マルウェア

2016年10月20日 (木)

マルウェア解析奮闘記 Powershell多用マルウェアの解析

 先月、複数の情報ソースから同様のフィッシングメールの報告を受けました。メール本文は日本語、おとりのファイルも受信組織の業種に関連するものでした。そして、添付ファイルはPowerShellスクリプトを含むショートカットでした。

以下に、概要および解析結果を記します。

続きを読む »

2015年6月 8日 (月)

Emdiviを使う攻撃者の素性

世間で大きく報道されているマルウェアEmdivi(エムディヴィ)やCloudyOmega(クラウディオメガ)に関連する件において、被害組織に対する非難の報道が多い一方で、本当に非難するべき対象は攻撃者であり、攻撃者に関する情報がほとんど報道されていないように見受けられます。この状況を少しでも変えるべく、弊社が把握している情報を、差支えのない範囲で共有させて頂きます。

続きを読む »

2015年3月11日 (水)

マルウェア解析奮闘記 ~難読化JScriptを解析せよ~

先日、あるマルウェアを入手しました。フィッシングメールの添付ファイルとして配送されていたもので、拡張子「.js」のJScriptファイルでした。中身は難読化処理が施されておりました。その解読手法および解析した結果を記します。

続きを読む »

2015年1月26日 (月)

医療費通知に偽装した攻撃(Backdoor.Emdivi) その後

昨年11月に、健康保険組合になりすまし医療費通知に偽装した攻撃についての記事を書きました。その後も同種類のマルウェア(Backdoor.Emdivi)を使った攻撃がたびたび発生しているようです。そして、RATは日を追うごとにバージョンアップされています。皆様に注意喚起を促す目的で、その一部を共有したいと思います。

続きを読む »

2014年11月 7日 (金)

健康保険組合になりすました不審なメールについて

ここ数日の間に、多くの日本企業宛に、健康保険組合になりすまし、医療費通知を装った不審なメールが送られています。メールに添付されたマルウェアは、図1のようにWordドキュメントを装った実行ファイル(exe)で、実行後に図2のデコイファイルが表示され、RAT本体がドロップされます。

続きを読む »

2014年6月 2日 (月)

マルウェア解析奮闘記 ~破損マルウェアを解析せよ~

5月某日、ある検体を入手しました。この時点ではマルウェアなのかどうかは不明でしたが、様々なツール(VirusTotal、サンドボックス、IDA Proなど)の解析の結果は壊れているファイルとなっており、正しい解析結果が得られませんでした。そのため、手動で解析することになりました。

その解析の流れと結果を書きます。

続きを読む »

2014年4月 1日 (火)

Network Indicators of C2 / C2の兆候を発見するためのCheat Sheet

端末に感染したマルウェアは、C2サーバ(C&Cサーバ)に接続し、様々な遠隔操作を受けながら、ほとんどの場合、追加で別のマルウェアやツールをダウンロードします。そして組織内LANへの侵入を拡大しながら、入手したい機密情報を探索し、最終的に攻撃者のサーバへ機密情報をアップロード(Data Exfiltration)します。

続きを読む »

2014年3月 3日 (月)

PEヘッダでパッカーの有無を見分ける方法

マルウェアの多くはパッカーというツールで圧縮され、検知や解析を免れます。今回はそのパッカーで処理されているかどうかを簡単に見分ける方法をご紹介します。

 ■パッカーとは

続きを読む »

2014年1月23日 (木)

ロシアの攻撃者(Energetic Bear)による日本への攻撃

一部で既に報道されていますが、米国のCrowdStrike(クラウドストライク)社は、ロシアを拠点とする攻撃者が、日本を含む欧米・アジアに対し、攻撃活動を行った証拠を入手したことを明らかにしています。読者の皆様に注意喚起を促すことを目的に、CrowdStrike社による調査内容の一部を記載致します。

続きを読む »

2013年11月13日 (水)

RTFに埋め込まれたマルウェア

政本です。RTFファイル(リッチテキストフォーマット)に埋め込まれたマルウェア(実行ファイル)が、標的型攻撃メールやスパムメールなどに添付されているケースがあるようです。
攻撃者がRTFを使う目的は、メールの配送途中にあるゲートウェイ・アンチウイルスの検知を回避すること、およびユーザの警戒心を緩和すること、あたりだと考えます。
弊社でも、テスト用に、RTFにマルウェアを埋め込んだファイルを作成し、弊社の標的型攻撃対策製品(FireEye)で検知されることを確認しました。

続きを読む »

今年も自作ツールを展示
Macnica Networks Corp.
セキュリティ研究センター

サイバーセキュリティに特化し研究することを目的として2013年4月に開設。

■ミッション

・サイバー攻撃の研究

・海外の最先端セキュリティ技術の発信

・予測的な策略を講じるセキュリティ対策に基づいた包括的なソリューションの提案
 

政本 憲蔵
セキュリティ研究
センター センター長
 
2000 年、(株)マクニカに入社。各種ネットワーク製品、暗号関連製品、WAF、IDS/IPS等の導入設計担当を経て、 セキュリティインシデントの調査・分析に携わる。2008 年より、標的型攻撃に対する対策製品の技術支援に従事し、 2013 年4月より、同社に新設されたセキュリティ研究センターにて、攻撃者の動向を追いながら、世界の最先端セキュ リティ対策技術のトレンドを調査している。

凌 翔太
セキュリティ研究
センター
 
2004年よりクライアントセキュリティ対策製品(HDD暗号化、検疫、DLP等)のテクニカルサポート、プロフェッショナルサービスに従事する。2009年より、IPS/IDSおよびWAFなどのネットワークセキュリティに関する製品を担当する傍ら、マルウェアや脆弱性の研究を実施する。2013年度より同センターにて、最新の攻撃の研究に携わる。

BlackHat