マルウェア

2018年8月 1日 (水)

オープンソースツールを悪用する初期活動

弊社の脅威分析チームは、セキュリティ研究センターと連携し国内のセキュリティ対策向上の一助となるよう日本を標的とする攻撃者グループが使うマルウェア等のTTP(Tactics, Techniques, Procedures)を日々分析しています。

先月は、標的型攻撃と考えられるメールに添付されていたマルウェアを解析しました。その調査の中で1次RATに感染した後の攻撃者の初期活動を分析し、攻撃者がQuasarRAT等のオープンソースツールを使う事が分かりました。オープンソースツールを悪用する事自体は珍しい事ではありませんが、今回の調査では公開情報にないツールの使用も観測でき、分かった内容について解説をします。

続きを読む »

2018年5月11日 (金)

マルウェア解析奮闘記: コマンド実行のエラー文が日本語でないと動作しないマルウェア

要約

  • Windows OSが日本語設定である場合のみ次のステージに進むマルウェアを観測しました。
  • このマルウェアの日本語設定の確認方法として、コマンドのエラー文を用いるという過去見られなかった手口が利用されていました。

マルウェア概要

弊社では領収証に偽装したマクロが付いたWordドキュメントファイルを用いた攻撃を観測しました。この攻撃で利用されたマルウェアの動作に過去見られなかった手口が存在しました。本記事ではその手口について解説いたします。

続きを読む »

2017年12月 4日 (月)

防衛関連のファイルを装うマクロマルウェアの新しい手口

マクロを悪用するマルウェアは、バラマキ型/標的型攻撃にて多く使われており特別珍しいものではありません。最近では金銭窃取が主目的であるバンキングマルウェアが、マクロからPowerShellを起動して外部から新たなマルウェアをダウンロードするのを目にする事が多いです。


今回、弊社が解析したマクロを悪用するマルウェアでは、過去見られなかった新しい手口が使われているのを観測しました。ここでその特徴について解説したいと思います。

続きを読む »

2017年9月 5日 (火)

ブログサービスを悪用する最近の攻撃手口

攻撃者が、インターネット上で利用可能なブログやコードレポジトリサービスに、暗号化したC2サーバのIPアドレスを掲載し、マルウェアがその情報を読み取ってC2サーバへ接続する手口は、デッド・ドロップ・リゾルバー(Dead Drop Resolver)として知られています。
その手法を使う代表的なマルウェアは、Elirks、Winnti等があります。

続きを読む »

2017年8月29日 (火)

防衛装備に関連した調査報告書を偽装した攻撃

先週弊社では、防衛装備に関連した調査報告を偽装したドキュメントを使った攻撃を観測しました。皆様に注意喚起を促す目的で、調査の一部を共有したいと思います。

続きを読む »

2017年5月17日 (水)

マルウェア解析奮闘記 WannaCryの解析

2017年5月12日夜間頃より世界規模で攻撃が観測されているWannaCryの解析結果をお知らせします。WannaCryの動作概要と、ランサムウェアとしては新しい動作となる、キルスイッチとMS17-010脆弱性をついた感染拡大の部分については、少し詳しく解説していきます。

続きを読む »

2016年10月20日 (木)

マルウェア解析奮闘記 Powershell多用マルウェアの解析

 先月、複数の情報ソースから同様のフィッシングメールの報告を受けました。メール本文は日本語、おとりのファイルも受信組織の業種に関連するものでした。そして、添付ファイルはPowerShellスクリプトを含むショートカットでした。

以下に、概要および解析結果を記します。

続きを読む »

2015年6月 8日 (月)

Emdiviを使う攻撃者の素性

世間で大きく報道されているマルウェアEmdivi(エムディヴィ)やCloudyOmega(クラウディオメガ)に関連する件において、被害組織に対する非難の報道が多い一方で、本当に非難するべき対象は攻撃者であり、攻撃者に関する情報がほとんど報道されていないように見受けられます。この状況を少しでも変えるべく、弊社が把握している情報を、差支えのない範囲で共有させて頂きます。

続きを読む »

2015年3月11日 (水)

マルウェア解析奮闘記 ~難読化JScriptを解析せよ~

先日、あるマルウェアを入手しました。フィッシングメールの添付ファイルとして配送されていたもので、拡張子「.js」のJScriptファイルでした。中身は難読化処理が施されておりました。その解読手法および解析した結果を記します。

続きを読む »

2015年1月26日 (月)

医療費通知に偽装した攻撃(Backdoor.Emdivi) その後

昨年11月に、健康保険組合になりすまし医療費通知に偽装した攻撃についての記事を書きました。その後も同種類のマルウェア(Backdoor.Emdivi)を使った攻撃がたびたび発生しているようです。そして、RATは日を追うごとにバージョンアップされています。皆様に注意喚起を促す目的で、その一部を共有したいと思います。

続きを読む »

Macnica Networks Corp.
セキュリティ研究センター

サイバーセキュリティに特化した研究を行うことを目的に2013年4月に開設。

■ミッション

・Threat Research

・Solution Research

・Education
 

小林 靖幸
マルウェアの動的解析と培養を担当。温和な見た目とは裏腹に、休日は鋭い眼光でサイバー空間の監視を行う一人SOCで活動中。好きなデバッガーはx64dbg。

竹内 寛
リバースエンジニアリング(マルウェア解析)を担当。彼の手に渡ったマルウェアはまさに“まな板の上の鯉”と同じ。あとは解析されるがまま。最近の楽しみは、ハイボールを片手に海外ドラマを鑑賞するか、マントノン侯爵夫人に会うこと。好きなマシン語は、EB FE。

柳下 元
リバースエンジニアリング(マルウェア解析)を担当。動的解析では動いてくれないマルウェアの皮を一枚一枚剥がしていく職人技が持ち味。

凌 翔太
CTF、IoTハッキング、マルウェアペンテストツールの開発を担当。Black Hat/DEF CONにてツールを発表。セキュリティキャンプ講師、SECCON実行委員。

政本 憲蔵
インフラ分析とOSINT分析を担当。
Back Orifice/NetBusの時代からRATに興味を持ち現在に至る。好きなことはMaltego Transformの開発とレゴブロック。

BlackHat