows Exploit Development(2017/8/19~2017/11/6)
Part 1
Part 2
Part 3
Part 4
RunPE: How to hide code behind a legit process - Adlice Software (2015/7/10)
https://github.com/SafeBreach-Labs/pinjectra
Pinjectra is a C/C++ OOP-like library that implements Process Injection techniques (with focus on Windows 10 64-bit)
README.md
にCode Injection のテクニックを解説する資料へのリンクあり
fireeye/DueDLLigence
Fireeye提案のDLL Injectionテクニック(2019/10)
MacでEXEファイルを実行する攻撃を確認、端末情報を窃取しアドウェアをダウンロード | トレンドマイクロ セキュリティブログ (2019/2/14)
トレンドマイクロは、MacでEXEファイルを実行する攻撃を確認しました。
今回確認されたマルウェアは、Windowsのアプリケーション実行環境「.NET Framework」をさまざまなプラットフォームに提供するフレームワーク「Mono」を利用してEXEファイルを実行していました。「Gatekeeper」のようなMacに組み込まれたセキュリティの仕組みはMac用のファイルのみを対象とするため、EXEファイルを利用することによりそのようなセキュリティを回避しデジタル署名のチェックを逃れることが可能です。
macOSを狙うマルウェア:取引アプリに偽装し個人情報を窃取 | トレンドマイクロ セキュリティブログ(2019/11/18)
今回トレンドマイクロでは、macOS向け取引ソフト「Stockfolio」を偽装する攻撃を確認しました。
TODO: RAT(Remote Access Trojan)
# 利用したい脆弱性を指定すると勝手にマルウェアを生成するツールがあったような…(Metasploitじゃない方)
本章では2017年までに代表的なRATを紹介する。
TODO:(この用語、死語になってないか)
オンラインストレージサービスの悪用事例、RAT「ADWIND」などが感染 | トレンドマイクロ セキュリティブログ (2017/9/11)
https://www.blackhat.com/docs/asia-15/materials/asia-15-Chubachi-Slime-Automated-Anti-Sandboxing-Disarmament-System.pdf
"Popular RAT tools"
"CyberGate can generates remote access server for targeting host"
"Anti-sandbox option enabled"
TODO:Exploit Kitとは
Exploit KitはEKと略されることもある。
トレンドの変化:
Exploit KitおよびScamサイトの衰退とCoinhiveの台頭 – wizSafe Security Signal -安心・安全への道標- IIJ (2017/11/9)
Exploit Kit Landscape Map – Execute Malware Blog (2017/12/25)
TODO
トピック:
本節では2017年現在で代表的なExploit Kitを紹介する。
※活発な活動期間は「CYBER GRID VIEW Vol.3」(ラック)、「RIGエクスプロイトキット解析レポート」(NTT Security)を参考にした
(オワコンなので興味なし)
(オワコンなので興味なし)
めっさ息が長いEKだな。
NTTセキュリティ・ジャパン株式会社のSOCでは、2016年9月頃からRIGエクスプロイトキットによる攻撃を多く観測しました。RIGエクスプロイトキットはドライブ・バイ・ダウンロード攻撃を行うためのパッケージの1つであり、改ざんサイトや不正広告から誘導され、マルウェアへの感染を引き起こします。 [NTT]
次表はRIG EKの攻撃ステップを解説したものである([NTT]の表2より引用)。言葉足らずなところは赤字で加筆した。
Step | 説明 |
---|---|
① | 改ざんサイトや広告はユーザ端末からのアクセスを待ち受け、RIGエクスプロイトキットが設置された攻撃サイトに転送する。 |
② | 攻撃サイトはJavaScriptコードを送付し、ブラウザ判定を行い条件を満たしていれば③へ進む。 |
③ | 攻撃サイトは2つ目のJavaScriptコードを送付し、IEの動作環境をチェックした後、脆弱性を悪用する攻撃を行う。また、並行してFlashファイルを読み込ませる。 |
④ | 攻撃サイトは不正なFlashファイルを送付し、脆弱性を悪用する攻撃を行う。 |
⑤ | ③もしくは④で脆弱性の悪用に成功した場合、シェルコードを実行してマルウェアのダウンロードとインストールを行う。 |
補足:
解析報告(と対策方法):
TODO
ステガノグラフィの手法を駆使するエクスプロイトキット「Sundown EK」を確認 | トレンドマイクロ セキュリティブログ (2017/1/5)
不正広告キャンペーン「ProMediads」、新型エクスプロイトキットを利用しランサムウェアなどを拡散 | トレンドマイクロ セキュリティブログ (2017/7/24)
Terror Evolved: Exploit Kit Matures (2017/5/18)
エクスプロイトキット戦国時代! 新興ツールが急速な進化を見せる | THE ZERO/ONE (2017/6/15)
「Astrum EK」の更新を確認。エクスプロイトキット脅威再燃となるか | トレンドマイクロ セキュリティブログ (2017/5/22)
[1] AdGholas Malvertising Campaign Using Astrum EK to Deliver Mole Ransomware | Proofpoint (2017/6/20)
AdGholasという攻撃キャンペーンがAstrum EKを使っていて、Moleランサムウェアが落ちてくるっぽい(→関連:Moleランサムウェア)(TODO:読み間違えてる気がする)
At this point, we began to consider whether AdGholas into Astrum EK (also known as Stegano EK) might be the infection vector, despite the fact that the ransomware payload was inconsistent with the activity of their usual customers who normally spread banking malware. [1]
不正広告キャンペーン「AdGholas」、追跡困難化した脆弱性攻撃の利用で攻撃を拡大 | トレンドマイクロ セキュリティブログ (2017/6/27)
2017年5月15日に、解析回避機能を備えた「Astrum EK」の活動再開が確認されました。そして、それは不正広告キャンペーン「AdGholas」によって拡散されたことがわかりました。「AdGholas」は、ダウンローダやオンライン銀行詐欺ツール(バンキングトロジャン)「URSNIF(別名Dreambot/Gozi)」や「RAMNIT」など多様な不正プログラムを拡散します。
弊社も、CRYPAURAファミリの亜種を確認しています。その中には CRYPTOMIX の亜種、「MOLE」があります。Google ドキュメントの共有URL を悪用して拡散するランサムウェア「MOLE」は、4月下旬に確認されました。
TODO
TODO
(同人誌「TomoriNao Vol.1」で@kkrntが解説している)
案外簡単にrootになれるかもしれないというお話。
「macOS High Sierra」にパスワードなしでログインできてしまう脆弱性 - CNET Japan (2017/11/29)
端末で「システム環境設定」の「ユーザーとグループ」を表示し、鍵のアイコンをクリックすると、設定を変更するためのユーザー名とパスワードの入力を求められる。ここで、パスワードを入力する代わりに、ユーザー名に「root」と入力し、パスワードは空のままにすることができる。
Objective-See (2017/11/29)
↑の解析記事
cf. Windows98のセキュリティシステムをバイパスして突破する方法 - GIGAZINE (2008/10/1)
TODO: OriginalのDitty COW
“Huge Dirty COW” (CVE-2017–1000405) – Bindecy – Medium (2017/11/27)
writeup & PoC
Exploiting a Windows 10 PagedPool off-by-one overflow (WCTF 2018) | j00ru//vx tech blog (2018/7/18)
My contribution to the above result was a flag for the “Searchme” task authored by Eat, Sleep, Pwn, Repeat. It involved the exploitation of an off-by-one buffer overflow of a PagedPool allocation made by a vulnerable kernel driver loaded in Windows 10 64-bit.
[余談]カーネルエクスプロイト関連:
TODO
TODO: Windowsのレジストリのお話
ブートキットとは、コンピュータの起動ドライブに感染する不正プログラムの一種です。PC などのコンピュータでは電源投入後、まず起動ドライブ内のブートセクタや MBR(マスターブートレコード)などと呼ばれる部分に保存されているプログラムが動き、OS を起動させます。ブートキットはこの仕組みを利用して Windows OS 起動前に不正プログラムを活動開始させます。結果的に Windowsシステム上に不正プログラムのファイルや自動起動設定などの「感染の痕跡」を残さずに不正プログラムを活動させることなどが可能になります。 [1]
[1] 国内ネットバンキングを狙う「URSNIF」が新たに「Bootkit」を利用 | トレンドマイクロ セキュリティブログ
Rootkits and Bootkits | No Starch Press (2019/5)
Rootkits and Bootkits will teach you how to understand and counter sophisticated, advanced threats buried deep in a machine’s boot process or UEFI firmware.
Windowsのブートプロセスの解説もあるみたい
MBRを書き換え、OSよりも先に自分を起動することを目的とする。以降TODO
緊急レポート:韓国サイバー攻撃マルウェア詳細解析結果│セキュリティ・リサーチのFFRI(エフエフアールアイ)
脱線気味な気もする…
OS停止時でも攻撃可能?Intel マネジメント・エンジンの脆弱性への対策 | トレンドマイクロ セキュリティブログ (2017/12/5)
How to Hack a Turned-Off Computer, or Running Unsigned Code in Intel Management Engine (2017/12/4-7)
TODO
文字数制限により、
はマルウェア解析に必要な素養~スクリプト編~ に移動しました。
ここでいうペネトレーションはシステムへの「侵入」を指す。
ここでいうマインドマップは方法論を体系的にまとめたドキュメントのこと。
https://www.amanhardikar.com/mindmaps.html (2007年~)
合法的にハッキングの練習ができる環境のこと。
https://www.amanhardikar.com/mindmaps/Practice.html
脆弱な環境(Webアプリ、OS)やCTF会場のリストを掲載している。
the Complete Mandiant Offensive VM (“Commando VM”) comes with automated scripts to help each of you build your own penetration testing environment and ease the process of VM provisioning and deployment
読み:めたすぷろいと。エクスプロイトフェーズにおいて利用されるツール。解析経験が乏しいので攻撃に使われているのか知らないが、攻撃にも使えるツールなので一応取り上げる。絶対悪用するなよ。診断屋さんにも便利なので、セキュリティエンジニアを目指す人は使えるようになっておくといいかも(私はMetasploitは皆使えて当然のスタンスです)。
TODO: 別の章に移動
MetasploitはRapid7社の製品で、脆弱性スキャナ、ペネトレーションテストをするためのツールである。実際はPoCの寄せ集めで、中身はExploit DBと重複が多い。無料版と有料版(商用版)が用意されており、学習用に軽く使う程度・使うべきモジュールを把握しているなら無料版で差し支えない。
MSFconsoleはMetasploit Frameworkが抱えている攻撃コードデータベースを利用するためのコンソールである。コマンドラインで指定された設定ファイルを読み込むのではなく、msfconsole(MSFconsoleのコマンド名)で対話しながら攻撃条件を設定することに特徴がある。攻撃コードの検索、設定、実行の各ステップの操作に慣れが必要である上に、msfconsoleの使い方をいい感じにまとめたサイトが無いので(筆者調べ)学習が難しいという印象がある。しかし、次の1冊さえあればMetasploitを大体使いこなせるようになるはずで、筆者はこれをMetasploitを利用する上で必携の一冊と捉えている。
実践 Metasploit――ペネトレーションテストによる脆弱性評価
http://www.oreilly.co.jp/books/9784873115382/
不正行為の教唆に当たらないようにやり方は伏せるが、MetasploitにはWindows向けにシェルコードを生成する機能がある。そこで生成されたコードをネタに解析するのも面白いのでやってみて欲しい(筆者はIIJの2daysインターンでそれをやったことがあって、実際おもしろい動き方をする)。
Windowsへのペイロード生成に使われるmeterpreterも要チェック。
https://github.com/EmpireProject/Empire
Post-Exploitationフェーズにおいての利用を想定。手元のAVと対決しても面白いかもしれない。
cf. PowerShell Mafia
The Empire (3.0) Strikes Back(2019/12/24)
Empire 3.0 登場
https://github.com/BC-SECURITY/Empire/
PsExec: The Ultimate Guide(2019/9/18)
To cover the PsExec tool in depth, it was fitting to cover this coveted tool in an ATA Ultimate Guide. In this guide, you will learn what psexec is, what it's capable of any many examples of how to use this useful tool.
公式サイト:https://shinosec.com
Private Use(正当なペネトレーションテストなど)かEducationalな用途でよろしく!
マルウェア解析初心者の方は、最初にShinoBotの解析に取り組むといいかもしれません。
最近(2018年)はPowerShellがホットだったので、ShinoBOT.ps1の解析がナウいかも。
WinPwn (2018/5~)
Automation for internal Windows Penetrationtest / AD-Security - Still much work to do
削除後のセクタからマルウェアの痕跡を消すことを考える。まさにバイナリ解析から逸脱してフォレンジック対策のお話!
TODO:トピックを集める
代替データストリーム→例:Zone.Identifier
DNSクエリにPowerShellコマンドを乗せて運ぶ攻撃を確認 | マイナビニュース
DNSトンネリングはDNSクエリを用いた通信のことをいいます。
※TomoriNao Vol. 1で軽く概要を説明し、検知に取り組んでみました。
DNS Tunneling & Other Hunts w/ RockNSM (Bro & ELK) – Perched (2019/1/3)
In this post, I am expanding on my DNS typosquatting detection post as well as (re-)introducing DNS tunneling detection.
2通り:
TODO
DNS hijacking using cloud providers (2017/5)
https://2017.appsec.eu/presos/Developer/DNS hijacking using cloud providers – no verification needed - Frans Rosen - OWASP_AppSec-Eu_2017.pdf
(緊急)米国国土安全保障省によるDNS設定の改ざんに関する緊急指令の公開について (2019/1/28)
本指令では、米国の全省庁に対し、米国の複数の行政機関のドメイン名においてDNS設定の改ざんに関する一連のインシデントが発生しているとして、被害を軽減するための緊急対策の実施を指示しています。
放棄ドメインの大量取得によるスクリプトの乗っ取りについて - tike blog(2019/1/26)
このような放棄ドメインに紐付いた「存在しない」リソースを閲覧者に気付かれないように引き継ぎ、別の用途に悪用する事象がいくつか確認できましたので、本ブログで共有したいと思います。
実際:
これは参考情報。runcのサンドボックスエスケープの脆弱性。
While solving this challenge we found out that creating namespace-based sandboxes which can then be joined by external processes is a pretty challenging task from a security standpoint.
音声や動画を窃取する Android 端末向けバッグドア型不正アプリ「GhostCtrl」 | トレンドマイクロ セキュリティブログ (2017/7/25)
モバイル端末向けランサムウェア「LeakerLocker」、ユーザ情報の流出と引き換えに身代金を要求 | トレンドマイクロ セキュリティブログ (2017/8/3)
「ZNIU」:脆弱性Dirty COWを突くAndroid端末向け不正アプリを確認 | トレンドマイクロ セキュリティブログ (2017/9/29)
Facebook の認証情報を窃取するAndroid端末向け不正アプリ「GHOSTTEAM」を確認 | トレンドマイクロ セキュリティブログ (2017/1/24)
GHOSTTEAM は Facebook アカウントの認証情報を狙います。ユーザが Facebook アプリを開くと、アカウントの認証を要求するダイアログが表示されます。認証方式は典型的なログイン画面と同じで、認証情報の入力が求められます。しかしその背後では、Web ページを描画する機能 WebView が不正アプリによって実行されています。WebViewClient に注入された不正なコードが Facebook へのログインに使用されたメールアドレスとパスワードを窃取し、C&Cサーバに送信します。
国内スマートフォン利用者を狙う新たな動きを詳細解説 | トレンドマイクロ セキュリティブログ(2019/4/3)
スミッシングにより不正なWebサイトに誘導
今回確認されたXLoaderは、日本の携帯電話事業者が提供する正規セキュリティアプリに偽装していました。同事業者のWebサイトをコピーした、XLoaderをホストする不正なWebサイトへのリンクは、テキストメッセージ(ショートメッセージ、SMS)を利用した「スミッシング(SMS+Phishing)」によって拡散されていました。まだXLoaderへの感染報告はそれほど多くありませんが、問題の偽装SMSに関する報告は確認されています。
特殊な方法。
iOS 上で大量のアイコンを作成する不正プロファイル「YJSNPI ウイルス」こと「iXintpwn」を解説 | トレンドマイクロ セキュリティブログ (2017/9/26)
iXintpwn 自体は未成年者による悪ふざけや自己顕示目的の産物に過ぎなかったとしても、未署名の構成プロファイルを悪用した手法は注目に値します。
モバイル端末向け仮想通貨発掘マルウェア、Google Play で確認 | トレンドマイクロ セキュリティブログ (2017/10/31)
MDM(モバイルデバイス管理)ツールを使用した標的型攻撃 - 忙しい人のためのサイバーセキュリティニュース
Cisco's Talos Intelligence Group Blog: Advanced Mobile Malware Campaign in India uses Malicious MDM (2018/7/12)
【続報】MDMツールを使用してマルウェア配布。前回調査結果は「氷山の一角」か - 忙しい人のためのサイバーセキュリティニュース (2018/7/26)
Google Playから悪質アプリが29本削除。検出を逃れる巧妙な手口が明らかに (2019/2/4)
これら悪質アプリはユーザーの望まない広告をプッシュ表示したり、個人情報を盗むフィッシングサイトへと誘導したり、顔写真を盗むねらいと推測されるもの。ストアから削除されるまでに11のアプリが10万回以上、そのうち3本が100万回以上もダウンロードされたと伝えられています。
iPhone向けのアンチウイルスアプリは存在するか | カスペルスキー公式ブログ (2018/9/26)
TODO:概要
家庭用ルーターの脆弱性
【セキュリティ ニュース】不正DNSへ変更する「GhostDNS」、10万台以上が被害 - 70種類以上のルータが対象(1ページ目 / 全4ページ):Security NEXT (2018/10/3)※ルーターが家庭 or 商用のどちら?両方?
TODO:DNSチェンジャーとは
一見外部からアクセスできないように見えるルーターは、以下の経路によりアクセス可能である。ルーターのセキュリティは重要視されるべきで、内部ネットワークで使っているからそんなに影響がないと思ってはいけない。
ルーターにアクセス出来てしまうのは、脆弱性の利用でそれが容易であったり、管理者のアカウントパスワードが初期設定のままであるか、推測が容易なものであるからという理由による。
(a)の例:
また、ファームウェアの欠陥により、管理画面が意図せず外部に公開されていることがある。
このケースにおける実機観測結果が以下の通り報告されている。
問題の不正な JavaScript は、改ざんされた正規サイトに仕掛けられており、日本国内のサイトにおいても該当の改ざんを確認しています。このような活動は以前にも「家庭用ルータの DNS設定変更を行う不正プログラムを確認」で報告をしていますが、不正サイトへの誘導により、結果として不正プログラム感染や、アカウント認証情報の詐取などの被害に遭う恐れがあります。
これが第一報。
ネットワーク機器を標的とするマルウェア「VPNFilter」について (jpcert; 2018/5/24)
2018年5月23日 (米国時間)、Cisco Talos から、ネットワーク機器を標的とする VPNFilter と呼ばれるマルウエアに関する調査結果が公開されました。この調査結果によると、VPNFilter の感染活動は 2016年から確認されており、今年 5月から世界中で感染活動が拡大していることから、対象デバイスのユーザに対して対策を呼び掛けています。
Cisco Talos によると、感染したデバイスの数は、少なくとも 54カ国 50万台と推定され、QNAP、Linksys、MikroTik、NETGEAR および TP-Link の製品が対象となっているとのことです。該当する機器の詳細については Cisco Talos の情報を参照してください。
続報:IoT ボット「VPNFilter」に感染したデバイスで 19 件の脆弱性を確認 | トレンドマイクロ セキュリティブログ (2018/7/30)
利用している脆弱性の一覧あり。
読み:むーす。
こんなのがある。筆者はTrendMicroの回し者ではないよ。
ウイルスバスター for Home Network - トレンドマイクロ
TODO:このInternals←ARPスプーフィング
IoT機器に対するマルウェア感染は2016年頃からホットになった。(2017年で下火になった感。)
2018年~2019年はハニーポットなどでよく観測されてホットな話題だった感じ。
IIJ Security Diary: 2018年の IoT ボット観測状況と最近の動向
- Mirai, qBot, Hajime の 3大ファミリーが勢力を維持
- 多数のコードの販売、リークによる参入障壁の低下と亜種の多様化
- 攻撃者らによる SNS の利用と DDoS 攻撃のさらなるカジュアル化
- Mirai 作者、Satori 作者らへの有罪判決
- Telnet 以外の感染手段として多様なエクスプロイトの利用
- DDoS 攻撃以外の目的を持ったボットの存在
■ボットの分類が難しい話
https://twitter.com/MasafumiNegishi/status/1081438845437075456
@MasafumiNegishi
ボットの分類は実は結構難しくて、qBot (Gafgyt) や Mirai はコードが公開されているので改変しやすい。たとえばこの検体 (Hakai) は DoS攻撃や C2通信の機能は qBot から、SYN スキャンの機能は Mirai から流用してます。なので AVエンジンによって検知名がバラつきます。
https://www.virustotal.com/#/file/29682c1ec48b8c72bf2d84236726e2334c84e174713199ba21dcf64e52c96b83/details
TODO。2016年12月がピーク?(TODO)。2017年はMiraiよりもHajimeのイメージ。
2017年のUSENIXでMiraiに関する報告がありそうです。期待ですね。
Understanding the Mirai Botnet | USENIX
TODOだらけで良ければこちらも→All about Mirai (Malware)
TODO: Miraiの亜種でもなく、Miraiとは正反対らしい
TODO: あとで裏取り→IoTのボットネットの新入りマルウェア「PERSIRAI」 | THE ZERO/ONE
OEMで生産されたネットワークカメラを対象にしており、影響のあるモデルは1,000以上になります。PERSIRAI は、既にインターネット上でソースコードが公開されている「MIRAI」から派生したマルウェアとして出現しました。 [1]
[1] IoTの新たな脅威、ネットワークカメラをボット化する「PERSIRAI」の出現 | トレンドマイクロ セキュリティブログ
Webアプリの脆弱性を利用するボット型マルウェア「Yowai」および「Hakai」を確認 | トレンドマイクロ セキュリティブログ(2019/2/1)
トレンドマイクロは、主に中国で利用されているWebアプリケーション開発フレームワーク「ThinkPHP」で遠隔からのコード実行(Remote Code Execution、RCE)が可能になる脆弱性が、Miraiの新しい亜種「Yowai」および「Gafgyt」の亜種「Hakai」によって利用されていることを確認しました。
BrickerBot の場合、IoT機器のストレージ機能とカーネルパラメータの設定を変更する、インターネットへの接続を妨害する、動作速度を低下させる、機器内のファイルを削除するなどの一連の不正な Linuxコマンドを実行することで機器に致命的な改変を加え、最終的に使用不能にします。 [1]
[1] IoT機器を「使用不能」にするマルウェア、「BrickerBot」 | トレンドマイクロ セキュリティブログ
IoT 機器を狙う「Reaper」、数百万台のネットワーク機器に感染 | トレンドマイクロ セキュリティブログ (2017/11/1)
Reaper は、さまざまな、「Internet of Things(モノのインターネット、IoT)」機器に存在する既知の脆弱性を突いて機器を乗っ取り、コマンド&コントロール(C&C)サーバとの通信による遠隔操作を可能にします。
(DAWソフトのReaperと名前を被らせるのやめちくり)
別名:Gafgyt, Lizkebab, Qbot, Torlus, LizardStresser wikipedia
IoTマルウェア「Bashlite」、新たにUPnPを利用しスマートホーム機器を狙う | トレンドマイクロ セキュリティブログ (2019/4/17)
今回確認されたBashliteは、ペネトレーションテストのためのフレームワーク「Metasploit」のモジュールを使用することで、Universal Plug and Play(UPnP)APIを有効化したスマートホーム向けIoTデバイス「WeMo」を狙います。
QBotのソースコードらしきもの:
https://github.com/geniosa/qbot
「Raspberry Pi」を狙うマルウェアが出現–暗号通貨をマイニング - ZDNet Japan (2017/6/9)
ロシアのDoctor Webがおとりのラズパイで発見。pi:raspberry(Raspbianのデフォルトユーザーとパスワード)で外部からログインできるラズパイをターゲットにする。拡散活動あり。ビットコインではない暗号通貨のマイングもおこなうとのこと。
Shodanで"ssh raspbian"と検索すると約7万台ヒットするので、目のつけどころはいいのかもしれない。※勝手にログインするのは不正アクセスなのでやってはいけませんよ
産業システムで使われるシステムは外界からの攻撃を想定していない作りであることがあり、それが今になっても使われ続けてしまったためにこのような現状となっている。
産業システム系はカスペルスキーが頑張ってる印象。
読み:すたっくすねっと。TODO: (もう古すぎないか…)
TODO
ESETの検出名はWIN32/INDUSTROYERっぽい。
セキュリティ企業のESETは6月12日、ウクライナの首都キエフで2016年12月に発生した停電について、産業制御システムを狙うマルウェアを使ったサイバー攻撃だった公算が大きいと発表した。「Stuxnet以来最大の産業制御システムに対する脅威」と位置付けている。
通信事業者を狙った世界規模のサイバー攻撃:Operation SoftCell | BLOG | サイバーリーズン | EDR(次世代エンドポイントセキュリティ) (2019/07/03)
2018年、Cybereason Team Nocturnusは、グローバル通信事業者を標的としたあるAPT攻撃の存在を確認しました。
攻撃の目的は、大手通信事業者のCall Detail Record(CDR:通話に関する詳細記録)を盗み出すことにありました。
POS マルウェアについて - 株式会社FFRI
http://www.ffri.jp/assets/files/monthly_research/MR201409_Survey of POS Malware_JPN.pdf
PoSマルウェア「TreasureHunter」のソースコードがオンラインに流出 - THE ZERO/ONE (2018/5/18)
機能追加を続ける「TrickBot」、POSシステムを狙う新しいモジュールについて解説 | トレンドマイクロ セキュリティブログ(2018/12/26)
この新モジュールは、感染PCが接続されたネットワークをスキャンし、POSに関連したサービスや機器を検索します。
psfin32は、ドメイン管理者や基本的なユーザアカウントの情報に基づいてネットワーク内のPOSサービスを識別するために、以前のモジュールと同様にLDAPクエリを利用し、ネットワーク上のオブジェクトに関する情報を格納するActive Directory Service(ADS)にアクセスします。このLDAPクエリは、グローバルカタログの「dnsHostName」属性に以下の文字列が含まれたコンピュータを検索します。
「ATMマルウェア」の実態とその攻撃手口に迫る | トレンドマイクロ セキュリティブログ (2017/11/6)
記事内に詳細レポートへのリンクあり
積極的なマルウェア対策の主要なアプローチは次の通り。
マルウェア対策ソフトはどちらの場合でも検出行為をしている印象。(少なくともCylance PROTECTはそう)
消極的なマルウェア対策の主要なアプローチは次の通り。
Making an antivirus engine : Guidelines - Adlice Software (2013/7/15)
So, I’ll cover here the guidelines for a basic antivirus coding, for Windows and in C/C++. One can found here the pointers to design an antivirus engine, or simply learn how most of them are built.
TODO
資料:
TODO:
TODO: Cylance(サイランス)PROTECT, Black Carbon
[閑話休題]要は完全なものなど無いという話です。
[余談]機械学習は信頼ならないかも。
Cylance等の機械学習を使ったAVはある意味で凄い・・
— yamatosecurity (@yamatosecurity) August 12, 2017
#include <stdio.h>
int main()
{
printf("Hello world!\n");
return 0;
} pic.twitter.com/Z5atznKECP
死にゆくアンチウイルスへの祈り | 一生あとで読んでろ (2017/9/10)
A cat-and-mouse game on a dataset(by 愛甲健二) (2017/9/10) ※最初の数ページは空白
機械学習とそこで利用するデータセットへの付き合い方。いつごろまで高い検出率を維持できるのかを考えるのも大事。
アウトブレイクを食い止めるための新たな機械学習モデルを検証 | トレンドマイクロ セキュリティブログ (2019/08/15)
本リサーチでは、ごく少数の検体のみが利用可能な場合に「敵対的自己符号化器(Adversarial AutoEncoder、AAE)」を用いて動的にマルウェアを検出する手法を提案し、その性能を評価しました。
New machine learning model sifts through the good to unearth the bad in evasive malware - Microsoft Security (2019/07/25)
Most #machinelearning models are trained on a mix of malicious & clean features. Attackers try to throw these models off balance by stuffing clean features into malware, but that doesn’t work against a new class of detection models called monotonic models.
Twitter: @msftsecintel
表層解析(Surface Analysis)は、バイナリをリバースエンジニアリングすることも、実行することもせず、ただファイルをパースして得られる情報を解析することをいう。解析の初期段階にこれを行う。
表層解析で得ておきたい情報は次の通りである。
表層解析で役立つツールは次の通りである。
-h
オプション: ELFのヘッダを表示→対象アーキテクチャが分かる-s
オプション: シンボル情報(関数など)を表形式で表示
man ascii
コマンド
静的解析(Static Aanlysis)は、検体を 実行せずに 動作内容を把握することを目標とする解析方法である。実行しないとしても、解析ツールに対する攻撃が存在するため、 解析環境は解析専用の環境 であることが望ましい。
手法:
anti-静的解析の手法:
参考になる資料:
[余談]バイナリ解析ツールへの攻撃:
シンボル情報を取り除かれたバイナリのこと。元の関数名が分からないため、静的解析が困難になる。共有ライブラリを静的リンクし、stripすると効果絶大。
Project Zero: Searching statically-linked vulnerable library functions in executable code (2018/12/18)
一般的なテクニックは以下の本を参照するとよい。
RISC-V での簡単なアンチ逆アセンブル - FFRIエンジニアブログ
動的解析(Dynamic Analysis)は、検体を実行しながら動作内容を把握することを目標とする解析方法である。
手法:
anti-動的解析:
TODO:別の章に移動
- Code Flow Trace
- Shows which basic blocks were executed how many times by approx. 20 different colors
- Searchable API call logging
- This includes all occurrences where certain instructions e.g call,jxx,etc., touch an API address
- Searchable string logging
- Resolving dynamic values and auto-commenting
かっちりしたサンドボックスよりも、このNoribenをベースとした解析から手を付けるのがお手軽です
FakeNet-NG:
https://github.com/fireeye/flare-fakenet-ng
akeNet-NG is a next generation dynamic network analysis tool for malware analysts and penetration testers.
Noriben:
https://github.com/Rurik/Noriben
Noriben - Portable, Simple, Malware Analysis Sandbox
training_material_sample_for_dynamic_analysis.pdf (2018/5; by IIJ)
https://www.blackhat.com/docs/asia-15/materials/asia-15-Chubachi-Slime-Automated-Anti-Sandboxing-Disarmament-System.pdf
"SLIME Sandbox fakes different sandbox-related artifacts each malware execution"
"SLIME logs instruction per execution"
IDA Pro・Responder Pro・Shadow3を用いたマルウェアの解析例 | フォーカスシステムズ サイバーフォレンジックセンター
Reverse Engineering Windows Defender’s JavaScript Engine (REcon Brussels 2018)
Microsoft didn’t sandbox Windows Defender, so I did | Trail of Bits Blog (2017/8/2)
Windows DefenderのスキャナがSYSTEM(Windowsの最上位の権限)で動いていて危なっかしいので、俺がサンドボックスを追加してあげたぜって話?
1枚目のgifはWannaCry検体のシステムへのアクセスを拒否させたってデモかな?
Windows Defender自体はサンドボックスを持たない?[要調査]
Windows Defender Antivirus can now run in a sandbox - Microsoft Secure(2018/10/26)
Windows Defender Antivirus has hit a new milestone: the built-in antivirus capabilities in Windows can now run within a sandbox.
[3] 仮想化技術によるマルウェア対策とその問題点(2012年;須崎@横国大)
http://www.slideshare.net/suzaki/ss-13589611
Malware Analysis 101 - Sandboxing - InfoSec Write-ups - Medium(2019/09/29)
サンドボックスでの解析についての長所・短所を述べている(流し読みした感じだと)
[1] 仮想化技術を用いたマルウェア解析(2014年;by ntddk):
https://speakerdeck.com/ntddk/jia-xiang-hua-ji-shu-woyong-itamaruueajie-xi
おすすめ書籍([1]の受け売り):
読み:かっこう。使いやすくなったバージョン2を使おう。
マルウェア対策“一部”内製化大解剖(2):Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (1/2) - @IT (2017/7/10)
マルウェア対策“一部”内製化大解剖(終):Cuckoo Sandbox、Selenium WebDriver、bson解析――独自マルウェア解析環境を自動化した際に施した2つの工夫 (1/2) - @IT (2017/7/28)
←自社にとって最適な動的解析環境を追求した話
VMMにトレーサー機能を付けたタイプ。システム全体の動きが分かるのがVM型に対するメリットかな
[2] FFR GreenKiller (AVAR 2009@kyoto; by Junichi Murakami)
http://www.ffri.jp/assets/files/research/research_papers/avar-2009-murakami.pdf
Alkanet: http://www.iwsec.org/mws/2015/pdf/IPSJCSS2015111.pdf
rVMI - A New Paradigm For Full System Analysis
https://github.com/fireeye/rvmi
セットアップが不要で、レポートも見れて、手軽。無料の範囲ではVirusTotalがおすすめ。
サービス | ベース | ゲストOS | Poweshell | サンプルログ | コメント |
---|---|---|---|---|---|
VirusTotal | TODO(複数あり) | Win, macOS, Linux | TODO | TODO | 情報が豊富でおすすめ |
ANY.RUN | TODO | Win (TODO) | TODO | TODO | 検索がリッチでほしい検体を探すときに便利らしい。動的解析はインタラクティブにブラウザ越しで行える。 |
hybrid-analysis.com | VxStream | Win7? | Yes | TODO | 無料枠では見れる結果に制限が強い |
Deepviz | Deepviz | Win7 | Yes | TODO | |
Malwr | Cuckoo | WinXP | No | TODO | 使う理由がない |
要チェック
How to issue a full API key for automated submissions - Hybrid Analysis Knowledge Base - Hybrid Analysis Team
2017/11/24にAPIによる検体提出が可能になった。
FixMe:別章に移動するか章として独立?
ソースコードを読もうとすると遭難するとの噂。
QEMUのここがクソだよ:
TODO:ソースコードリーディングの成果を発揮←正直書くのがめんどい
QEMUのDynamic Binary Translationがあって良かったねという話:
https://speakerdeck.com/ntddk/qemufalsedynamic-binary-translationgaatuteliang-katutanetoiuhua
僕がbhyveを広めたいのは、KVMを知ろうとしてQEMUのソースコードを読み始めたまま遭難して帰らぬ人となる若者を増やしたくないからです。
— СЮУ1228 (@syuu1228) 2014年4月28日
QEMU 1.0ベースの動的解析環境(S2Eよりもベースのバージョンが古いんだが…)。
GitHub: https://github.com/sycurelab/DECAF
論文を読んでくだされ
DECAF: A Platform-Neutral Whole-System Dynamic Binary Analysis Platform - Semantic Scholar
DECAF++(RAID 2019)
https://github.com/decaf-project/DECAF
QEMU 1.0ベース(え?
資料:
BitVisor: A Single-VM Lightweight Hypervisor
国産ハイパーバイザー。
TODO
チェックリスト:
今はCuckoo 2使ってください…
TODO:マルウェアの動的解析の実例としてもう一度登場させる
Cuckoo Sandbox is an advanced, extremely modular, and 100% open malware analysis system with infinite application opportunities. By default it is able to:
- Analyze many different malicious files (executables, document expoits, Java applets) as well as malicious websites, in Windows, OS X, Linux, and Android virtualized environments.
- Trace API calls and general behavior of the file.
- Dump and analyze network traffic, even when encrypted.
- Perform advanced memory analysis of the infected virtualized system with integrated support for Volatility.
http://www.iwsec.org/mws/2014/files/FFRI_Dataset_2014.pdf
オープンソース(一部非公開)のマルウェア解析システム
- 仮想環境内でマルウェアを実行
- 実行時のふるまいをモニタリング
- VirusTotal連携、yara連携等
2017年1月、ver. 2.8よりFFR yarai改め、FFRI yaraiになった。
http://www.iwsec.org/mws/2014/files/FFRI_Dataset_2014.pdf
- 仮想環境内でマルウェアを実行
- 実行時のふるまいをモニタリング
- プロセス毎のAPI呼び出し履歴を取得可能
- 解析対策機能を持つマルウェアを解析可能
データの利用例
- マルウェア検知・分類
- ベンチマーク
- 自身の自動解析システムとの比較、有効性検証
マルウェア解析(AXシリーズ)製品は、安全性が確保された環境で高度な不正活動をテスト・実行し、結果に基づいて分類、文書化します。
- カスタマイズされたセキュリティ強化ハイパーバイザーでMicrosoft WindowsとMac OS Xの両方の仮想マシンに対応
TODO
手法:
マルウェアはVM(VMM; Virtual Machine Monitor)で動いているかどうかを気にする。VMMで動いていることがわかればおとりの動きをする。そうすることで解析者に自分はマルウェアでないと勘違いさせることができる。そうなれば今後自分を駆除するための努力をさせずにすむ。(TODO:見直し)
マルウェアが用いるサンドボックス検知の手法は主に以下の手法がある。
上以外に、もっと単純な方法が存在する。意外と効果があるらしい
日本を狙う特定の環境でしか動作しないマルウェアの特徴とは?
http://news.mynavi.jp/articles/2016/12/08/malware_kas/
実行環境の特定に関するお話。
追加:
サンドボックス製品のネットワークは仮想化されており、同じセグメントにはデフォルトゲートウェイのみがあり、ARPテーブルは1行のみというケースが多いようです [1]
実例:
[1] マルウェアの視点で見るサンドボックス:合法マルウェアで実感「リアルとサンドボックスの違い」 (2/3) - @IT
Anti-Sandbox and Anti-Virtual Machine Tool:
https://github.com/AlicanAkyol/sems
Once the tool is run in a virtual machine(Virtualbox, Vmware, Qemu), it performs all the checks which are shown below and drops logs to the console about detected signatures until the "control" text is shown. In addition to that a separate .txt file with the finding name is created in the running directory for each detected signatures. Example; vboxBios.txt will be created for virtualbox bios signature.
TODO:
『サイバーセキュリティプログラミング』に書かれている
キルスイッチドメインとも。
WannaCryにて、
自身が解析環境で実行されているかを判別するために、存在しないドメインへのアクセスを試みます。サンドボックスなどの解析環境では、存在しないドメインへのアクセスに対して、何らかのレスポンスを返すネットワークを構成することがあるためです。 [lac]
↓これを逆手に取ると
特定のドメインにアクセスができればWannaCryを停止させることができます。そのため、WannaCryが通信を行う未登録のドメインを研究者らが取得し、Sinkhole化させる動きがありました。今回Sinkhole化されたドメインはWannaCryのキルスイッチ・ドメインとも呼ばれています。 [lac]
参考資料:
TODO:実例←標的型で実際にあった記憶
サンドボックスには一般的なビジネスマンのデスクトップを再現しないと、人為的な環境だとバレるかもという話(デスクトップが異様にさっぱりとしているのは怪しい)。
TODO:VMからの脱出。
QEMU脆弱性を利用したVMエスケープ攻撃の検証:概要&テスト環境構築編 (1/2):OSS脆弱性ウォッチ(12) - @IT (2019/4/3)
ソースコードベースの検証記事
[1] 「URSNIF」の新手法:マクロを利用してサンドボックス検出を回避 | トレンドマイクロ セキュリティブログ (2017/11/20)
AutoClose を利用するマクロでは、文書ファイルが閉じられた後に不正な PowerShellスクリプトが実行されるため、サンドボックスによるマクロの解析の回避が可能になります。この手法は実装が容易なため、多くの不正なマクロで利用される機能になりつつあります。 [1]
Microsoft Office では、定義済みマクロのための列挙型変数をユーザに提供していますが、一部の列挙型変数は、Microsoft Office の比較的新しいバージョンにのみ存在します。これを利用して、列挙型変数を特定の値と比較することにより、Office のバージョンをチェックすることが可能になります。 [1]
DeepLocker : AI-embedded attack (mbsd; 2019/3/11)
2018年8月に開催されたBlack Hat USAにおいて、IBM Researchの研究者らが「DeepLocker」と呼ぶ、マルウェアを使用した標的型攻撃の新手法を提案しました。
本検証では、DeepLockerの動作検証を行うために、検証用のDeepLockerを作成しました。
AV(Anti-Virus, Antivirus)回避とも。マルウェア対策技術を無力化しうる策(攻撃者のための対抗策)を紹介するが、セキュリティソフトで対策されているものもある。
TODO: CODE BLUE 2014 : マルウエアによる検出回避方法の解説 by 篠塚 大志 HIROSHI SHINOTSUKA
重要なシステムアップデーそソフトウェアです。インストールを阻害するのでAVを停止してくださいというインストラクションを添える。標的型攻撃にありがち。
[1] Ransomware - Defending Against Digital Extortion (2016/11; O’Reilly Media)
例:
暗号化型ランサムウェア CERBER は、既に各セキュリティ対策製品によって対策が講じられています。そのため、通常のプロセス上で CERBER自身の不正コード を実行することで振る舞い検知を回避し、自身の検出を困難にさせることを狙ったのです。。
自動解凍アーカイブのファイルや簡易なファイルの利用も同様に、静的な機械学習を用いた検出にとって課題を突きつけられることになります。自動解凍アーカイブのファイルは、ファイルの内容に違いがあっても、どれも類似した構造となります。そして、特定の機能でファイルを復号することも、必ずしも不正な振る舞いでありません。
正規ソフト「AutoHotkey」を悪用した攻撃を確認 | トレンドマイクロ セキュリティブログ(2019/4/4)
2019年4月2日、無料オンラインスキャンサービスである「VirusTotal」に「Military Financing.xlsm」というファイル名のマクロ形式のエクセルファイルがアップロードされました。当該ファイルは内部に正規のスクリプトエンジンAutoHotkey、および、それに読み込ませるための不正なスクリプトファイルをバイナリ形式でデータを内包し、マクロを実行するとそれらをドロップして実行します。
AVはユーザーランドのAPIの呼び出しを乗っ取り、APIがマルウェアによって呼び出されていないかどうかを検査するルーチンを実行したのち、正規のAPIの実行を再開する(API Hookと呼ばれる)。API Hook自体はAVもマルウェアも利用する古典的な手法。
Bypassing Cylance and other AVs/EDRs by Unhooking Windows APIs - Red Teaming Experiments (2019/4/28)
lsass.exeのメモリダンプを取得する話。CylancePROTECTがHookしているAPIをHookされていない状態に戻す。
例:
Treepoline – new code injection technique by hexacorn (2019/4/24)
↓
Windows Process Injection: WordWarping, Hyphentension, AutoCourgette, Streamception, Oleum, ListPlanting, Treepoline | modexp (2019/4/25)
I’ll briefly discuss all of these and provide a few working examples. The first five examples work with Edit and Rich Edit controls.
- WordWarping
- Hyphentension
- AutoCourgette
- Streamception
- Oleum
- ListPlanting
- Treepoline
"Edit and Rich Edit controls" はWindowsのウインドウのテキストボックスあたりのことかな?
WOOT'16にてKyriakos K. Ispoglou and Mathias Payer, Purdue Universityによって提案された手法。
TODO
使われているのか…?
asintsov: Bypassing Exploit protection of NORTON Security
特殊なSMBサーバーを使用してマルウェア検出を避ける攻撃「Illusion Gap」 | スラド セキュリティ (2017/10/1)
アンチウイルスプログラムがインストールされたWindows環境でSMBサーバー上の実行ファイルを実行する場合、アンチウイルスプログラムによる安全確認後、Windowsローダーが実行ファイルを起動する。SMBサーバー側ではファイルのリクエストがアンチウイルスプログラムからのものか、Windowsローダーからのものかを識別できるため、前者では安全なファイルを返し、後者で悪意あるファイルを返すことでウイルススキャンをバイパスしてマルウェアを実行させることができるという。
We want to serve different files, one for Windows PE Loader and another for the Windows Defender Antivirus over SMB. We can achieve that using a custom implemented SMB server. When a process creation is made by Windows PE Loader, a request will be made to the SMB server for the executable file, and we will serve file A, which is malicious. When Windows Defender requests the executed file, we will serve file B, which is benign. This way, file B will be scanned while file A will be executed. But at first, we have to identify which request is made by whom. (cited from Illusion Gap – Antivirus Bypass Part 1 - CyberArk)
ウイルス対策ソフトの欠陥を突いた“#AVGater”、「Windows Defender」には影響なし - 窓の杜 (2017/11/15)
#AVGater vulnerability does not affect Windows Defender Antivirus, MSE, or SCEP – Windows Security blog (2017/11/13)
This vulnerability can be exploited to restore files that have been detected and quarantined by an antivirus product. To exploit this, malicious applications, including those launched by user-level accounts without administrator privileges, create an NTFS junction from the %System% folder to folder where the quarantined file is located. This NTFS junction can trigger the antivirus product to attempt to restore the file into the %System% folder.
セキュリティ研究センターブログ: 防衛関連のファイルを装うマクロマルウェアの新しい手口 (2017/12/4)
ダウンロードしたファイルをwinoowsに付属している証明書関連の操作ができるcertutilコマンドを使い、Base64デコードをします。ダウンロードしてきたファイルの中身は、以下のように証明書に見えますが、実際は、CAB形式の圧縮ファイルでした。攻撃者の意図としては、証明書ファイルのダウンロードに見せかけて検出を回避する事が考えられます。
Intel CPUのセキュリティ機構「SGX」にマルウェアを隠すことでセキュリティソフトで検出できない危険性、概念実証用のプログラムも公開済み - GIGAZINE (2019/02/14)
検討課題:
TODO:概論
参考資料:
HamaCTF WriteUp (Unpack category) (2019/4/19)
x64dbgを用いたアンパックを解説。
解説を読む前にHamaCTF2019にチャレンジすると良さそう。
Powershell, コマンドプロンプトに関する難読化は「マルウェア解析に必要な素養~スクリプト編~」で取り扱う
Anti-anti-malwareのお話。バイナリにおける難読化はアセンブリコードやコントロールフローを読みにくくすることで静的解析へ対抗する。
JavascriptやPowershellでも難読化が適用される。難読化の実際はスクリプト編を参照されたし。
難読化 = Obfuscation
難読化解除 = Deobfuscation
資料:
https://twitter.com/sh1n0g1/status/1100617914862907392
@sh1n0g1
今更ながらAPT10も利用したという難読化ツールDKMC(https://github.com/Mr-Un1k0d3r/DKMC …)を見てみたら面白かった。BMPにシェルコードを隠すんだけど、「BM」というマジックナンバーからそのまま実行して動作するようにしている。 'B'=0x42=inc edx 'M'=0x4d=dec ebp 頭から「実行可能」なBMPができあがる。
Understanding the Movfuscator | x0r19x91's blog (2019/3/14)
UTCTF’19で出題されたMovという問題のWriteup
概論:The Art of De-obfuscation - Speaker Deck(2018/10/7;by ntddk)
-dse, -simplifycfg
)"-constprop, -instcombine
)"-instcombine
)"https://github.com/fireeye/flare-floss
Fireeye製。バイナリを与えると、難読化された文字列をデーコードしたり抽出したりしてくれる。
IDAsec = https://github.com/RobinDavid/idasec
BINSEC = https://github.com/binsec/binsec, http://binsec.gforge.inria.fr/
Code Deobfuscation: Intertwining Dynamic, Static and Symbolic Approaches(BlackHat Europe; 2016/11)
We show in this talk how to combine in a successful way several disassembly techniques – namely dynamic analysis, several state-of-the-art variants of symbolic execution and static analysis, in order to help recovering a more precise CFG of the obfuscated code under analysis.
Opaque Predicateの検出:https://github.com/RobinDavid/idasec/blob/master/idasec/analysis/opaque_analysis.py
ストリーム暗号ベースの難読化を自身に行う。
[JPCERT CC] Adwindが持つ難読化された文字列の解読(2016-04-25) (2016/4/25)
各OSに対応するJavaのRAT「ADWIND」が再び確認。スパムメールで拡散 | トレンドマイクロ セキュリティブログ (2017/7/14)
GitHub - JonathanSalwan/Tigress_protection
Playing with the Tigress binary protection. Break some of its protections and solve some of its challenges. Automatic deobfuscation using symbolic execution, taint analysis and LLVM.
TODO:章移動
http://www.ffri.jp/assets/files/research/research_papers/avar-2009-murakami.pdf
"We can detect memory-patching by malware"
一般ユーザ権限でクレデンシャル情報を取得するPost-Exploitationツール「Mimikittenz」について: NECセキュリティブログ | NEC (2019/11/29)
日本語訳:横展開。Post Exploitの一つで、組織のネットワークで感染が拡大する。
cf. 「インシデントレスポンス」の節
使われるもの:
攻撃者の行動を追跡せよ -行動パターンに基づく横断的侵害の把握と調査- by 朝長 秀誠, 六田 佳祐 (2017/12/13公開)
プローブにおける攻撃者側の工夫:
図7(※省略)は図5①(筆者注:WannaCryに感染した端末Aが、ネットワーク上の端末に445/tcpに接続可否を調査するフェーズ)において発生する通信の一部で、DoublePulsarが設置されているかを確認する通信です。この通信は、SMB通信では通常使用しないコマンド(TRANS2_SESSION_SETUP)13を用いており、TimeoutフィールドおよびMultiplex IDフィールドの値を利用し、バックドアに対して命令を送信します。 [lac]
参考資料:
パスワードってどこにあるの?その1 | MBSD Blog (2019/5/14)
今回は、Windows内部でパスワードはどのように保存されており、どのように認証が行われているかご紹介したいと思います。
パスワードってどこにあるの?その2 | MBSD Blog (2019/5/20)
Mitigations against Mimikatz Style Attacks - SANS Internet Storm Center (2019/2)
例)Pass-the-ticketによるGold Ticketの奪取→ファイルサーバーからの情報漏洩
TODO:EMET自体がディスコンなのでここの内容をアーカイブしたい。
EMETはMicrosoft WindowsのOSおよびWindowsアプリケーションのセキュリティ機能を拡張するためのソフトウェアである。言い換えるとシステムを全域的に脆弱性の影響を緩和するための策である。
Windows 10を使っても、EMETは必要なセキュリティ対策 pic.twitter.com/2TMB4nhyfe
— yamatosecurity (@yamatosecurity) November 25, 2016
ライフ サイクル終了に関する声明
2017 年 1 月 27 日に EMET のライフ サイクルが終了することに関してお客様からのフィードバックを受け、サポート終了日が 18 か月間延長されることを発表します。新しいサポート終了日は 2018 年 7 月 31 日です。2018 年 7 月 31 日以降、EMET に関するサポートおよびセキュリティ更新プログラムを提供する予定はありません。セキュリティ向上のために、お客様には Windows 10 の最新バージョンに移行することをお勧めします。
https://technet.microsoft.com/ja-jp/security/jj653751.aspx?f=255&MSPPError=-2147217396
EMET 4.0の調査
http://www.ffri.jp/assets/files/monthly_research/MR201307_Investigation_into_EMET4.0_JPN.pdf
EMETによるSEHOP実装の改良の提案
http://www.ffri.jp/assets/files/research/research_papers/EMETReport.pdf
文字量制限により、以下の内容は マルウェア解析に必要な素養~マルウェア検知編~ に移動しました。
文字量制限により、以下の内容は マルウェア解析に必要な素養~解析者編~ に移動しました。
参考情報
TODO:NIST SP800-83の邦訳、IPAの勧告、ここの連載を元に再構成。「誰が、いつ」するのかを明確にする。
NG行為:
参考:
脱線。
ハッキングされたとき、取締役会に説明すべきこと:Gartner Insights Pickup(38) - @IT (2017/11/10)
取締役の関心事は以下の通りだ。
- 戦略(オペレーションではない)
- リスク監督(管理ではない)
- ビジネスの結果(技術の詳細ではない)
- 明確な責任
サイバーセキュリティについては、取締役に分かる言葉でビジネスの意思決定および結果と関連付けて説明すべきだ。取締役には、何を知っている必要があり、何を知っている法的義務があるかを解説するとともに、重大なリスクへの管理を徹底する方法があることを伝えて安心させるとよい
CISO ハンドブック(CISO支援WG) | NPO日本ネットワークセキュリティ協会
本書では、この点を踏まえ、CISOが経営陣の一員としてセキュリティ業務を執行する上で前提となる、ビジネス(経営)の基本的な枠組みを整理し、明確にすべき目標と指標、そして施策を評価する判断基準を提供することを目的としています。
TODO
資料:
TODO:OSSのフォレンジックツール
Volatility Plugin Contest:
http://www.volatilityfoundation.org/#!contest/ck3
職人技が光る。
資料:
FFRI…
資料:
学術ネタとしてファジングをやりたいなら、先行研究のベースとなっている以下を試すとよい。
以下お役立ち情報。
Zoo AFL / Digital Security corporate blog / Habr (2019/4/25)
Fuzzer まとめ
TODO:動的解析技術の章に移動
TODO:シンボリック実行とは
シンボリック実行に入門しようとした:
http://ntddk.github.io/2014/09/12/symexec-intro/
シンボリック実行エンジンは、シンボリック実行を実施するプログラム。
慣れいている人向けメモ:
Intelのバイナリに対応。ARMも対応予定。
TODO
TODO:解析者編に移動でもいいかも?
守れサイバーセキュリティ~SOCとは? ヤフーにおけるその役割 - Yahoo! JAPAN Tech Blog (2019/7/11)
今回は「SOCとは何か」、そして「ヤフーSOCでは具体的にどんな活動をしているのか」を少しでもみなさんに知ってもらえるよう、ご紹介したいと思います。
TODO:SOC(Security Operation Center)で使われているテクとか無いかな?←何のログをどういう目的で収集するのかが肝なのでは?
TODO
Boss of the SOC (BOTS) Dataset Version 1
Splunkハンズオンのためのデータセット
↓の製品たち、どれもクエリやダッシュボード作成にそれぞれ個性的な癖がある…。
TODO
TODO
実行環境に応じて動作を変えるマルウェアに関する調査
http://www.ffri.jp/assets/files/monthly_research/MR201405_A_Survey_of_Environment_Sensitive_Malware_JPN.pdf
Fuzzy hashingの利用に関する検討及び評価
http://www.ffri.jp/assets/files/monthly_research/MR201403_Consideration_and_evaluation_of_using_fuzzy_hashing_JPN.pdf
Freeze Drying for Capturing Environment-Sensitive Malware Alive
http://www.ffri.jp/assets/files/research/research_papers/bheu14_chubachi_public_EN.pdf
Exploring the x64
http://www.ffri.jp/assets/files/research/research_papers/psj10-murakami_JP.pdf
Linuxマルウェアについて - FFRI
http://www.ffri.jp/assets/files/monthly_research/MR201501_Latest_Trends_in_Linux_Malware_JPN.pdf
未知ウィルス検知のための新手法と実装(NICT)
http://www.nict.go.jp/publication/shuppan/kihou-journal/kihou-vol51no1.2/02-08.pdf
「AngleWare」の出現とオープンソースランサムウェア「Hideen Tear」の比較検証 | MBSD Blog
弊社のマルウェア解析チームにて「AngleWare」の検体を入手し解析を行った結果、過去にオープンソースとしてgithubに公開されたことで有名な「Hidden Tear」のコードと酷似する点が複数あることを確認しました。
2017/2/4 章の数が50に達してもおかしくない増加具合だ…(現在40前半)
2017/7/3 文字数が8万を超えた…あと2万文字しか書けないorz
2017/8/8 文字数が9万字を超えた!あと1万字なのでそろそろメモを分割せねば
2017/9/3 文字数が上限の10万字に達した!SEOの都合上、様子を見ながら少しずつ分割を進めていくよ
2018/2/15 また上限に達したので「解析者編」を用意した
2019/1/2 また上限に達したので「マルウェア入門編」「スクリプト編」「マルウェア検知編」を用意した