2019年4月16日 (火)

OceanLotusが使う検出回避テクニック

  検体解析やインシデント対応の中で、あるテクニックがオペレーションの多くの場面で使われているのを観測する事があります。

  最近の標的型攻撃では、APT10 ANEL[1] やBlackTech TSCOOKIE[2]などエンコード・暗号化されたコードを実行時にデコード・復号し、メモリ上でPE形式のコードを実行するタイプ(ここでは、ローダーと呼称します)が多く観測されています。

攻撃者グループが使うエンコード・暗号方式も違いがあり、上述のバックドア型のマルウェアだけでなくMimikatzのようなツールも検出を回避するのにローダーが使われる事があります。

今回は、弊社で観測したOceanLotus/APT32 の検出回避テクニックについて解説します。

続きを読む »

2018年8月 1日 (水)

オープンソースツールを悪用する初期活動

弊社の脅威分析チームは、セキュリティ研究センターと連携し国内のセキュリティ対策向上の一助となるよう日本を標的とする攻撃者グループが使うマルウェア等のTTP(Tactics, Techniques, Procedures)を日々分析しています。

先月は、標的型攻撃と考えられるメールに添付されていたマルウェアを解析しました。その調査の中で1次RATに感染した後の攻撃者の初期活動を分析し、攻撃者がQuasarRAT等のオープンソースツールを使う事が分かりました。オープンソースツールを悪用する事自体は珍しい事ではありませんが、今回の調査では公開情報にないツールの使用も観測でき、分かった内容について解説をします。

続きを読む »

2018年5月11日 (金)

マルウェア解析奮闘記: コマンド実行のエラー文が日本語でないと動作しないマルウェア

要約

  • Windows OSが日本語設定である場合のみ次のステージに進むマルウェアを観測しました。
  • このマルウェアの日本語設定の確認方法として、コマンドのエラー文を用いるという過去見られなかった手口が利用されていました。

マルウェア概要

弊社では領収証に偽装したマクロが付いたWordドキュメントファイルを用いた攻撃を観測しました。この攻撃で利用されたマルウェアの動作に過去見られなかった手口が存在しました。本記事ではその手口について解説いたします。

続きを読む »

2017年12月 4日 (月)

防衛関連のファイルを装うマクロマルウェアの新しい手口

マクロを悪用するマルウェアは、バラマキ型/標的型攻撃にて多く使われており特別珍しいものではありません。最近では金銭窃取が主目的であるバンキングマルウェアが、マクロからPowerShellを起動して外部から新たなマルウェアをダウンロードするのを目にする事が多いです。


今回、弊社が解析したマクロを悪用するマルウェアでは、過去見られなかった新しい手口が使われているのを観測しました。ここでその特徴について解説したいと思います。

続きを読む »

Macnica Networks Corp.
セキュリティ研究センター

サイバーセキュリティに特化した研究を行うことを目的に2013年4月に開設。

■ミッション

・Threat Research

・Solution Research

・Education
 

竹内 寛
リバースエンジニアリング(マルウェア解析)を担当。彼の手に渡ったマルウェアはまさに“まな板の上の鯉”と同じ。あとは解析されるがまま。最近の楽しみは、ハイボールを片手に海外ドラマを鑑賞するか、マントノン侯爵夫人に会うこと。好きなマシン語は、EB FE。

柳下 元
リバースエンジニアリング(マルウェア解析)を担当。動的解析では動いてくれないマルウェアの皮を一枚一枚剥がしていく職人技が持ち味。

凌 翔太
CTF、IoTハッキング、マルウェアペンテストツールの開発を担当。Black Hat/DEF CONにてツールを発表。セキュリティキャンプ講師、SECCON実行委員。

政本 憲蔵
インフラ分析とOSINT分析を担当。
Back Orifice/NetBusの時代からRATに興味を持ち現在に至る。好きなことはMaltego Transformの開発とレゴブロック。

BlackHat